Настройка IDS/IPS Suricata

zander

Не нашел в русскоязычной ветке тему про сурикату, да и англоязычной они какие-то все узкозаточенные, а вопросов у меня, возможно, будет много, да и с английским есть вопросы…

Для начала вот какой вопрос. Запустил ее почти в дефолте. Повесил на WAN. Во внутренней сети (со стороны lan) находится DNS-сервер на BIND'е. У него в настройках сделано 2 зоны через "view", для внутренней зоны он мастер и в А-записях указаны частные адреса, а вообще сам по себе он слейв и зону срисовывает с nic.ru, ну и соответственно в качестве адреса dns-сервера фигурирует этот же ip-адрес адрес с nic.ru. Короче, вопрос пока еще не в этом, а в том, что как только запускается suricata, то тут же наш dns-сервер перестает резолвить запросы. Другими словами, из внутренней сети трафик в инет бегает, но имена не резолвятся.

В логах suricata пишет ошибку: SURICATA IPv4 invalid checksum

На скриншоте показан лог, которые ведет суриката, там указаны адреса. Этих адресов я не знаю, но адресов нашей частной сети и адреса нашего dns-сервера там нет, но тем не менее, ничего не резолвится.

Хотелось бы для начала понять, что это за ошибка и с чем ее едят? Можно отключить конечно через вкладку WAN Rules, но для начала хотелось бы понять...

werter

Доброе.
Я этого зверька после установки еще неделю плотно обучал , что блокировать, а что нет.
Там в настройках можно указывать какие адреса\сети ей не трогать. Есть дефолтные, но можно и свое добавить.

smils

zander

Это NS-ки

217.20.149.60 IP address information
Location
Country
RU

Autonomous System
49988 (Odnoklassniki Ltd)

Passive DNS replication
VirusTotal's passive DNS only stores address records. The following domains resolved to the given IP address.
2015-10-27 ns2.ok.ru
2014-09-24 ns2.odnoklassniki.ru

Я думаю можно отключить в suricata проверку контрольной суммы пакета.

Пускай этим занимается сетевая карта.

zander

smils,
так и сделал, выключил этот invalid checksum по ip4, tcp и udp… странно оно работает

И судя по всему, SURICATA STREAM ESTABLISHED retransmission packet before last ack - тоже нужно выключать или я не прав? Просто со всеми этими задержками и прочими заморочками у провайдеров, эти пакеты переставляются, когда угодно. Не скажу, что юзеры внутри сети жалуются на недоступность каких-то сайтов из-за этого, но меня самого, когда я удаленно цепляюсь на внешний интерфейс, эту штука бывает блочит...

zander

Слушайте, а SURICATA SMTP data command rejected что вообще проверяет то?

Просто в сети есть почтовый сервер на postfix'е, к нему проброшены соответствующие порты. В принципе, там своих проверок до фига, в т.ч. и по некоторым blacklist'ам, но спам так или иначе все равно проходит. А сейчас я смотрю, что в suricate большенство блокировок идет, как раз, со значением SURICATA SMTP data command rejected. Пока не скажу меньше ли стало спама, просто пока не очень понятно, что суриката в принципе в данном случае проверяет.