Author Topic: Erro IDS/IPS Zenyal 6  (Read 2756 times)

Tiago

  • Zen Warrior
  • ***
  • Posts: 106
  • Karma: +10/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #15 on: September 23, 2019, 07:49:16 pm »
Estou fazendo todas configurações através da interface Web, poderia por favor me passar os comando para ativação do modulo IDS\IPS na interface externa eth0?

Tiago

  • Zen Warrior
  • ***
  • Posts: 106
  • Karma: +10/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #16 on: December 23, 2019, 07:56:07 pm »
Alguém mais aqui no forum utiliza o Serviço de IDS/IPS, funciona normalmente?

doncamilo

  • Zen Samurai
  • ****
  • Posts: 390
  • Karma: +110/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #17 on: December 26, 2019, 12:16:02 pm »
 :)

Hola Tiago!

He vuelto a instalar IDS/IPS y todo parece funcionar correctamente.

No es necesario recurrir a la línea de comando para habilitar la interfaz externa. Simplemente la he habilitado desde webadmin.

 

Zentyal configura las redes en suricata de una forma un poco sucia, pero que funciona. (Suricata mete por defecto los rangos privados de red y deja como externas las demás. Bastante sucio pero efectivo)

Code: [Select]
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"

 EXTERNAL_NET: any

He probado a provocar tráfico sospechoso desde la interfaz externa y, después de habilitarla, desde la interfaz interna:

Code: [Select]
nmap -Pn --script vuln 192.168.61.1

Y ha sido perfectamente detectado:

Code: [Select]
# /var/log/suricata/fast.log
12/26/2019-11:56:27.204859  [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 192.168.61.2:51157 -> 192.168.61.1:445
...

Lo mismo desde la interfaz externa (tras desactivar el firewall):

Code: [Select]
nmap -Pn --script vuln 10.5.20.253

Code: [Select]
12/26/2019-12:05:32.603295  [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.5.20.62:38937 -> 10.5.20.253:705
12/26/2019-12:05:37.175228  [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 10.5.20.62:58916 -> 10.5.20.253:445
...

En ningún momento he tenido pérdidas de conectividad ni en la máquina cliente ni en el servidor.

Empiezo a creer que tienes problemas con el módulo de red. ¿Lo has comprobado?

Un saludo y Feliz Navidad.
"Tanta salud goces como bondad abrigues en tu corazón"

Don Camilo.

"That place... is strong with the
dark side of the Force.  A domain
of evil it is.  In you must go."

Yoda.

Tiago

  • Zen Warrior
  • ***
  • Posts: 106
  • Karma: +10/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #18 on: December 26, 2019, 04:41:59 pm »
Primeiramente Feliz Natal também amigo, agradeço ajuda que tem nos dado. Após algumas atualizações tenho utilizado o módulo e ele identifica, mas não bloqueia os intrusos, por exemplo tenho ativo a Regra MISC para bloqueio e alguns dias atrás o IDS/IPS até identificou um ataque no serviço RDP, porém nao bloqueou o intruso, percebi que quando ativo a mesma regra para a rede interna ele acaba bloqueando o acesso do intruso que está tentando varias vezes fazer login e o acesso de qualquer outra pessoa inclusive eu.

doncamilo

  • Zen Samurai
  • ****
  • Posts: 390
  • Karma: +110/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #19 on: December 27, 2019, 12:29:06 pm »
Olá Tiago,

A regra MISC possui todas as ações definidas como "Alerta", portanto, é normal não rejeitar ataques (você deve configurá-los como 'descartados' ou 'rejeitados') https://rules.emergingthreats.net/open/suricata/rules/emerging-misc.rules

O que me parece estranho é que ele está bloqueado na interface interna. Pode ser a configuração do ssh ('MaxAuthTries')?

Feliz Natal e um prospero ano novo!
"Tanta salud goces como bondad abrigues en tu corazón"

Don Camilo.

"That place... is strong with the
dark side of the Force.  A domain
of evil it is.  In you must go."

Yoda.