Author Topic: Erro IDS/IPS Zenyal 6  (Read 1138 times)

marciogf

  • Zen Apprentice
  • *
  • Posts: 9
  • Karma: +0/-0
    • View Profile
Erro IDS/IPS Zenyal 6
« on: November 21, 2018, 01:17:02 pm »
Bom dia, não sei se alguém tá com o mesmo problema mas agora que migrei um servidor do meu escritório para versão 6 toda vez que tendo implementar o IDS/IPS ele automaticamente bloqueia a navegação, mesmo sem selecionar nenhuma regra, como se bloqueasse todo trafego da placa lan selecionada.
Alguma solução?

Tiago

  • Zen Monk
  • **
  • Posts: 81
  • Karma: +2/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #1 on: September 05, 2019, 03:04:58 am »
Amigo estou com o mesmo problema, você conseguiu alguma solução?

doncamilo

  • Zen Warrior
  • ***
  • Posts: 162
  • Karma: +29/-0
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #2 on: September 05, 2019, 02:13:43 pm »
:)

Please, run these commands and give me the output:

Code: [Select]
sudo suricata --dump-config
sudo suricata --engine-analysis

I can't reproduce the behaviour which you describe.

Cheers!
« Last Edit: September 05, 2019, 02:24:07 pm by doncamilo »

Tiago

  • Zen Monk
  • **
  • Posts: 81
  • Karma: +2/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #3 on: September 06, 2019, 03:07:04 am »
Executei os comandos e esses são estes e o restante estão no arquivo em anexo, pois nao coube aqui:

fsleal@zenleal:~$ sudo suricata --engine-analysis
5/9/2019 -- 21:58:02 - <Notice> - This is Suricata version 3.2 RELEASE
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/botcc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/ciarmy.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/compromised.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/drop.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/dshield.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-attack_response.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-chat.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-current_events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-dns.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-dos.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-exploit.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-ftp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-imap.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-malware.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-misc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-mobile_malware.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-netbios.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-p2p.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-policy.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-pop3.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-rpc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-scada.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-scan.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-smtp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-snmp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-sql.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-telnet.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-tftp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-trojan.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-user_agents.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-voip.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-web_client.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-web_server.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-worm.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tor.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/http-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/smtp-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/dns-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tls-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES_LOADED(43)] - 39 rule files specified, but no rule was loaded at all!


Tiago

  • Zen Monk
  • **
  • Posts: 81
  • Karma: +2/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #4 on: September 06, 2019, 03:16:06 am »
Nao consigo postar todo log aqui então o log completo esta neste link:

https://docs.google.com/document/d/1Qxtsbp-j_k3Q21GnP0x2iJGoqa3JzIkI8tCqbgNqf2I/edit?usp=sharing

Tiago

  • Zen Monk
  • **
  • Posts: 81
  • Karma: +2/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #5 on: September 09, 2019, 01:17:11 am »
Algumas pessoas estão tendo o mesmo problema, como pode se ver no link:

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=895342#20

doncamilo

  • Zen Warrior
  • ***
  • Posts: 162
  • Karma: +29/-0
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #6 on: September 10, 2019, 02:55:08 pm »
No seu arquivo de configuração, você especifica as interfaces eth0 e eth2. Elas correspondem às interfaces reais do seu sistema?

  pfring.0.interface = eth0
pcap.0.interface = eth0
af-packet.0.interface = eth0
...
netmap = (nulo)
netmap.0 = interface
netmap.0.interface = eth2
netmap.1 = interface
netmap.1.interface = padrão

Não parece o caso do bug relatado ao Debian, já que o Zentyal não usa "Nomes de Interface de Rede Previsíveis", mas o antigo esquema eth0, etc.

O Netmap é usado para estabelecer uma ponte da camada 2 entre a interface padrão e, neste caso, eth2 (https://suricata.readthedocs.io/en/latest/capture-hardware/netmap.html#ips)

As interfaces de configuração correspondem à sua rede real?

Uma saudação

PS: Camóes perdoa a tentativa contra a bela língua portuguesa para o Google Translator e eu :)

Tiago

  • Zen Monk
  • **
  • Posts: 81
  • Karma: +2/-1
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #7 on: September 10, 2019, 04:08:46 pm »
Não as minhas interfaces são eth0 e eth1 como faço pra alterar esse informação, agradeço também ajuda.
Como pode ser visto na imagem do link:
https://1drv.ms/u/s!Apa3Q-qHpv6WiAKynkFDzirIb0ag?e=ewzFN9

Percebi que os sites que ele bloqueia são os http utilizados na porta 80, geralmente utilizo IDS/IPS apenas nas interfaces externas.

doncamilo

  • Zen Warrior
  • ***
  • Posts: 162
  • Karma: +29/-0
    • View Profile
Re: Erro IDS/IPS Zenyal 6
« Reply #8 on: Today at 04:04:47 pm »
 :)

Criei um módulo Zentyal 6.0 por módulo e não observei o problema de conectividade que você descreveu no próprio Zentyal ou em um cliente com Windows 10.
Primeiro, configurei o módulo de rede com duas interfaces (externa e interna), depois configurei o DHCP para a interface interna. Em seguida, DNS e, finalmente, "IDS / IPS".
O cliente Windows 10 vai para a rede externa perfeitamente e, a partir do próprio Zentyal, posso resolver nomes etc.
A única coisa que me ocorre é solicitar que você use o comando iptables para nos fornecer as regras configuradas em todas as cadeias de todas as tabelas do seu firewall.
Uma saudação!