Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: marciogf on November 21, 2018, 01:17:02 pm
-
Bom dia, não sei se alguém tá com o mesmo problema mas agora que migrei um servidor do meu escritório para versão 6 toda vez que tendo implementar o IDS/IPS ele automaticamente bloqueia a navegação, mesmo sem selecionar nenhuma regra, como se bloqueasse todo trafego da placa lan selecionada.
Alguma solução?
-
Amigo estou com o mesmo problema, você conseguiu alguma solução?
-
:)
Please, run these commands and give me the output:
sudo suricata --dump-config
sudo suricata --engine-analysis
I can't reproduce the behaviour which you describe.
Cheers!
-
Executei os comandos e esses são estes e o restante estão no arquivo em anexo, pois nao coube aqui:
fsleal@zenleal:~$ sudo suricata --engine-analysis
5/9/2019 -- 21:58:02 - <Notice> - This is Suricata version 3.2 RELEASE
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/botcc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/ciarmy.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/compromised.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/drop.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/dshield.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-attack_response.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-chat.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-current_events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-dns.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-dos.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-exploit.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-ftp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-imap.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-malware.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-misc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-mobile_malware.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-netbios.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-p2p.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-policy.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-pop3.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-rpc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-scada.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-scan.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-smtp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-snmp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-sql.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-telnet.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-tftp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-trojan.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-user_agents.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-voip.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-web_client.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-web_server.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-worm.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tor.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/http-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/smtp-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/dns-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tls-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES_LOADED(43)] - 39 rule files specified, but no rule was loaded at all!
-
Nao consigo postar todo log aqui então o log completo esta neste link:
https://docs.google.com/document/d/1Qxtsbp-j_k3Q21GnP0x2iJGoqa3JzIkI8tCqbgNqf2I/edit?usp=sharing
-
Algumas pessoas estão tendo o mesmo problema, como pode se ver no link:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=895342#20
-
No seu arquivo de configuração, você especifica as interfaces eth0 e eth2. Elas correspondem às interfaces reais do seu sistema?
pfring.0.interface = eth0
pcap.0.interface = eth0
af-packet.0.interface = eth0
...
netmap = (nulo)
netmap.0 = interface
netmap.0.interface = eth2
netmap.1 = interface
netmap.1.interface = padrão
Não parece o caso do bug relatado ao Debian, já que o Zentyal não usa "Nomes de Interface de Rede Previsíveis", mas o antigo esquema eth0, etc.
O Netmap é usado para estabelecer uma ponte da camada 2 entre a interface padrão e, neste caso, eth2 (https://suricata.readthedocs.io/en/latest/capture-hardware/netmap.html#ips)
As interfaces de configuração correspondem à sua rede real?
Uma saudação
PS: Camóes perdoa a tentativa contra a bela língua portuguesa para o Google Translator e eu :)
-
Não as minhas interfaces são eth0 e eth1 como faço pra alterar esse informação, agradeço também ajuda.
Como pode ser visto na imagem do link:
https://1drv.ms/u/s!Apa3Q-qHpv6WiAKynkFDzirIb0ag?e=ewzFN9
Percebi que os sites que ele bloqueia são os http utilizados na porta 80, geralmente utilizo IDS/IPS apenas nas interfaces externas.
-
:)
Criei um módulo Zentyal 6.0 por módulo e não observei o problema de conectividade que você descreveu no próprio Zentyal ou em um cliente com Windows 10.
Primeiro, configurei o módulo de rede com duas interfaces (externa e interna), depois configurei o DHCP para a interface interna. Em seguida, DNS e, finalmente, "IDS / IPS".
O cliente Windows 10 vai para a rede externa perfeitamente e, a partir do próprio Zentyal, posso resolver nomes etc.
A única coisa que me ocorre é solicitar que você use o comando iptables para nos fornecer as regras configuradas em todas as cadeias de todas as tabelas do seu firewall.
Uma saudação!
-
O problema ocorre tanto com o proxy autenticado, quanto com o transparente, onde os sites http simplesmente param de funcionar apos ativação do modulo IDS/IPS. No caso fiz uma instalação limpa em um servidor de testes e apresentou o mesmo problema, testei a versão 5.1 e apresentou o mesmo problema, a unica versão que não apresentou esse problema foi a 3.3
-
:)
Eu adicionei o módulo HTTP-Proxy à configuração anterior e habilitei a opção "proxy transparente". A navegação de um cliente Windows ocorre conforme o esperado, de acordo com as regras que introduzi.
Você tentou montar o módulo do sistema por módulo, configurando-o manualmente?
Você verificou suas regras de firewall com o iptables?
Você pode alterar o parâmetro /etc/zentyal/zentyal.confç
debug = yes
Depois
sudo zs webadmin
Teste em máquinas clientes e verifique os logs /var/log/syslog
Uma saudação!
-
Realizei o seguinte teste:
- Realizei a instalação de uma instalação limpa da versão 6.0, e ativei os módulos, proxy-http,IDS/IPS, DHCP e antivirus, logo que habilito o IDS/IPS na eth0 que é a interface externa, automaticamente e bloqueia todo meu tráfego de internet, não consigo nem pingar o DNS da google 8.8.8.8, só consigo acessar após desabilitar o módulo IDS/IPS.
-
:)
Lo intento y te digo.
Un saludo.
-
Esqueci de perguntar todas configuraçaoes voce esta fazendo via Web ou linha de comando? estou fazendo aqui via web, será que este é o problema?
-
:)
He utilizado webadmin pero he instalado los módulos ordenadamente, uno por uno (no todos de vez), y he configurado los de red, firewall y DNS manualmente.
Un saludo!
-
Estou fazendo todas configurações através da interface Web, poderia por favor me passar os comando para ativação do modulo IDS\IPS na interface externa eth0?
-
Alguém mais aqui no forum utiliza o Serviço de IDS/IPS, funciona normalmente?
-
:)
Hola Tiago!
He vuelto a instalar IDS/IPS y todo parece funcionar correctamente.
No es necesario recurrir a la línea de comando para habilitar la interfaz externa. Simplemente la he habilitado desde webadmin.
(https://i.ibb.co/tB0fMQv/suricata-config-iface.png) (https://ibb.co/dBN90jV)
Zentyal configura las redes en suricata de una forma un poco sucia, pero que funciona. (Suricata mete por defecto los rangos privados de red y deja como externas las demás. Bastante sucio pero efectivo)
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
EXTERNAL_NET: any
He probado a provocar tráfico sospechoso desde la interfaz externa y, después de habilitarla, desde la interfaz interna:
nmap -Pn --script vuln 192.168.61.1
Y ha sido perfectamente detectado:
# /var/log/suricata/fast.log
12/26/2019-11:56:27.204859 [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 192.168.61.2:51157 -> 192.168.61.1:445
...
Lo mismo desde la interfaz externa (tras desactivar el firewall):
nmap -Pn --script vuln 10.5.20.253
12/26/2019-12:05:32.603295 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.5.20.62:38937 -> 10.5.20.253:705
12/26/2019-12:05:37.175228 [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 10.5.20.62:58916 -> 10.5.20.253:445
...
En ningún momento he tenido pérdidas de conectividad ni en la máquina cliente ni en el servidor.
Empiezo a creer que tienes problemas con el módulo de red. ¿Lo has comprobado?
Un saludo y Feliz Navidad.
-
Primeiramente Feliz Natal também amigo, agradeço ajuda que tem nos dado. Após algumas atualizações tenho utilizado o módulo e ele identifica, mas não bloqueia os intrusos, por exemplo tenho ativo a Regra MISC para bloqueio e alguns dias atrás o IDS/IPS até identificou um ataque no serviço RDP, porém nao bloqueou o intruso, percebi que quando ativo a mesma regra para a rede interna ele acaba bloqueando o acesso do intruso que está tentando varias vezes fazer login e o acesso de qualquer outra pessoa inclusive eu.
-
Olá Tiago,
A regra MISC possui todas as ações definidas como "Alerta", portanto, é normal não rejeitar ataques (você deve configurá-los como 'descartados' ou 'rejeitados') https://rules.emergingthreats.net/open/suricata/rules/emerging-misc.rules (https://rules.emergingthreats.net/open/suricata/rules/emerging-misc.rules)
O que me parece estranho é que ele está bloqueado na interface interna. Pode ser a configuração do ssh ('MaxAuthTries')?
Feliz Natal e um prospero ano novo!