Zentyal Forum, Linux Small Business Server

International => Portuguese => Topic started by: marciogf on November 21, 2018, 01:17:02 pm

Title: Erro IDS/IPS Zenyal 6
Post by: marciogf on November 21, 2018, 01:17:02 pm
Bom dia, não sei se alguém tá com o mesmo problema mas agora que migrei um servidor do meu escritório para versão 6 toda vez que tendo implementar o IDS/IPS ele automaticamente bloqueia a navegação, mesmo sem selecionar nenhuma regra, como se bloqueasse todo trafego da placa lan selecionada.
Alguma solução?
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 05, 2019, 03:04:58 am
Amigo estou com o mesmo problema, você conseguiu alguma solução?
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on September 05, 2019, 02:13:43 pm
:)

Please, run these commands and give me the output:

Code: [Select]
sudo suricata --dump-config
sudo suricata --engine-analysis

I can't reproduce the behaviour which you describe.

Cheers!
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 06, 2019, 03:07:04 am
Executei os comandos e esses são estes e o restante estão no arquivo em anexo, pois nao coube aqui:

fsleal@zenleal:~$ sudo suricata --engine-analysis
5/9/2019 -- 21:58:02 - <Notice> - This is Suricata version 3.2 RELEASE
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/botcc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/ciarmy.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/compromised.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/drop.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/dshield.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-attack_response.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-chat.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-current_events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-dns.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-dos.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-exploit.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-ftp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-imap.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-malware.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-misc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-mobile_malware.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-netbios.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-p2p.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-policy.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-pop3.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-rpc.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-scada.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-scan.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-smtp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-snmp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-sql.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-telnet.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-tftp.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-trojan.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-user_agents.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-voip.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-web_client.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-web_server.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/emerging-worm.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tor.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/http-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/smtp-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/dns-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tls-events.rules
5/9/2019 -- 21:58:02 - <Warning> - [ERRCODE: SC_ERR_NO_RULES_LOADED(43)] - 39 rule files specified, but no rule was loaded at all!

Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 06, 2019, 03:16:06 am
Nao consigo postar todo log aqui então o log completo esta neste link:

https://docs.google.com/document/d/1Qxtsbp-j_k3Q21GnP0x2iJGoqa3JzIkI8tCqbgNqf2I/edit?usp=sharing
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 09, 2019, 01:17:11 am
Algumas pessoas estão tendo o mesmo problema, como pode se ver no link:

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=895342#20
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on September 10, 2019, 02:55:08 pm
No seu arquivo de configuração, você especifica as interfaces eth0 e eth2. Elas correspondem às interfaces reais do seu sistema?

  pfring.0.interface = eth0
pcap.0.interface = eth0
af-packet.0.interface = eth0
...
netmap = (nulo)
netmap.0 = interface
netmap.0.interface = eth2
netmap.1 = interface
netmap.1.interface = padrão

Não parece o caso do bug relatado ao Debian, já que o Zentyal não usa "Nomes de Interface de Rede Previsíveis", mas o antigo esquema eth0, etc.

O Netmap é usado para estabelecer uma ponte da camada 2 entre a interface padrão e, neste caso, eth2 (https://suricata.readthedocs.io/en/latest/capture-hardware/netmap.html#ips)

As interfaces de configuração correspondem à sua rede real?

Uma saudação

PS: Camóes perdoa a tentativa contra a bela língua portuguesa para o Google Translator e eu :)
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 10, 2019, 04:08:46 pm
Não as minhas interfaces são eth0 e eth1 como faço pra alterar esse informação, agradeço também ajuda.
Como pode ser visto na imagem do link:
https://1drv.ms/u/s!Apa3Q-qHpv6WiAKynkFDzirIb0ag?e=ewzFN9

Percebi que os sites que ele bloqueia são os http utilizados na porta 80, geralmente utilizo IDS/IPS apenas nas interfaces externas.
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on September 17, 2019, 04:04:47 pm
 :)

Criei um módulo Zentyal 6.0 por módulo e não observei o problema de conectividade que você descreveu no próprio Zentyal ou em um cliente com Windows 10.
Primeiro, configurei o módulo de rede com duas interfaces (externa e interna), depois configurei o DHCP para a interface interna. Em seguida, DNS e, finalmente, "IDS / IPS".
O cliente Windows 10 vai para a rede externa perfeitamente e, a partir do próprio Zentyal, posso resolver nomes etc.
A única coisa que me ocorre é solicitar que você use o comando iptables para nos fornecer as regras configuradas em todas as cadeias de todas as tabelas do seu firewall.
Uma saudação!
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 18, 2019, 02:56:33 am
O problema ocorre tanto com o proxy autenticado, quanto com o transparente, onde os sites http simplesmente param de funcionar apos ativação do modulo IDS/IPS. No caso fiz uma instalação limpa em um servidor de testes e apresentou o mesmo problema, testei a versão 5.1 e apresentou o mesmo problema, a unica versão que não apresentou esse problema foi a 3.3
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on September 18, 2019, 03:05:19 pm
 :)

Eu adicionei o módulo HTTP-Proxy à configuração anterior e habilitei a opção "proxy transparente". A navegação de um cliente Windows ocorre conforme o esperado, de acordo com as regras que introduzi.

Você tentou montar o módulo do sistema por módulo, configurando-o manualmente?

Você verificou suas regras de firewall com o iptables?

Você pode alterar o parâmetro /etc/zentyal/zentyal.confç

Code: [Select]
debug = yes

Depois

Code: [Select]
sudo zs webadmin

Teste em máquinas clientes e verifique os logs /var/log/syslog
Uma saudação!
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 18, 2019, 10:49:25 pm
Realizei o seguinte teste:
- Realizei a instalação de uma instalação limpa da versão 6.0, e ativei os módulos, proxy-http,IDS/IPS, DHCP e antivirus, logo que habilito o IDS/IPS na eth0 que é a interface externa, automaticamente e bloqueia todo meu tráfego de internet, não consigo nem pingar o DNS da google 8.8.8.8, só consigo acessar após desabilitar o módulo IDS/IPS.
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on September 19, 2019, 02:06:08 pm
 :)

Lo intento y te digo.

Un saludo.
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 19, 2019, 10:39:51 pm
Esqueci de perguntar todas configuraçaoes voce esta fazendo via Web ou linha de comando? estou fazendo aqui via web, será que este é o problema?
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on September 20, 2019, 01:10:18 pm
 :)

He utilizado webadmin pero he instalado los módulos ordenadamente, uno por uno (no todos de vez), y he configurado los de red, firewall y DNS manualmente.

Un saludo!
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on September 23, 2019, 07:49:16 pm
Estou fazendo todas configurações através da interface Web, poderia por favor me passar os comando para ativação do modulo IDS\IPS na interface externa eth0?
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on December 23, 2019, 07:56:07 pm
Alguém mais aqui no forum utiliza o Serviço de IDS/IPS, funciona normalmente?
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on December 26, 2019, 12:16:02 pm
 :)

Hola Tiago!

He vuelto a instalar IDS/IPS y todo parece funcionar correctamente.

No es necesario recurrir a la línea de comando para habilitar la interfaz externa. Simplemente la he habilitado desde webadmin.

 (https://i.ibb.co/tB0fMQv/suricata-config-iface.png) (https://ibb.co/dBN90jV)

Zentyal configura las redes en suricata de una forma un poco sucia, pero que funciona. (Suricata mete por defecto los rangos privados de red y deja como externas las demás. Bastante sucio pero efectivo)

Code: [Select]
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"

 EXTERNAL_NET: any

He probado a provocar tráfico sospechoso desde la interfaz externa y, después de habilitarla, desde la interfaz interna:

Code: [Select]
nmap -Pn --script vuln 192.168.61.1

Y ha sido perfectamente detectado:

Code: [Select]
# /var/log/suricata/fast.log
12/26/2019-11:56:27.204859  [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 192.168.61.2:51157 -> 192.168.61.1:445
...

Lo mismo desde la interfaz externa (tras desactivar el firewall):

Code: [Select]
nmap -Pn --script vuln 10.5.20.253

Code: [Select]
12/26/2019-12:05:32.603295  [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.5.20.62:38937 -> 10.5.20.253:705
12/26/2019-12:05:37.175228  [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 10.5.20.62:58916 -> 10.5.20.253:445
...

En ningún momento he tenido pérdidas de conectividad ni en la máquina cliente ni en el servidor.

Empiezo a creer que tienes problemas con el módulo de red. ¿Lo has comprobado?

Un saludo y Feliz Navidad.
Title: Re: Erro IDS/IPS Zenyal 6
Post by: Tiago on December 26, 2019, 04:41:59 pm
Primeiramente Feliz Natal também amigo, agradeço ajuda que tem nos dado. Após algumas atualizações tenho utilizado o módulo e ele identifica, mas não bloqueia os intrusos, por exemplo tenho ativo a Regra MISC para bloqueio e alguns dias atrás o IDS/IPS até identificou um ataque no serviço RDP, porém nao bloqueou o intruso, percebi que quando ativo a mesma regra para a rede interna ele acaba bloqueando o acesso do intruso que está tentando varias vezes fazer login e o acesso de qualquer outra pessoa inclusive eu.
Title: Re: Erro IDS/IPS Zenyal 6
Post by: doncamilo on December 27, 2019, 12:29:06 pm
Olá Tiago,

A regra MISC possui todas as ações definidas como "Alerta", portanto, é normal não rejeitar ataques (você deve configurá-los como 'descartados' ou 'rejeitados') https://rules.emergingthreats.net/open/suricata/rules/emerging-misc.rules (https://rules.emergingthreats.net/open/suricata/rules/emerging-misc.rules)

O que me parece estranho é que ele está bloqueado na interface interna. Pode ser a configuração do ssh ('MaxAuthTries')?

Feliz Natal e um prospero ano novo!