LINUX.ORG.RU
ФорумAdmin

Suricata в Altell NEO.

 ,


0

1

Я знаю что это не саппорт Altell, но у этого программного МЭ на борту Vyatta с некоторыми сторонними пакетами, в частности Suricata в качестве IDS/IPS. Вообще, я открыл кейс, но эти ублюдки отвечают по 5 месяцев (без преувеличений), а телефон «сбрасывает». Куплен не мной и куплен только из-за наличия сертификата ФСТЭК (требуется).
Я не имел дел с настройкой ids/ips ранее (был watchguard, который сам блочил всякую нечисть по подписке, лол), прочитал https://xakep.ru/2015/06/28/suricata-ids-ips-197/ и https://habrahabr.ru/post/192884/ для общего ознакомления, ну и, конечно, документацию altell, ибо в конечном счете приходится руководствоваться их синтаксисом и логикой.
И так, у меня, собственно, не работает IPS. Раньше он даже лог не писал и summary не вел, но после factory reset`а начал, и это уже достижение, да. Теперь ведет лог, и в режиме IDS, и в режиме IPS, например (чтобы было понятно, на этой эмуляции 83.246.142.1 - это узел оператора, который является дефолтным шлюзом для моего МЭ/маршрутизатора и в данном случае выступает как «интернет», 83.246.160.242 - мой узел, адрес которого лежит в белом маршрутизируемом пуле ipv4, который я арендую, который находится ЗА altell NEO, т.е. для меня «условно» локальный):

admin@NEO1U# run show idps log
2017/03/22-14:59:15.32609 [**] [1:2101867:2] GPL RPC xdmcp info query  [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 83.246.142.1:51482 -> 83.246.160.242:177
2017/03/22-15:00:59.15209 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:3306
2017/03/22-15:01:00.25684 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:3306
2017/03/22-15:01:00.60414 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:162
2017/03/22-15:01:00.70867 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:162
2017/03/22-15:01:01.72439 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:162
2017/03/22-15:01:01.72451 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:3306
2017/03/22-15:01:03.15822 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5919
2017/03/22-15:01:04.65724 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5815
2017/03/22-15:01:04.78230 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:4333
2017/03/22-15:01:04.88813 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:4333
2017/03/22-15:01:04.99111 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:4333
2017/03/22-15:01:05.40414 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5905
2017/03/22-15:01:06.33429 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:4333
2017/03/22-15:01:06.33437 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:3306
2017/03/22-15:01:06.33442 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:162
2017/03/22-15:01:06.41328 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:1433
2017/03/22-15:01:06.51638 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:1433
2017/03/22-15:01:06.56791 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5805
2017/03/22-15:01:06.61931 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:1433
2017/03/22-15:01:07.72585 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:1433
2017/03/22-15:01:08.31589 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5902
2017/03/22-15:01:08.87572 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5816
2017/03/22-15:01:08.89738 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:1521
2017/03/22-15:01:09.00171 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:1521
2017/03/22-15:01:09.09487 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5432
2017/03/22-15:01:09.10467 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:1521
2017/03/22-15:01:09.16674 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5909
2017/03/22-15:01:09.20075 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:5432
2017/03/22-15:01:09.20663 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:1521
2017/03/22-15:01:09.30475 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:5432
2017/03/22-15:01:09.37343 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5812
2017/03/22-15:01:09.40576 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:5432
2017/03/22-15:01:10.21325 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5913
2017/03/22-15:01:10.33358 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5806
2017/03/22-15:01:14.64475 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:14.84655 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:14.94839 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:15.04979 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:28.60777 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:22611 -> 83.246.160.242:1433
2017/03/22-15:03:09.99195 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:10.19217 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:10.29316 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:10.39506 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:24.25586 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:22953 -> 83.246.160.242:1433
2017/03/22-15:03:27.26020 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:22953 -> 83.246.160.242:1433
Как видно, большинство действий имеют приорити 1 или 2, что исходя из моего конфига должно дропаться. Вот конфиг:
[edit]
admin@NEO1U# show idps
   actions {
       other pass
       priority-1 drop
       priority-2 drop
   }
   modify-rules {
       internal-network 83.246.160.240/28
       internal-network 83.xxx/28
       internal-network 83.xxx/24
       internal-network 10.0.0.0/8
   }
   output {
       syslog {
       }
   }
[edit]
Вооот. Но я как при выключенном IPS полностью сканил nmap`ом хост 83.246.160.242, так и при включенном. Да, ips пишет что такой-то нехороший хост 83.246.142.1 (олицетворение Интернета) делает нехорошие вещи, но не блочит его, т.е. по поведению не отличается от IDS. Также при включенном IPS продолжаю nping`ом спамить SYN`ами в 8000 порт (использую на лаптопе минивеб) и минивеб сервер захлебывается, но IPS на это плевать. Тот же WatchGuard на попытку нмапом полапать хост, сразу отправлял в перманентный блок. Здесь же, как я понял, вообще никаких блок листов нет.
Разбор делается через NFQUEUE. Если нужен suricata.yaml - скажите какой кусок, ибо он большой. Но на него влияет только сегмент idps (который я привел выше в «show idps») и включение на интерфейсах. Включен только на одном:
admin@NEO1U# show interfaces ethernet eth0
   address 83.xxx/26
   description INTERNET_TTK
   ips {
       in {
           enable
       }
       local {
           enable
       }
   }
   mtu 1500
[edit]
В общем, если есть идеи - очень прошу.



Последнее исправление: nokogerra (всего исправлений: 1)
Ответ на: комментарий от Deleted

Да есть оно, добавляется при включении любого из режимов (IDS или IPS):

admin@NEO1UITIS# iptables-save | match NFQ
-A VYATTA_SURICATA_all_HOOK -j NFQUEUE --queue-balance 666:673
[edit]
Хотя шелл там аля джунОС, но низкоуровневые команды доступны. Правда, ими сделать ничего нельзя, все изменения сделанные никсовыми командами откатываются после ребута, т.е. оперировать нужно синтаксисом виатты.
Меня немного смущает принцип работы Suricata: он не ведет список блокируемых хостов, а лишь должен дропать или реджектитт трафик, попадающий под указанные правила? Просто не нашел никакого блэк-листа, как у вышеупомянутого WatchGuard. Полагаю, в случае с Сурикатой, нужно мониторить особо рьяные хосты и руками блокировать в узле firewall.

nokogerra
() автор топика
Ответ на: комментарий от Deleted

это не то, о чем я спрашивал.
у меня уже есть железка, которая при том явно не стоит своих денег. Хочется ее заставить работать.

nokogerra
() автор топика
Ответ на: комментарий от nokogerra

вопрос в том, можно ли на железку вкрячивать доп. софт, или может быть есть нужный.
насколько мне известно, суриката сама не ведёт список заблокированных ресурсов. их можно либо в логе пособирать (например отправлять через syslog и анализировать на стороне) либо посмотреть что там в iptables заблокировалось.

Deleted
()
Ответ на: комментарий от Deleted

А, вы об этом. Не, только то, что есть. Более того, как я писал выше, все что сделано НЕ командами vyatta, а командами linux, будет откачено после ребута.

nokogerra
() автор топика
Ответ на: комментарий от Deleted

Есть мнение, что я лучше него знаю что и как с алтелем, это не первая моя железка такая, просто первый IDS/IPS (был не один десяток часов в лабе). Дело в том, что изменения, внесенные через низкоуровневые команды не попадают в конфиг файл никаким образом, но на работу системы влияют до следующей перезагрузки (что в общем-то логично). Например, я вполне могу настроить нетфильтр с помощью команд iptables вместо узла firewall (который, собственно, оперирует теми же командами) и получить такой же результат, но при стартапе железка читает только один конкретный файл конфига и это изменить нельзя (по крайней мере пока), и все наработки с помощью iptables пойдут прахом, а вот все наработки с помощью узла firewall будут считаны (т.к. они в конф. файле), после чего будет инициирован запуск определенных скриптов, приводящих систему в нужное состояние.


P.S. я дозвонился таки в саппорт. выяснилось, что там работает 1 человек и он же на телефоне (sic!). т.е. на саппорт расчитывать не стоит. да и ни один адекватный человек не купит 6-портовую железку с линупсом на борту на 300к. Прицел на ЦА, который необходима сертификация ФСТЭК, тем и живут.

nokogerra
() автор топика
Ответ на: комментарий от nokogerra

Саппорт согласился, что ips реально работает не так как нужно (по факту не работает). Готовят обновление.

nokogerra
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.