OPNsense Forum

International Forums => German - Deutsch => Topic started by: Wayne Train on February 13, 2017, 09:54:34 pm

Title: Suricata Basics
Post by: Wayne Train on February 13, 2017, 09:54:34 pm
Hi,
leider habe ich noch nicht viel Erfahrung mit Suricata. Sprich, bis auf die SSL-Blacklist Rules und Feodo habe ich noch nichts auf "drop" gestellt. Die OPNsense an sich läuft aber im IPS-Mode. Gibt es irgendwo Best-Practice-Ansätze, oder kann mir jemand vielleicht ein paar Tipps geben, wie ich das IPS am sinnvollsten einrichte ? Es sind ja z.T. hunderte Regeln und ich kann mir kaum vorstellen, dass man jede einzelne manuell konfiguriert.

Des Weiteren ist mir aufgefallen, das mir in den Logs (alerts) sehr oft "excessive retransmissions" angezeigt wird. Wenn ich mir dann die Quelle anschaue und feststelle, dass es sowas wie Heise ist, dann gehe ich mal stark davon aus, dass es sich um einen zu vernachlässigenden Alert handelt. Kann mir vielleicht jemand sagen, wie ich diese Meldung z.B. whiteliste ? Das steht ja sonst dauernd in den Logs und die wichtigen Dinge gegen unter...

Gibt es ansonsten irgendwie eine Möglichkeit das IPS zu trainieren ? Wie kann ich zum Beispiel einen Scan den ich auf das WAN mache mit dem IPS/IDS testen und einstellen ?

Gruß
Cs

Danke schonmal.
CS
Title: Re: Suricata Basics
Post by: Wayne Train on February 13, 2017, 10:46:35 pm
Das was ich zum Beispiel immer sehe ist:

SURICATA STREAM excessive retransmissions (Akamai)
SURICATA TLS invalid record/traffic (Google)
SURICATA Applayer Wrong direction first Data (Amazon)

Klar, ich kann jetzt die Regel disablen, aber ist das der richtige Weg ?

Gruß
CS
Title: Re: Suricata Basics
Post by: Wayne Train on February 14, 2017, 01:39:14 pm
Und noch eine Frage:

Aho-Coharsick oder Hyperscan ? Was ist der Unterschied und was macht zum Beispiel auf einer APU mehr Sinn ?
Gruß
CS
Title: Re: Suricata Basics
Post by: Arakangel Michael on March 20, 2017, 02:11:26 am
Typically I leave out the retransmission, and SSL rules, as they tend to throw many false positives.

Aho-Corasick is an 'older', and more compatible algorithm. It will basically run on any platform. I have a few older Atoms, and Turions running it just fine. The Intel developers claimed about 1/12th the memory usage for hyperscan, and that it is about 5 times faster for multi pattern matching (single pattern matching was no improvement):

https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf

It requires a processor with SSE3 at a minimum, with AVX, AVX2, and AVX-512 offering better performance with each successive iteration.
Title: Re: Suricata Basics
Post by: monstermania on March 20, 2017, 09:05:30 am
Moin,
bitte nicht falsch verstehen.  ;)
Ich finde es ist ein stolzes Ziel IPS/IDS wirklich sinnvoll und fachgerecht einsetzen zu wollen!

IDS/IPS ist m.E. für ein größeres Netzwerk vor Allem wenn dort auch noch Dienste angeboten werden (z.B. Email- und Webserver, usw.) absolut sinnvoll.
Nur sitzen in solchen Unternehmen/Netzwerken dann normalerweise auch Leute, die sich den ganzen Tag nur um diese Systeme kümmern. D.h. die die Logs auswerten und den Alerts nachgehen.
Selbst professionelle UTM's beschränken IDS/IPS oft auf wenige Angriffszenarien bzw. überlassen die eigentliche Konfiguration den Herstellern selbst. Dahinter mag dann auch oft ein Snort oder Suricata stecken, dass aber eben per Updatefunktion von den UTM-Herstellern gepflegt/gefüttert wird.

Viel Erfolg!

Gruß
Dirk