Suricata IDS Regeln

[antiager]

Hallo opnsensler!

Habe gerade suricata eingerichtet. Eicar Virus wird erkannt und geblockt. Das läßt mich glauben, dass ich nichts allzu grobes falsch gemacht habe.

Ich arbeite zum erstenmal mit einem IDS.

Jetzt frage ich mich was ich an Rulesets aktivieren soll gibts da einen Tipp für Anfänger oder wo kann ich das nachlesen?

Die Howtos erklären zwar die Installation teilweise sehr gut aber die Rulesets werden oft nur gestreift.

Danke für eure Hilfe bzw. Tipps!

[Monviech (Cedrik)]

Hallo antiager

- Benutzt du Suricata in IDS oder IPS mode? Nur IPS mode blockt auch, IDS benachrichtigt nur.
- Du solltest Hyperscan als Pattern matcher nutzen falls es dein System unterstützt, damit werden die Rules schneller bearbeitet.
- Suricata unterstützt nur unverschlüsselten Traffic. Alles was verschlüsselt durch die Firewall geht, wird nicht geblockt. (Versuch es mal mit Eicar über HTTPS)

Ich empfehle dir, wenn es deine Datenschutzrichtlinien erlauben, die ET Pro Telemetry edition zu benutzen, da gibt es professionelle Regelsets.

https://docs.opnsense.org/manual/etpro_telemetry.html

Von den ET telemetry rulesets aktivierst du einfach alle, und setzt alle Regeln erstmal auf Alert. Dann schaust du eine Weile nach false positives (Also Regeln die matchen, aber es keinen Sinn ergibt), und deaktivierst diese Regeln einzeln in "Services: Intrusion Detection: Policy: rule adjustements"

Wenn du mehr als ein LAN und WAN hast kannst du deine Performance noch steigern, indem du Bypass Regeln implementierst (schamlose Werbung, hab ich comitted xD)
https://docs.opnsense.org/manual/how-tos/ips-bypass.html

Als letztes setzt du dann alle Regeln auf Block und schaltest IPS scharf. Überprüfst den Cron Job der die Regeln automatisch aktualisiert. Danach läuft das ganz alleine. Manchmal schaut man dann noch in die Alerts was so geblockt wird.

[antiager]

Danke für die Info!!

[0zzy]

@monviech nur http gedöhns? also rein unverschlüsselter traffic? macht dann ja null sinn das Tool irgendwie.
Wenn ich mich nicht irre, blockt die Sense doch so schon das meiste (bei korrektem ruleset) alles weg.
Welchen Sinn macht Suricata (dessen Bezeichnung mich vollends verwirrt weil es garnicht zu den settings in der sense passt) dann, außer das es die platte mit logs füllt?

[Monviech (Cedrik)]

Die Regeln werfen den Traffic schon weg, bevor er überhaupt von der eigentlichen Firewall bearbeitet wird:

https://forum.opnsense.org/index.php?topic=36326.0

Proofpoint kann es bestimmt besser erklären als ich:

https://tools.emergingthreats.net/docs/Proofpoint%20ET%20Pro%20Rule%20Set%20Datasheet.pdf

Zusammengefasst versucht Suricata, durch Mustererkennung einen Angriff zu blocken bevor er passiert. Das fängt viele Botnets ab bevor sie zu deinen Clients kommen. Und umgekehrt erschwert es den Verkehr zu verdächtigen Inhalten nach außen. Je nach Regelwerk gibt es aber auch viele false positives, das hilft nur um die Masse an Bots einzudämmen.

Wenn du es noch sicherer haben willst, musst du einen Man in the Middle in den verschlüsselten Verkehr setzen, der die Verbindung aufbricht, analysiert, und wieder verschlüsselt. Das kann z.B. Zenarmor machen.