Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Suricata IDS Regeln
« previous
next »
Print
Pages: [
1
]
Author
Topic: Suricata IDS Regeln (Read 1977 times)
antiager
Jr. Member
Posts: 92
Karma: 1
Suricata IDS Regeln
«
on:
October 10, 2023, 06:53:11 pm »
Hallo opnsensler!
Habe gerade suricata eingerichtet. Eicar Virus wird erkannt und geblockt. Das läßt mich glauben, dass ich nichts allzu grobes falsch gemacht habe.
Ich arbeite zum erstenmal mit einem IDS.
Jetzt frage ich mich was ich an Rulesets aktivieren soll gibts da einen Tipp für Anfänger oder wo kann ich das nachlesen?
Die Howtos erklären zwar die Installation teilweise sehr gut aber die Rulesets werden oft nur gestreift.
Danke für eure Hilfe bzw. Tipps!
Logged
Danke für die Hilfe!
Thank you for your Help
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1614
Karma: 176
Re: Suricata IDS Regeln
«
Reply #1 on:
October 10, 2023, 07:05:53 pm »
Hallo antiager
- Benutzt du Suricata in IDS oder IPS mode? Nur IPS mode blockt auch, IDS benachrichtigt nur.
- Du solltest Hyperscan als Pattern matcher nutzen falls es dein System unterstützt, damit werden die Rules schneller bearbeitet.
- Suricata unterstützt nur unverschlüsselten Traffic. Alles was verschlüsselt durch die Firewall geht, wird nicht geblockt. (Versuch es mal mit Eicar über HTTPS)
Ich empfehle dir, wenn es deine Datenschutzrichtlinien erlauben, die ET Pro Telemetry edition zu benutzen, da gibt es professionelle Regelsets.
https://docs.opnsense.org/manual/etpro_telemetry.html
Von den ET telemetry rulesets aktivierst du einfach alle, und setzt alle Regeln erstmal auf Alert. Dann schaust du eine Weile nach false positives (Also Regeln die matchen, aber es keinen Sinn ergibt), und deaktivierst diese Regeln einzeln in "Services: Intrusion Detection: Policy: rule adjustements"
Wenn du mehr als ein LAN und WAN hast kannst du deine Performance noch steigern, indem du Bypass Regeln implementierst (schamlose Werbung, hab ich comitted xD)
https://docs.opnsense.org/manual/how-tos/ips-bypass.html
Als letztes setzt du dann alle Regeln auf Block und schaltest IPS scharf. Überprüfst den Cron Job der die Regeln automatisch aktualisiert. Danach läuft das ganz alleine. Manchmal schaut man dann noch in die Alerts was so geblockt wird.
«
Last Edit: October 10, 2023, 07:42:15 pm by Monviech
»
Logged
Hardware:
DEC740
antiager
Jr. Member
Posts: 92
Karma: 1
Re: Suricata IDS Regeln
«
Reply #2 on:
October 11, 2023, 01:48:04 pm »
Danke für die Info!!
Logged
Danke für die Hilfe!
Thank you for your Help
0zzy
Full Member
Posts: 127
Karma: 3
Re: Suricata IDS Regeln
«
Reply #3 on:
October 13, 2023, 05:23:23 pm »
@monviech nur http gedöhns? also rein unverschlüsselter traffic? macht dann ja null sinn das Tool irgendwie.
Wenn ich mich nicht irre, blockt die Sense doch so schon das meiste (bei korrektem ruleset) alles weg.
Welchen Sinn macht Suricata (dessen Bezeichnung mich vollends verwirrt weil es garnicht zu den settings in der sense passt) dann, außer das es die platte mit logs füllt?
Logged
Protectli FW4B
Intel J6412 4 cores
4x Intel I225-V 2,5 Gbit/s
16 GB memory
480 GB m.2 SATA SSD storage
Coreboot
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1614
Karma: 176
Re: Suricata IDS Regeln
«
Reply #4 on:
October 13, 2023, 05:38:01 pm »
Die Regeln werfen den Traffic schon weg, bevor er überhaupt von der eigentlichen Firewall bearbeitet wird:
https://forum.opnsense.org/index.php?topic=36326.0
Proofpoint kann es bestimmt besser erklären als ich:
https://tools.emergingthreats.net/docs/Proofpoint%20ET%20Pro%20Rule%20Set%20Datasheet.pdf
Zusammengefasst versucht Suricata, durch Mustererkennung einen Angriff zu blocken bevor er passiert. Das fängt viele Botnets ab bevor sie zu deinen Clients kommen. Und umgekehrt erschwert es den Verkehr zu verdächtigen Inhalten nach außen. Je nach Regelwerk gibt es aber auch viele false positives, das hilft nur um die Masse an Bots einzudämmen.
Wenn du es noch sicherer haben willst, musst du einen Man in the Middle in den verschlüsselten Verkehr setzen, der die Verbindung aufbricht, analysiert, und wieder verschlüsselt. Das kann z.B. Zenarmor machen.
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Suricata IDS Regeln