Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Suricata Basics
« previous
next »
Print
Pages: [
1
]
Author
Topic: Suricata Basics (Read 5015 times)
Wayne Train
Full Member
Posts: 194
Karma: 12
Suricata Basics
«
on:
February 13, 2017, 09:54:34 pm »
Hi,
leider habe ich noch nicht viel Erfahrung mit Suricata. Sprich, bis auf die SSL-Blacklist Rules und Feodo habe ich noch nichts auf "drop" gestellt. Die OPNsense an sich läuft aber im IPS-Mode. Gibt es irgendwo Best-Practice-Ansätze, oder kann mir jemand vielleicht ein paar Tipps geben, wie ich das IPS am sinnvollsten einrichte ? Es sind ja z.T. hunderte Regeln und ich kann mir kaum vorstellen, dass man jede einzelne manuell konfiguriert.
Des Weiteren ist mir aufgefallen, das mir in den Logs (alerts) sehr oft "excessive retransmissions" angezeigt wird. Wenn ich mir dann die Quelle anschaue und feststelle, dass es sowas wie Heise ist, dann gehe ich mal stark davon aus, dass es sich um einen zu vernachlässigenden Alert handelt. Kann mir vielleicht jemand sagen, wie ich diese Meldung z.B. whiteliste ? Das steht ja sonst dauernd in den Logs und die wichtigen Dinge gegen unter...
Gibt es ansonsten irgendwie eine Möglichkeit das IPS zu trainieren ? Wie kann ich zum Beispiel einen Scan den ich auf das WAN mache mit dem IPS/IDS testen und einstellen ?
Gruß
Cs
Danke schonmal.
CS
«
Last Edit: February 13, 2017, 10:29:08 pm by cs
»
Logged
Wayne Train
Full Member
Posts: 194
Karma: 12
Re: Suricata Basics
«
Reply #1 on:
February 13, 2017, 10:46:35 pm »
Das was ich zum Beispiel immer sehe ist:
SURICATA STREAM excessive retransmissions (Akamai)
SURICATA TLS invalid record/traffic (Google)
SURICATA Applayer Wrong direction first Data (Amazon)
Klar, ich kann jetzt die Regel disablen, aber ist das der richtige Weg ?
Gruß
CS
Logged
Wayne Train
Full Member
Posts: 194
Karma: 12
Re: Suricata Basics
«
Reply #2 on:
February 14, 2017, 01:39:14 pm »
Und noch eine Frage:
Aho-Coharsick oder Hyperscan ? Was ist der Unterschied und was macht zum Beispiel auf einer APU mehr Sinn ?
Gruß
CS
Logged
Arakangel Michael
Newbie
Posts: 25
Karma: 1
A Noise Like That of A Multitude
Re: Suricata Basics
«
Reply #3 on:
March 20, 2017, 02:11:26 am »
Typically I leave out the retransmission, and SSL rules, as they tend to throw many false positives.
Aho-Corasick is an 'older', and more compatible algorithm. It will basically run on any platform. I have a few older Atoms, and Turions running it just fine. The Intel developers claimed about 1/12th the memory usage for hyperscan, and that it is about 5 times faster for multi pattern matching (single pattern matching was no improvement):
https://suricon.net/wp-content/uploads/2016/11/SuriCon2016_GeoffLangdale.pdf
It requires a processor with SSE3 at a minimum, with AVX, AVX2, and AVX-512 offering better performance with each successive iteration.
Logged
monstermania
Hero Member
Posts: 524
Karma: 47
Re: Suricata Basics
«
Reply #4 on:
March 20, 2017, 09:05:30 am »
Moin,
bitte nicht falsch verstehen.
Ich finde es ist ein stolzes Ziel IPS/IDS wirklich sinnvoll und fachgerecht einsetzen zu wollen!
IDS/IPS ist m.E. für ein größeres Netzwerk vor Allem wenn dort auch noch Dienste angeboten werden (z.B. Email- und Webserver, usw.) absolut sinnvoll.
Nur sitzen in solchen Unternehmen/Netzwerken dann normalerweise auch Leute, die sich den ganzen Tag nur um diese Systeme kümmern. D.h. die die Logs auswerten und den Alerts nachgehen.
Selbst professionelle UTM's beschränken IDS/IPS oft auf wenige Angriffszenarien bzw. überlassen die eigentliche Konfiguration den Herstellern selbst. Dahinter mag dann auch oft ein Snort oder Suricata stecken, dass aber eben per Updatefunktion von den UTM-Herstellern gepflegt/gefüttert wird.
Viel Erfolg!
Gruß
Dirk
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Suricata Basics