https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Suricata.yaml_Erkl%C3%A4rung
Suricata.yaml Erklärung - Versionsgeschichte
2026-06-18T04:12:51Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Suricata.yaml_Erkl%C3%A4rung&diff=69944&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= Suricata – Konfiguration = Diese Seite beschreibt die Suricata-Konfigurationsdatei <code>/etc/suricata/suricata.yaml</code> im Detail. == Variablen (vars…“
2026-05-12T09:49:08Z
<p>Die Seite wurde neu angelegt: „= Suricata – Konfiguration = Diese Seite beschreibt die Suricata-Konfigurationsdatei <code>/etc/suricata/suricata.yaml</code> im Detail. == Variablen (vars…“</p>
<p><b>Neue Seite</b></p><div>= Suricata – Konfiguration =<br />
<br />
Diese Seite beschreibt die Suricata-Konfigurationsdatei <code>/etc/suricata/suricata.yaml</code> im Detail.<br />
<br />
== Variablen (vars) ==<br />
<br />
Suricata verwendet Adressgruppen, die in der YAML-Konfiguration unter <code>vars.address-groups</code> definiert werden. Sie erlauben es, Regeln netzwerkunabhängig zu formulieren.<br />
<br />
{| class="wikitable"<br />
! Variable !! Wert !! Bedeutung<br />
|-<br />
| <code>LAN</code> || <code>172.26.2XX.0/24</code> || Internes LAN-Netz (XX = Studentennummer)<br />
|-<br />
| <code>DMZ</code> || <code>10.88.2XX.0/24</code> || Demilitarisierte Zone<br />
|-<br />
| <code>SERVER</code> || <code>10.2XX.1.0/24</code> || Servernetz<br />
|-<br />
| <code>INT</code> || <code>$LAN, $DMZ, $SERVER</code> || Zusammenfassung aller internen Netze<br />
|-<br />
| <code>HOME_NET</code> || <code>$INT</code> || Alias für alle internen Netze (wird von Regeln verwendet)<br />
|-<br />
| <code>EXTERNAL_NET</code> || <code>!$INT</code> || Alles außerhalb der internen Netze<br />
|}<br />
<br />
<pre><br />
vars:<br />
address-groups:<br />
LAN: "[172.26.2XX.0/24]"<br />
DMZ: "[10.88.2XX.0/24]"<br />
SERVER: "[10.2XX.1.0/24]"<br />
INT: "[$LAN,$DMZ,$SERVER]"<br />
HOME_NET: "$INT"<br />
EXTERNAL_NET: "!$INT"<br />
</pre><br />
<br />
== NFQ (Netfilter Queue) ==<br />
<br />
Suricata kann Pakete über die Netfilter-Queue direkt von iptables/nftables empfangen und wieder zurückgeben.<br />
<br />
{| class="wikitable"<br />
! Parameter !! Wert !! Bedeutung<br />
|-<br />
| <code>mode</code> || <code>repeat</code> || Paket wird nach Inspektion erneut in die Queue eingespeist<br />
|-<br />
| <code>repeat-mark</code> || <code>1</code> || Markierung, die auf wiederholte Pakete gesetzt wird<br />
|-<br />
| <code>repeat-mask</code> || <code>1</code> || Bitmaske zur Erkennung bereits verarbeiteter Pakete<br />
|}<br />
<br />
<pre><br />
nfq:<br />
mode: repeat<br />
repeat-mark: 1<br />
repeat-mask: 1<br />
</pre><br />
<br />
== Allgemeine Einstellungen ==<br />
<br />
{| class="wikitable"<br />
! Parameter !! Wert !! Bedeutung<br />
|-<br />
| <code>default-log-dir</code> || <code>/var/log/suricata/</code> || Verzeichnis für alle Log-Dateien<br />
|-<br />
| <code>pid-file</code> || <code>/var/run/suricata.pid</code> || Pfad zur PID-Datei<br />
|-<br />
| <code>host-mode</code> || <code>auto</code> || Automatische Erkennung der Host-Rolle (Router/Sniffer)<br />
|-<br />
| <code>coredump: max-dump</code> || <code>unlimited</code> || Keine Größenbeschränkung für Core-Dumps<br />
|}<br />
<br />
== Statistiken ==<br />
<br />
<pre><br />
stats:<br />
enabled: yes<br />
interval: 8<br />
</pre><br />
<br />
Statistiken werden alle 8 Sekunden erfasst und in <code>stats.log</code> sowie <code>eve.json</code> geschrieben.<br />
<br />
== Ausgaben (outputs) ==<br />
<br />
Suricata unterstützt mehrere parallele Ausgabeformate:<br />
<br />
{| class="wikitable"<br />
! Ausgabe !! Datei !! Beschreibung<br />
|-<br />
| <code>fast</code> || <code>fast.log</code> || Einzeilige Alert-Zusammenfassungen (schnelle Übersicht)<br />
|-<br />
| <code>alert-debug</code> || <code>alert-debug.log</code> || Erweiterte Debug-Informationen zu Alerts<br />
|-<br />
| <code>stats</code> || <code>stats.log</code> || Statistiken mit Gesamtwerten (threads: no)<br />
|-<br />
| <code>eve-log</code> || <code>eve.json</code> || Strukturiertes JSON-Log (Hauptformat für SIEM-Integration)<br />
|}<br />
<br />
=== EVE-JSON Ereignistypen ===<br />
<br />
Das EVE-Log ist das zentrale Ausgabeformat für die Weiterverarbeitung (z. B. mit Elasticsearch/Kibana):<br />
<br />
{| class="wikitable"<br />
! Typ !! Beschreibung<br />
|-<br />
| <code>alert</code> || Regelübereinstimmungen (IDS/IPS-Alarme)<br />
|-<br />
| <code>drop</code> || Im IPS-Modus verworfene Pakete<br />
|-<br />
| <code>http</code> || HTTP-Anfragen und -Antworten<br />
|-<br />
| <code>dns</code> || DNS-Anfragen und -Antworten<br />
|-<br />
| <code>tls</code> || TLS-Handshake-Metadaten (SNI, Zertifikat, Version)<br />
|-<br />
| <code>flow</code> || Netzwerkflüsse (Start, Ende, Bytes, Pakete)<br />
|-<br />
| <code>ssh</code> || SSH-Verbindungsmetadaten<br />
|-<br />
| <code>stats</code> || Interne Suricata-Statistiken<br />
|}<br />
<br />
== Logging ==<br />
<br />
<pre><br />
logging:<br />
default-log-level: notice<br />
outputs:<br />
- console:<br />
enabled: yes<br />
- file:<br />
enabled: yes<br />
level: info<br />
filename: suricata.log<br />
</pre><br />
<br />
{| class="wikitable"<br />
! Ziel !! Level !! Beschreibung<br />
|-<br />
| Console || notice || Ausgabe auf stdout (für systemd/journald)<br />
|-<br />
| Datei || info || Detaillierteres Logging in <code>suricata.log</code><br />
|}<br />
<br />
== Unix Command Socket ==<br />
<br />
<pre><br />
unix-command:<br />
enabled: yes<br />
filename: /var/run/suricata-command.socket<br />
</pre><br />
<br />
Ermöglicht die Steuerung eines laufenden Suricata-Prozesses über das Tool <code>suricatasc</code>, z. B. zum Nachladen von Regeln ohne Neustart:<br />
<br />
<pre><br />
suricatasc -c reload-rules<br />
</pre><br />
<br />
== Engine-Analyse ==<br />
<br />
<pre><br />
engine-analysis:<br />
rules-fast-pattern: yes<br />
rules: yes<br />
</pre><br />
<br />
Beim Start analysiert Suricata die geladenen Regeln und gibt Hinweise zur Performance-Optimierung aus.<br />
<br />
== Defragmentierung ==<br />
<br />
Suricata setzt IP-Fragmente vor der Inspektion wieder zusammen:<br />
<br />
{| class="wikitable"<br />
! Parameter !! Wert !! Bedeutung<br />
|-<br />
| <code>memcap</code> || <code>32mb</code> || Maximaler Speicher für Fragmentpuffer<br />
|-<br />
| <code>hash-size</code> || <code>65536</code> || Größe der Hash-Tabelle für Fragment-Tracking<br />
|-<br />
| <code>trackers</code> || <code>65535</code> || Maximale Anzahl gleichzeitig verfolgter Fragmentströme<br />
|-<br />
| <code>max-frags</code> || <code>65535</code> || Maximale Anzahl gespeicherter Fragmente<br />
|-<br />
| <code>prealloc</code> || <code>yes</code> || Speicher wird beim Start vorab allokiert<br />
|-<br />
| <code>timeout</code> || <code>60</code> || Sekunden bis unvollständige Fragmente verworfen werden<br />
|}<br />
<br />
== Regeln ==<br />
<br />
{| class="wikitable"<br />
! Parameter !! Wert !! Bedeutung<br />
|-<br />
| <code>default-rule-path</code> || <code>/etc/suricata/rules</code> || Basisverzeichnis für alle Regeldateien<br />
|-<br />
| <code>rule-files</code> || <code>local.rules</code> || Zu ladende Regeldatei(en)<br />
|-<br />
| <code>classification-file</code> || <code>/etc/suricata/classification.config</code> || Klassifikation der Regelkategorien<br />
|-<br />
| <code>reference-config-file</code> || <code>/etc/suricata/reference.config</code> || URLs für externe Referenzen in Regeln<br />
|}<br />
<br />
Eigene Regeln werden in <code>/etc/suricata/rules/local.rules</code> gepflegt.<br />
<br />
== Anwendungsschicht-Protokolle (app-layer) ==<br />
<br />
Suricata kann den Netzwerkverkehr auf Protokollebene dekodieren und analysieren. Alle folgenden Protokolle sind aktiviert:<br />
<br />
=== Standardprotokolle ===<br />
<br />
{| class="wikitable"<br />
! Protokoll !! Beschreibung<br />
|-<br />
| <code>http</code> || Webtraffic (HTTP/1.x)<br />
|-<br />
| <code>http2</code> || Modernes Webprotokoll (HTTP/2)<br />
|-<br />
| <code>tls</code> || TLS/SSL-Verschlüsselung (Metadaten, kein Klartextinhalt ohne SSL-Bump)<br />
|-<br />
| <code>dns</code> || Namensauflösung<br />
|-<br />
| <code>ftp</code> || Dateiübertragung<br />
|-<br />
| <code>ssh</code> || Sichere Shell<br />
|-<br />
| <code>smtp</code> || E-Mail-Versand<br />
|-<br />
| <code>imap</code> || E-Mail-Abruf<br />
|-<br />
| <code>ntp</code> || Zeitsynchronisation<br />
|-<br />
| <code>dhcp</code> || IP-Adressvergabe<br />
|-<br />
| <code>snmp</code> || Netzwerkmanagement<br />
|}<br />
<br />
=== Windows/Netzwerkdienste ===<br />
<br />
{| class="wikitable"<br />
! Protokoll !! Beschreibung<br />
|-<br />
| <code>smb</code> || Windows-Dateifreigabe (Samba)<br />
|-<br />
| <code>dcerpc</code> || Windows RPC (Fernprozeduraufrufe)<br />
|-<br />
| <code>krb5</code> || Kerberos-Authentifizierung (Active Directory)<br />
|-<br />
| <code>nfs</code> || Unix-Netzwerkdateisystem<br />
|-<br />
| <code>tftp</code> || Einfaches Dateiübertragungsprotokoll (z. B. PXE-Boot)<br />
|-<br />
| <code>rdp</code> || Remote Desktop Protocol<br />
|}<br />
<br />
=== IoT / OT / Spezialprotokolle ===<br />
<br />
{| class="wikitable"<br />
! Protokoll !! Beschreibung<br />
|-<br />
| <code>modbus</code> || Industriesteuerungen (SCADA)<br />
|-<br />
| <code>enip</code> || EtherNet/IP (Industrieautomatisierung)<br />
|-<br />
| <code>dnp3</code> || Protokoll für Fernwirktechnik (Energieversorgung)<br />
|-<br />
| <code>ikev2</code> || VPN-Schlüsselaustausch (IPsec)<br />
|-<br />
| <code>sip</code> || VoIP-Signalisierung<br />
|-<br />
| <code>rfb</code> || Remote Framebuffer (VNC)<br />
|-<br />
| <code>mqtt</code> || IoT-Messaging-Protokoll<br />
|}<br />
<br />
== Siehe auch ==<br />
<br />
* [[Suricata – Regelschreibung]]<br />
* [[Suricata – IPS-Modus mit nftables]]<br />
* [[Suricata – EVE-Log mit Elasticsearch]]</div>
Thomas.will