Version vom 13. Oktober 2020, 20:17 Uhr

Prinzip

Suricata ist ein IDS(Intrusion Detection System) bzw. IPS(Intrusion Prevention System) System das nach folgendem Prinzip funktioniert

Empfang

Pakete werden vom Netzwerk gelesen.
- Durch abhören einer Schnittstelle (IDS)
- Übergabe durch den Firewall Stack (IPS)

Decodierung

Die Pakete werden decodiert und der Original-Datenstrom wird restauriert.

Analyse

Der Datenstrom wird mit den hinterlegten Signaturen verglichen.

Output

Auftretene Alarmierungen werden verarbeitet. (IDS)
Bei Treffern können die Pakete verworfen (IPS).

Multitreadverarbeitung durch Suricata

Bild: Alexander Hosfeld Lizenz(en): Creative Commons Namensnennung

Installation

sudo apt -y install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt -y install suricata

Install Rules

wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxvf emerging.rules.tar.gz
cd rules
cat *.rules > /etc/suricata/rules/suricata.rules

Suricata config

add to /etc/suricata/suricata.yaml

rule-files:

 - suricata.rules
 - local.rules

IDS

Local Rules

cat /etc/suricata/rules/local.rules

alert icmp any any -> any any (msg:"ICMP Snort Test"; sid:1000000002;)
alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:100000003;)

suricata -i eth1

IPS

Local Rules

cat /etc/suricata/rules/local.rules

drop icmp any any -> 1.1.1.1 any (msg:"Snort Test"; sid:1000000001;)
alert icmp any any -> any any (msg:"ICMP Snort Test"; sid:1000000002;)

suricata -q0
iptables -I FORWARD -i $WAN -o eth1 -j NFQUEUE

Add iptables rules

iptables -I FORWARD -m mark ! --mark $MARK/$MASK -j NFQUEUE

@@ Zeile 34: / Zeile 34: @@
 *cat *.rules > /etc/suricata/rules/suricata.rules
-=Local Rules=
-*cat  /etc/suricata/rules/local.rules
- alert icmp any any -> any any (msg:"ICMP Snort Test"; sid:1000000002;)
- alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:100000003;)
 =Suricata config=
@@ Zeile 46: / Zeile 43: @@
    - local.rules
 =IDS=
-*WAN=eth0
+=Local Rules=
-*suricata -i $WAN
+*cat  /etc/suricata/rules/local.rules
+ alert icmp any any -> any any (msg:"ICMP Snort Test"; sid:1000000002;)
+ alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:100000003;)
+*suricata -i eth1
 =IPS=
+=Local Rules=
+*cat  /etc/suricata/rules/local.rules
+ drop icmp any any -> 1.1.1.1 any (msg:"Snort Test"; sid:1000000001;)
+ alert icmp any any -> any any (msg:"ICMP Snort Test"; sid:1000000002;)
 *suricata -q0
 *iptables -I FORWARD -i $WAN -o eth1 -j NFQUEUE

Suricata: Unterschied zwischen den Versionen

Version vom 13. Oktober 2020, 20:17 Uhr

Inhaltsverzeichnis

Prinzip

Empfang

Decodierung

Analyse

Output

Multitreadverarbeitung durch Suricata

Installation

Install Rules

Suricata config

IDS

Local Rules

IPS

Local Rules

Add iptables rules

Links

Navigationsmenü

Suche