Suricata: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 2: | Zeile 2: | ||
*[[Suricata Installation]] | *[[Suricata Installation]] | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
=Schaubild= | =Schaubild= | ||
;suricata | ;suricata | ||
Version vom 20. September 2022, 16:06 Uhr
Schaubild
- suricata
- WANDEV=enp0s3
- LANDEV=enp0s8
IDS
Local Rules
- cat /etc/suricata/rules/local.rules
alert icmp any any -> any any (msg:"ICMP Test"; sid:1000000002;) alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:100000003;)
Start suricata
- suricata -i $LANDEV
check
- tail -f /var/log/suricata/fast.log
IPS
- Wir können mit iptables Pakete abfangen und einer QUEUE übergeben
- Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben.
- Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst.
- Alert führt zu einer Meldung
- Bei Drop wird das Paket verworfen.
![Bearbeiten](javascript:editDrawio("563065037", "ids.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("392557725", "ips.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Local Rules
- cat /etc/suricata/rules/local.rules
drop icmp any any -> 10.0.10.11 any (msg:"DROP Test"; sid:1000000001;) alert icmp any any -> any any (msg:"ICMP Alert Test"; sid:1000000002;)
Start suricata
- suricata -q0
Send all Forward Packets to suricata
- iptables -I FORWARD -i $WANDEV -o $LANDEV -j NFQUEUE
Links
- https://www.pro-linux.de/artikel/2/1751/suricata-einbruchserkennung-mit-dem-erdm%C3%A4nnchen.html
- https://www.howtoforge.com/tutorial/suricata-with-elk-and-web-front-ends-on-ubuntu-bionic-beaver-1804-lts/
- https://suricata.readthedocs.io/en/suricata-4.1.0/index.html
- https://suricata.readthedocs.io/en/suricata-5.0.3/setting-up-ipsinline-for-linux.html?highlight=inline