Suricata: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 7: | Zeile 7: | ||
*LANDEV=enp0s8 | *LANDEV=enp0s8 | ||
{{#drawio:ids}} | {{#drawio:ids}} | ||
| − | + | *[[Suricata IDS]] | |
| − | + | *[[Suricata IPS]] | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | * | ||
=IPS= | =IPS= | ||
Version vom 20. September 2022, 16:07 Uhr
Schaubild
- suricata
- WANDEV=enp0s3
- LANDEV=enp0s8
IPS
- Wir können mit iptables Pakete abfangen und einer QUEUE übergeben
- Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben.
- Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst.
- Alert führt zu einer Meldung
- Bei Drop wird das Paket verworfen.
![Bearbeiten](javascript:editDrawio("1612278108", "ids.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("38835124", "ips.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Local Rules
- cat /etc/suricata/rules/local.rules
drop icmp any any -> 10.0.10.11 any (msg:"DROP Test"; sid:1000000001;) alert icmp any any -> any any (msg:"ICMP Alert Test"; sid:1000000002;)
Start suricata
- suricata -q0
Send all Forward Packets to suricata
- iptables -I FORWARD -i $WANDEV -o $LANDEV -j NFQUEUE
Links
- https://www.pro-linux.de/artikel/2/1751/suricata-einbruchserkennung-mit-dem-erdm%C3%A4nnchen.html
- https://www.howtoforge.com/tutorial/suricata-with-elk-and-web-front-ends-on-ubuntu-bionic-beaver-1804-lts/
- https://suricata.readthedocs.io/en/suricata-4.1.0/index.html
- https://suricata.readthedocs.io/en/suricata-5.0.3/setting-up-ipsinline-for-linux.html?highlight=inline