Suricata IPS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=IPS= *Wir können mit iptables Pakete abfangen und einer QUEUE übergeben *Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben. *Wenn das Pak…“) |
|||
| Zeile 8: | Zeile 8: | ||
==Local Rules== | ==Local Rules== | ||
*cat /etc/suricata/rules/local.rules | *cat /etc/suricata/rules/local.rules | ||
| − | drop icmp any any -> 10.0. | + | drop icmp any any -> 10.0.5.21 any (msg:"DROP Test"; sid:1000000001;) |
alert icmp any any -> any any (msg:"ICMP Alert Test"; sid:1000000002;) | alert icmp any any -> any any (msg:"ICMP Alert Test"; sid:1000000002;) | ||
Version vom 27. September 2022, 17:19 Uhr
IPS
- Wir können mit iptables Pakete abfangen und einer QUEUE übergeben
- Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben.
- Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst.
- Alert führt zu einer Meldung
- Bei Drop wird das Paket verworfen.
![Bearbeiten](javascript:editDrawio("1466509016", "ips.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Local Rules
- cat /etc/suricata/rules/local.rules
drop icmp any any -> 10.0.5.21 any (msg:"DROP Test"; sid:1000000001;) alert icmp any any -> any any (msg:"ICMP Alert Test"; sid:1000000002;)
Start suricata
- suricata -q0
Send all Forward Packets to suricata
- iptables -I FORWARD -i $WANDEV -o $LANDEV -j NFQUEUE