IPS

• Wir können mit iptables Pakete abfangen und einer QUEUE übergeben
• Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben.
• Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst.
• Alert führt zu einer Meldung
• Bei Drop wird das Paket verworfen.

[Bearbeiten]

Local Rules

• cat /etc/suricata/rules/local.rules

drop icmp any any -> 10.0.5.21 any (msg:"DROP Test"; sid:1000000001;)
alert icmp any any -> any any (msg:"ICMP Alert Test"; sid:1000000002;)

Start suricata

• suricata -q0

Send all Forward Packets to suricata

• iptables -I FORWARD -i $LANDEV -o $DMZDEV -j NFQUEUE

NFQUEUE Repeat

• Damit Suricata die nicht gedroppten Pakete automatisch akzeptiert, sondern dies der Firewall überlässt, kann es diese Pakete markieren und zurück zu iptables schicken
• Markierungen folgen der Syntax $MARK/$MASK
• iptables -I FORWARD -i $LANDEV -o $DMZDEV -m mark ! --mark 1/2 -j NFQUEUE
• vim /etc/suricata/suricata.yml

nfq:
  mode: repeat
  repeat-mark: 1
  repeat-mask: 2

Links

• https://docs.suricata.io/en/suricata-6.0.0/configuration/suricata-yaml.html#nfq