Suricata IPS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 8: | Zeile 8: | ||
==Local Rules== | ==Local Rules== | ||
*cat /etc/suricata/rules/local.rules | *cat /etc/suricata/rules/local.rules | ||
| − | drop icmp any any -> | + | |
| − | alert | + | drop icmp $LAN any <> $DMZ any (msg: "Ping zwischen LAN und DMZ"; sid:1000000001;) |
| + | alert icmp $INTERNAL any -> !$INTERNAL any (msg:"ICMP TEST"; sid:1000000002;) | ||
| + | alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:1000000003;) | ||
| + | alert udp $LAN any <> $DMZ any (msg: "DNS abfangen";) | ||
==Start suricata== | ==Start suricata== | ||
Version vom 8. August 2023, 22:50 Uhr
IPS
- Wir können mit iptables Pakete abfangen und einer QUEUE übergeben
- Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben.
- Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst.
- Alert führt zu einer Meldung
- Bei Drop wird das Paket verworfen.
![Bearbeiten](javascript:editDrawio("278068601", "ips.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Local Rules
- cat /etc/suricata/rules/local.rules
drop icmp $LAN any <> $DMZ any (msg: "Ping zwischen LAN und DMZ"; sid:1000000001;) alert icmp $INTERNAL any -> !$INTERNAL any (msg:"ICMP TEST"; sid:1000000002;) alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:1000000003;) alert udp $LAN any <> $DMZ any (msg: "DNS abfangen";)
Start suricata
- suricata -q0
Send all Forward Packets to suricata
- iptables -I FORWARD -i $LANDEV -o $DMZDEV -j NFQUEUE
NFQUEUE Repeat
- Damit Suricata die nicht gedroppten Pakete automatisch akzeptiert, sondern dies der Firewall überlässt, kann es diese Pakete markieren und zurück zu iptables schicken
- Markierungen folgen der Syntax $MARK/$MASK
- iptables -I FORWARD -i $LANDEV -o $DMZDEV -m mark ! --mark 1/2 -j NFQUEUE
- vim /etc/suricata/suricata.yml
nfq: mode: repeat repeat-mark: 1 repeat-mask: 2