Suricata Rules: Unterschied zwischen den Versionen

Tutorial

Verständnis der Suricata-Signaturen

Veröffentlicht am: 24. November 2021

Kategorien: Sicherheit, Netzwerke, Überwachung, Suricata, Firewall

Autor: Jamon Camisso

Einleitung

Das erste Tutorial in dieser Serie hat erklärt, wie man Suricata installiert und konfiguriert. Wenn Sie diesem Tutorial gefolgt sind, haben Sie auch gelernt, wie man Suricata-Regelsätze herunterlädt und aktualisiert und wie man Protokolle auf verdächtige Aktivitäten überprüft. Die Regeln, die Sie in diesem Tutorial heruntergeladen haben, sind jedoch zahlreich und decken viele verschiedene Protokolle, Anwendungen und Angriffsvektoren ab, die für Ihr Netzwerk und Ihre Server möglicherweise nicht relevant sind.

In diesem Tutorial lernen Sie, wie Suricata-Signaturen strukturiert sind und welche wichtigen Optionen in den meisten Regeln verwendet werden. Sobald Sie vertraut sind mit der Struktur und den Feldern einer Signatur und wie Suricata sie verarbeitet, können Sie Ihre eigenen Signaturen schreiben, die Sie mit einer Firewall kombinieren können, um Sie über verdächtigen Datenverkehr zu Ihren Servern zu benachrichtigen, ohne andere externe Regelsätze verwenden zu müssen.

Dieser Ansatz zum Schreiben und Verwalten von Regeln ermöglicht es Ihnen, Suricata effizienter zu nutzen, da es nur die spezifischen Regeln verarbeiten muss, die Sie schreiben. Sobald Sie einen Regelsatz haben, der den Großteil des legitimen und verdächtigen Datenverkehrs beschreibt, den Sie in Ihrem Netzwerk erwarten, können Sie beginnen, ungültigen Datenverkehr selektiv mit Suricata im aktiven Intrusion Prevention (IPS)-Modus zu blockieren. Im nächsten Tutorial dieser Serie erfahren Sie, wie Sie die IPS-Funktion von Suricata aktivieren können.

Voraussetzungen

Für die Zwecke dieses Tutorials können Sie Suricata auf jedem System ausführen, da Signaturen im Allgemeinen kein bestimmtes Betriebssystem erfordern. Wenn Sie dieser Tutorial-Serie folgen, sollten Sie bereits haben:

- Suricata auf einem Ubuntu 20.04-, Debian 11- oder Rocky Linux 8-Server installiert und ausgeführt.

- Den ET Open Ruleset, der mit dem suricata-update-Befehl heruntergeladen und in Ihre Suricata-Signaturen aufgenommen wurde.

Verständnis der Struktur von Suricata-Signaturen

Suricata-Signaturen können anfangs komplex erscheinen, aber sobald Sie verstehen, wie sie strukturiert sind und wie Suricata sie verarbeitet, können Sie Ihre eigenen Regeln für die Anforderungen Ihres Netzwerks erstellen.

Auf hoher Ebene bestehen Suricata-Signaturen aus drei Teilen:

1. Eine Aktion, die ausgeführt wird, wenn der Datenverkehr mit der Regel übereinstimmt. 2. Ein Header, der Hosts, IP-Adressen, Ports, Protokolle und die Richtung des Datenverkehrs (eingehend oder ausgehend) beschreibt. 3. Optionen, die Dinge wie die Signature-ID (sid), die Protokollierungsnachricht, reguläre Ausdrücke, die den Inhalt von Paketen abgleichen, den Klassifikationstyp und andere Modifikatoren angeben, die helfen können, legitimen und verdächtigen Datenverkehr einzuschränken.

Die allgemeine Struktur einer Signatur ist die folgende:

Generische Regelstruktur: