OPNsense Suricata Eigene Regeln: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 11: | Zeile 11: | ||
*Drop funktioniert momentan nur bei einem Interface. | *Drop funktioniert momentan nur bei einem Interface. | ||
=Beispiele= | =Beispiele= | ||
| + | alert icmp any any -> any any (msg:"ICMP Test"; classtype:icmp ; sid:1;) | ||
| + | |||
| + | alert http any any -> any any (msg: "Possible Command Injection attack (Contains semicolon POST DATA)"; ;classtype:command-injection ; flow:established; content:"%3B"; nocase; http_client_body; sid:5;) | ||
Version vom 28. Februar 2024, 13:09 Uhr
Eigene Regeln
- Eigene Regeln kommen nach /usr/local/etc/suricata/rules
- Mann sie nicht auf der Weboberfläche erstellen
- Am besten man macht eine eigene Datei mit der Endung *.rules
- Man findet sie auf der Weboberfläche dann direkt unter
- Indrusion Detection
- Administration
- Rules
- Administration
- Sie müssen aber noch aktiviert werden.
- Wenn man den IPS Modus ausgewählt hat, kann man zwischen Alert und Drop auswählen.
- Drop funktioniert momentan nur bei einem Interface.
Beispiele
alert icmp any any -> any any (msg:"ICMP Test"; classtype:icmp ; sid:1;)
alert http any any -> any any (msg: "Possible Command Injection attack (Contains semicolon POST DATA)"; ;classtype:command-injection ; flow:established; content:"%3B"; nocase; http_client_body; sid:5;)