OPNsense Suricata Eigene Regeln: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 39: | Zeile 39: | ||
|} | |} | ||
| − | '''alert http any any -> any any (msg: " | + | '''alert http any any -> any any (msg: "Command Injection - Semicolon in POST DATA"; ;classtype:command-injection ; flow:established; content:"%3B"; nocase; http_client_body; sid:5;)''' |
Version vom 28. Februar 2024, 13:12 Uhr
Eigene Regeln
- Eigene Regeln kommen nach /usr/local/etc/suricata/rules
- Mann sie nicht auf der Weboberfläche erstellen
- Am besten man macht eine eigene Datei mit der Endung *.rules
- Man findet sie auf der Weboberfläche dann direkt unter
- Indrusion Detection
- Administration
- Rules
- Administration
- Sie müssen aber noch aktiviert werden.
- Wenn man den IPS Modus ausgewählt hat, kann man zwischen Alert und Drop auswählen.
- Drop funktioniert momentan nur bei einem Interface.
Beispiele
alert icmp any any -> any any (msg:"ICMP Test"; classtype:icmp ; sid:1;)
| Schlüsselwort | Beschreibung |
|---|---|
| alert | Dieses Schlüsselwort gibt an, dass ein Alarm ausgelöst werden soll, wenn das Muster in der Regel erkannt wird. Ein Alarm kann eine Benachrichtigung an den Administrator oder eine andere Reaktion auf das erkannte Muster sein. |
| icmp | Dies steht für das Internet Control Message Protocol, das für den Austausch von Nachrichten und Diagnoseinformationen in IP-Netzwerken verwendet wird. Diese Regel überwacht den Verkehr, der das ICMP-Protokoll verwendet. |
| any | Dieser Platzhalter steht für jedes mögliche Quell- oder Zielattribut. In diesem Fall bedeutet any any, dass sowohl der Quell- als auch der Ziel-IP-Adressbereich nicht eingeschränkt sind. |
| -> | Dieser Pfeil zeigt die Richtung des Datenverkehrs an. In diesem Fall bedeutet any any -> any any, dass der Datenverkehr in beide Richtungen (hin und zurück) überwacht wird. |
| (msg:"ICMP Test";) | Dies ist eine optionale Nachricht, die dem Administrator mitteilt, warum der Alarm ausgelöst wurde. In diesem Fall lautet die Nachricht "ICMP Test". |
| classtype:icmp | Dies gibt an, zu welcher Klasse von Angriffen oder Ereignissen die Regel gehört. In diesem Fall ist es ein ICMP-Typ. |
| sid:1 | Dies ist die ID (Signatur-ID) der Regel. Sie dient dazu, die Regel eindeutig zu identifizieren. In diesem Fall ist die ID 1. |
alert http any any -> any any (msg: "Command Injection - Semicolon in POST DATA"; ;classtype:command-injection ; flow:established; content:"%3B"; nocase; http_client_body; sid:5;)