Suricata IPS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
*[[Suricata Grundlagen]] | *[[Suricata Grundlagen]] | ||
*[[Suricata Installation]] | *[[Suricata Installation]] | ||
| + | *[[Chrome Dev Tools]] | ||
=Versuchsaufbau= | =Versuchsaufbau= | ||
| Zeile 7: | Zeile 8: | ||
=IPS= | =IPS= | ||
| − | *Wir können mit iptables Pakete abfangen und einer QUEUE übergeben | + | *Wir können mit nf/iptables Pakete abfangen und einer QUEUE übergeben |
*Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben. | *Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben. | ||
*Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst. | *Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst. | ||
| Zeile 23: | Zeile 24: | ||
vars: | vars: | ||
address-groups: | address-groups: | ||
| − | LAN: "[172.17. | + | LAN: "[172.17.213.0/24]" |
| − | DMZ: "[10.88. | + | DMZ: "[10.88.213.0/24]" |
| − | SERVER: "[172.16. | + | SERVER: "[172.16.213.0/24]" |
INT: "[$LAN,$DMZ,$SERVER]" | INT: "[$LAN,$DMZ,$SERVER]" | ||
HOME_NET: "$INT" | HOME_NET: "$INT" | ||
EXTERNAL_NET: "!$INT" | EXTERNAL_NET: "!$INT" | ||
| − | #Suricate nimmt die Pakete von | + | #Suricate nimmt die Pakete von NF/IPtables wieder auf |
nfq: | nfq: | ||
mode: repeat | mode: repeat | ||
| Zeile 61: | Zeile 62: | ||
totals: yes | totals: yes | ||
threads: no | threads: no | ||
| + | - eve-log: | ||
| + | enabled: yes | ||
| + | filetype: regular | ||
| + | filename: eve.json | ||
| + | types: | ||
| + | - alert | ||
| + | - http | ||
| + | - dns | ||
| + | - tls | ||
| + | - flow | ||
| + | - ssh | ||
| + | - stats | ||
| + | |||
# Logging-Einstellungen | # Logging-Einstellungen | ||
| Zeile 114: | Zeile 128: | ||
classification-file: /etc/suricata/classification.config | classification-file: /etc/suricata/classification.config | ||
| − | |||
| − | |||
| Zeile 178: | Zeile 190: | ||
<pre> | <pre> | ||
alert icmp any any -> any any (msg:"ICMP Test"; flow:to_server; sid:1;) | alert icmp any any -> any any (msg:"ICMP Test"; flow:to_server; sid:1;) | ||
| − | |||
drop dns any any -> any any (msg:"Kein Googlen"; dns.query; content:"google"; nocase; sid:3;) | drop dns any any -> any any (msg:"Kein Googlen"; dns.query; content:"google"; nocase; sid:3;) | ||
drop http any any -> any any (msg: "Possible SQL Injection attack (Contains singlequote POST DATA)"; flow:established,to_server; content:"%27"; nocase; http_client_body; sid:4;) | drop http any any -> any any (msg: "Possible SQL Injection attack (Contains singlequote POST DATA)"; flow:established,to_server; content:"%27"; nocase; http_client_body; sid:4;) | ||
| Zeile 238: | Zeile 249: | ||
= Suricata als IPS mit systemd starten = | = Suricata als IPS mit systemd starten = | ||
*[[Suricata als IPS mit systemd starten]] | *[[Suricata als IPS mit systemd starten]] | ||
| + | =EveBox= | ||
| + | *[[EveBox]] | ||
= Links = | = Links = | ||
Aktuelle Version vom 30. Juli 2025, 09:45 Uhr
Grundlagen und Installation
Versuchsaufbau
IPS
- Wir können mit nf/iptables Pakete abfangen und einer QUEUE übergeben
- Diese QUEUE wird von suricata gelesen und ihrem REGELWERK übergeben.
- Wenn das Paket mit einer Regel übereinstimmt, wird eine Aktion ausgelöst.
- Alert führt zu einer Meldung
- Bei Drop wird das Paket verworfen.
![Bearbeiten](javascript:editDrawio("1241348720", "ips-netz.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1774942443", "ips.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Konfiguration Suricata
- vim /etc/suricata/suricata.yaml
%YAML 1.1
---
# Variablen für die Adressgruppen festlegen
vars:
address-groups:
LAN: "[172.17.213.0/24]"
DMZ: "[10.88.213.0/24]"
SERVER: "[172.16.213.0/24]"
INT: "[$LAN,$DMZ,$SERVER]"
HOME_NET: "$INT"
EXTERNAL_NET: "!$INT"
#Suricate nimmt die Pakete von NF/IPtables wieder auf
nfq:
mode: repeat
repeat-mark: 1
repeat-mask: 1
# Standard-Log-Verzeichnis
default-log-dir: /var/log/suricata/
# Statistiken aktivieren
stats:
enabled: yes
interval: 8
# Ausgaben konfigurieren
outputs:
- fast:
enabled: yes
filename: fast.log
append: yes
- alert-debug:
enabled: yes
filename: alert-debug.log
append: yes
- stats:
enabled: yes
filename: stats.log
append: yes
totals: yes
threads: no
- eve-log:
enabled: yes
filetype: regular
filename: eve.json
types:
- alert
- http
- dns
- tls
- flow
- ssh
- stats
# Logging-Einstellungen
logging:
default-log-level: notice
outputs:
- console:
enabled: yes
- file:
enabled: yes
level: info
filename: suricata.log
# PID-Datei
pid-file: /var/run/suricata.pid
# Coredump-Einstellungen
coredump:
max-dump: unlimited
# Host-Modus
host-mode: auto
# Unix-Befehlseingabe konfigurieren
unix-command:
enabled: yes
filename: /var/run/suricata-command.socket
# Engine-Analyse-Einstellungen
engine-analysis:
rules-fast-pattern: yes
rules: yes
# Defragmentierungseinstellungen
defrag:
memcap: 32mb
hash-size: 65536
trackers: 65535
max-frags: 65535
prealloc: yes
timeout: 60
# Standardregelverzeichnis
default-rule-path: /etc/suricata/rules
# Regel-Dateien
rule-files:
- local.rules
# Klassifikationsdatei
classification-file: /etc/suricata/classification.config
# Referenzkonfigurationsdatei
reference-config-file: /etc/suricata/reference.config
app-layer:
protocols:
http:
enabled: yes
tls:
enabled: yes
dcerpc:
enabled: yes
smb:
enabled: yes
ftp:
enabled: yes
ssh:
enabled: yes
smtp:
enabled: yes
dns:
enabled: yes
modbus:
enabled: yes
enip:
enabled: yes
dnp3:
enabled: yes
nfs:
enabled: yes
ntp:
enabled: yes
tftp:
enabled: yes
ikev2:
enabled: yes
krb5:
enabled: yes
dhcp:
enabled: yes
snmp:
enabled: yes
sip:
enabled: yes
rfb:
enabled: yes
mqtt:
enabled: yes
rdp:
enabled: yes
http2:
enabled: yes
imap:
enabled: yes
Local Rules
- cat /etc/suricata/rules/local.rules
alert icmp any any -> any any (msg:"ICMP Test"; flow:to_server; sid:1;) drop dns any any -> any any (msg:"Kein Googlen"; dns.query; content:"google"; nocase; sid:3;) drop http any any -> any any (msg: "Possible SQL Injection attack (Contains singlequote POST DATA)"; flow:established,to_server; content:"%27"; nocase; http_client_body; sid:4;) drop http any any -> any any (msg: "Possible Command Injection attack (Contains semicolon POST DATA)"; flow:established,to_server; content:"%3B"; nocase; http_client_body; sid:5;)
Firewallanpassung
NFQUEUE Repeat
- Damit Suricata die nicht gedroppten Pakete automatisch akzeptiert, sondern dies der Firewall überlässt, kann es diese Pakete markieren und zurück zu iptables schicken
- Markierungen folgen der Syntax $MARK/$MASK
iptables Version
- vim /usr/local/sbin/firewall
iptables -P FORWARD DROP iptables -A FORWARD -m mark ! --mark 1/1 -j NFQUEUE iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -j LOG --log-prefix "iptables return from Suricata: " # Hier geht es mit den normalen Regeln weiter
nftables Version
- vim /etc/nftables.conf
table inet filter {
chain forward {
type filter hook forward priority 0; policy drop;
# An Suricata übergeben, wenn Mark-Bit 0 nicht gesetzt
meta mark and 1 != 1 queue
# Logging und Akzeptanz nach Rückgabe durch Suricata (mit gesetztem Mark)
log prefix "nftables return from Suricata: "
ct state established,related accept
# Hier geht es mit den normalen Regeln weiter
}
}Suricata Anpassung
... nfq: mode: repeat repeat-mark: 1 repeat-mask: 1 ...
Start suricata
- suricata -D -q 0
- Den Unterschied zwischen repeat und accept kann man mit Ping und SSH testen (falls SSH in der FORWARD Kette blockiert ist)
- Die Verstöße können folgendermaßen gesehen werden
- tail -fn0 /var/log/suricata/fast.log
Suricata Fernbedienung
- Reload Rules
- suricatasc -c "reload-rules"
- Shutdown
- suricatasc -c "shutdown"