DoS-Demo mit Suricata auf OPNsense: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 10: Zeile 10:
 
* In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)
 
* In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)
  
== Ausgangstest ohne IPS ==
+
== Test ohne IPS ==
 
* Erreichbarkeit prüfen:
 
* Erreichbarkeit prüfen:
 
<pre>
 
<pre>
Zeile 16: Zeile 16:
 
</pre>
 
</pre>
  
* Angriff starten (nur kurz laufen lassen):
+
* Angriff starten (kurz laufen lassen):
 
<pre>
 
<pre>
 
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
 
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
Zeile 23: Zeile 23:
 
* Erwartung: Webserver nicht mehr erreichbar
 
* Erwartung: Webserver nicht mehr erreichbar
  
== Suricata als IPS aktivieren ==
+
== Suricata IPS aktivieren ==
 
* Services → Intrusion Detection → Administration
 
* Services → Intrusion Detection → Administration
** Haken bei "Enable IDS"
+
** Enable IDS → Haken setzen
** Haken bei "IPS mode"
+
** IPS mode → Haken setzen
 
** Interface: WAN auswählen
 
** Interface: WAN auswählen
** Save und Start
+
** Save Start
  
 
* Services → Intrusion Detection → Download
 
* Services → Intrusion Detection → Download
** Ruleset "ET open" aktivieren
+
** Folgende Rulesets aktivieren:
 +
*** ET open/emerging-dos
 +
*** ET open/emerging-scan (optional, für Portscan-Demo)
 
** Download & Update Rules ausführen
 
** Download & Update Rules ausführen
  
 
* Services → Intrusion Detection → Policies
 
* Services → Intrusion Detection → Policies
** Neue Policy hinzufügen
+
** Add new policy
*** Action: drop
+
*** Enabled: Haken setzen
*** Categories: dos.rules, scan.rules (weitere falls nötig)
+
*** Priority: 0
*** Enabled anhaken
+
*** Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert)
 +
*** Action: Drop
 +
*** Alle weiteren Felder leer lassen
 
** Save und Apply
 
** Save und Apply
 +
** Policy an oberste Position verschieben
  
== Test mit aktivem IPS ==
+
== Test mit IPS ==
* Normalen HTTP-Request prüfen:
+
* Normale Verbindung prüfen:
 
<pre>
 
<pre>
 
curl -I http://web.it214.xinmen.de/
 
curl -I http://web.it214.xinmen.de/
Zeile 52: Zeile 57:
 
</pre>
 
</pre>
  
* Erwartung: Suricata verwirft die Flood-Pakete, Webserver bleibt erreichbar
+
* Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar
* Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop" sichtbar
+
* Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop"
  
 
== Anpassungen ==
 
== Anpassungen ==
* Falls keine Drops sichtbar: Policy an oberste Stelle verschieben und Apply
+
* Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht
* Für nachvollziehbare Demo gedrosselten Flood verwenden:
+
* Für nachvollziehbare Demo Angriff drosseln:
 
<pre>
 
<pre>
 
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de
 
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de
Zeile 63: Zeile 68:
  
 
== Fehlerbehebung ==
 
== Fehlerbehebung ==
* Keine Drops: prüfen ob IPS mode aktiv, Regeln aktualisiert
+
* Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell
* OPNsense überlastet: Flood nur kurz laufen lassen, vCPU/RAM erhöhen
+
* OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen
* Legitime Verbindungen blockiert: Alerts prüfen, spezifische Regeln deaktivieren oder Policy anpassen
+
* Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen

Aktuelle Version vom 27. August 2025, 17:48 Uhr

DoS-Demo mit Suricata auf OPNsense

Topologie

Angreifer → OPNsense (WAN mit Suricata IPS) → Webserver

Voraussetzungen

  • OPNsense mit WAN/LAN, NAT und funktionierendem Routing
  • Webserver hinter OPNsense (Port 80 offen)
  • Angreifer-Host mit hping3
  • In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)

Test ohne IPS

  • Erreichbarkeit prüfen:
curl -I http://web.it214.xinmen.de/
  • Angriff starten (kurz laufen lassen):
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
  • Erwartung: Webserver nicht mehr erreichbar

Suricata IPS aktivieren

  • Services → Intrusion Detection → Administration
    • Enable IDS → Haken setzen
    • IPS mode → Haken setzen
    • Interface: WAN auswählen
    • Save → Start
  • Services → Intrusion Detection → Download
    • Folgende Rulesets aktivieren:
      • ET open/emerging-dos
      • ET open/emerging-scan (optional, für Portscan-Demo)
    • Download & Update Rules ausführen
  • Services → Intrusion Detection → Policies
    • Add new policy
      • Enabled: Haken setzen
      • Priority: 0
      • Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert)
      • Action: Drop
      • Alle weiteren Felder leer lassen
    • Save und Apply
    • Policy an oberste Position verschieben

Test mit IPS

  • Normale Verbindung prüfen:
curl -I http://web.it214.xinmen.de/
  • Angriff wiederholen:
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
  • Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar
  • Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop"

Anpassungen

  • Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht
  • Für nachvollziehbare Demo Angriff drosseln:
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de

Fehlerbehebung

  • Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell
  • OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen
  • Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen
Abgerufen von „http://wiki.ixheim.de/index.php?title=DoS-Demo_mit_Suricata_auf_OPNsense&oldid=64495