DoS-Demo mit Suricata auf OPNsense: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 10: | Zeile 10: | ||
* In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO) | * In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO) | ||
| − | == | + | == Test ohne IPS == |
* Erreichbarkeit prüfen: | * Erreichbarkeit prüfen: | ||
<pre> | <pre> | ||
| Zeile 16: | Zeile 16: | ||
</pre> | </pre> | ||
| − | * Angriff starten ( | + | * Angriff starten (kurz laufen lassen): |
<pre> | <pre> | ||
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de | sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de | ||
| Zeile 23: | Zeile 23: | ||
* Erwartung: Webserver nicht mehr erreichbar | * Erwartung: Webserver nicht mehr erreichbar | ||
| − | == Suricata | + | == Suricata IPS aktivieren == |
| − | * | + | * Services → Intrusion Detection → Administration |
** Enable IDS → Haken setzen | ** Enable IDS → Haken setzen | ||
** IPS mode → Haken setzen | ** IPS mode → Haken setzen | ||
| − | ** | + | ** Interface: WAN auswählen |
** Save → Start | ** Save → Start | ||
| − | * | + | * Services → Intrusion Detection → Download |
| − | ** Rulesets | + | ** Folgende Rulesets aktivieren: |
| − | *** ET open | + | *** ET open/emerging-dos |
| − | *** ET open | + | *** ET open/emerging-scan (optional, für Portscan-Demo) |
| − | + | *** ET open/emerging-bad_traffic (falls vorhanden, optional) | |
| − | *** ET open | + | ** Danach: Download & Update Rules ausführen |
| − | ** Download & Update Rules ausführen | ||
| − | * | + | * Services → Intrusion Detection → Policies |
| − | ** | + | ** Neue Policy hinzufügen |
*** Action: drop | *** Action: drop | ||
| − | *** Categories auswählen: dos | + | *** Categories auswählen: emerging-dos, emerging-scan (falls aktiviert) |
*** Enabled anhaken | *** Enabled anhaken | ||
** Save und Apply | ** Save und Apply | ||
| − | ** Policy an oberste Position | + | ** Policy an oberste Position verschieben |
| − | == Test mit | + | == Test mit IPS == |
| − | * | + | * Normale Verbindung prüfen: |
<pre> | <pre> | ||
curl -I http://web.it214.xinmen.de/ | curl -I http://web.it214.xinmen.de/ | ||
| Zeile 58: | Zeile 57: | ||
* Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar | * Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar | ||
| − | * Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop" | + | * Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop" |
== Anpassungen == | == Anpassungen == | ||
| − | * Falls keine Drops sichtbar: prüfen ob | + | * Falls keine Drops sichtbar: prüfen ob Policy auf "drop" steht und ganz oben ist |
| − | * Für nachvollziehbare Demo | + | * Für nachvollziehbare Demo Angriff drosseln: |
<pre> | <pre> | ||
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de | sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de | ||
| Zeile 68: | Zeile 67: | ||
== Fehlerbehebung == | == Fehlerbehebung == | ||
| − | * Keine Drops: IPS mode | + | * Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell |
| − | * OPNsense überlastet: Flood nur kurz | + | * OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen |
| − | * Legitime Verbindungen blockiert: im Tab Alerts die | + | * Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy auf alert setzen |
Version vom 27. August 2025, 17:40 Uhr
DoS-Demo mit Suricata auf OPNsense
Topologie
Angreifer → OPNsense (WAN mit Suricata IPS) → Webserver
Voraussetzungen
- OPNsense mit WAN/LAN, NAT und funktionierendem Routing
- Webserver hinter OPNsense (Port 80 offen)
- Angreifer-Host mit hping3
- In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)
Test ohne IPS
- Erreichbarkeit prüfen:
curl -I http://web.it214.xinmen.de/
- Angriff starten (kurz laufen lassen):
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Webserver nicht mehr erreichbar
Suricata IPS aktivieren
- Services → Intrusion Detection → Administration
- Enable IDS → Haken setzen
- IPS mode → Haken setzen
- Interface: WAN auswählen
- Save → Start
- Services → Intrusion Detection → Download
- Folgende Rulesets aktivieren:
- ET open/emerging-dos
- ET open/emerging-scan (optional, für Portscan-Demo)
- ET open/emerging-bad_traffic (falls vorhanden, optional)
- Danach: Download & Update Rules ausführen
- Folgende Rulesets aktivieren:
- Services → Intrusion Detection → Policies
- Neue Policy hinzufügen
- Action: drop
- Categories auswählen: emerging-dos, emerging-scan (falls aktiviert)
- Enabled anhaken
- Save und Apply
- Policy an oberste Position verschieben
- Neue Policy hinzufügen
Test mit IPS
- Normale Verbindung prüfen:
curl -I http://web.it214.xinmen.de/
- Angriff wiederholen:
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar
- Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop"
Anpassungen
- Falls keine Drops sichtbar: prüfen ob Policy auf "drop" steht und ganz oben ist
- Für nachvollziehbare Demo Angriff drosseln:
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de
Fehlerbehebung
- Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell
- OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen
- Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy auf alert setzen