DoS-Demo mit Suricata auf OPNsense: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 34: | Zeile 34: | ||
*** ET open/emerging-dos | *** ET open/emerging-dos | ||
*** ET open/emerging-scan (optional, für Portscan-Demo) | *** ET open/emerging-scan (optional, für Portscan-Demo) | ||
| − | ** | + | ** Download & Update Rules ausführen |
| − | |||
* Services → Intrusion Detection → Policies | * Services → Intrusion Detection → Policies | ||
| − | ** | + | ** Add new policy |
| − | *** | + | *** Enabled: Haken setzen |
| − | *** | + | *** Priority: 0 |
| − | *** | + | *** Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert) |
| + | *** Action: Drop | ||
| + | *** Alle weiteren Felder leer lassen | ||
** Save und Apply | ** Save und Apply | ||
** Policy an oberste Position verschieben | ** Policy an oberste Position verschieben | ||
| Zeile 60: | Zeile 61: | ||
== Anpassungen == | == Anpassungen == | ||
| − | * Falls keine Drops sichtbar: prüfen ob Policy auf | + | * Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht |
* Für nachvollziehbare Demo Angriff drosseln: | * Für nachvollziehbare Demo Angriff drosseln: | ||
<pre> | <pre> | ||
| Zeile 69: | Zeile 70: | ||
* Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell | * Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell | ||
* OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen | * OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen | ||
| − | * Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy | + | * Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen |
Aktuelle Version vom 27. August 2025, 17:48 Uhr
DoS-Demo mit Suricata auf OPNsense
Topologie
Angreifer → OPNsense (WAN mit Suricata IPS) → Webserver
Voraussetzungen
- OPNsense mit WAN/LAN, NAT und funktionierendem Routing
- Webserver hinter OPNsense (Port 80 offen)
- Angreifer-Host mit hping3
- In OPNsense: System → Settings → Networking → Hardware offloading deaktivieren (Checksum, TSO, LRO)
Test ohne IPS
- Erreichbarkeit prüfen:
curl -I http://web.it214.xinmen.de/
- Angriff starten (kurz laufen lassen):
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Webserver nicht mehr erreichbar
Suricata IPS aktivieren
- Services → Intrusion Detection → Administration
- Enable IDS → Haken setzen
- IPS mode → Haken setzen
- Interface: WAN auswählen
- Save → Start
- Services → Intrusion Detection → Download
- Folgende Rulesets aktivieren:
- ET open/emerging-dos
- ET open/emerging-scan (optional, für Portscan-Demo)
- Download & Update Rules ausführen
- Folgende Rulesets aktivieren:
- Services → Intrusion Detection → Policies
- Add new policy
- Enabled: Haken setzen
- Priority: 0
- Rulesets: emerging-dos.rules, emerging-scan.rules (falls aktiviert)
- Action: Drop
- Alle weiteren Felder leer lassen
- Save und Apply
- Policy an oberste Position verschieben
- Add new policy
Test mit IPS
- Normale Verbindung prüfen:
curl -I http://web.it214.xinmen.de/
- Angriff wiederholen:
sudo hping3 -S --flood -V -p 80 web.it214.xinmen.de
- Erwartung: Suricata verwirft Flood-Pakete, Webserver bleibt erreichbar
- Kontrolle: Services → Intrusion Detection → Alerts → Einträge mit "drop"
Anpassungen
- Falls keine Drops sichtbar: prüfen ob Policy aktiv ist, auf Drop steht und ganz oben steht
- Für nachvollziehbare Demo Angriff drosseln:
sudo hping3 -S -i u500 -V -p 80 web.it214.xinmen.de
Fehlerbehebung
- Keine Drops: Administration prüfen (IPS mode aktiv), Rules unter Download aktuell
- OPNsense überlastet: Flood nur kurz fahren, vCPU/RAM erhöhen
- Legitime Verbindungen blockiert: im Tab Alerts die SID prüfen und gezielt deaktivieren oder Policy anpassen