Suricata/Regeln

topic - Kurzbeschreibung

Beschreibung

Regelwerk

Signaturen spielen in Suricata eine wichtige Rolle

• Aktualität
• Genauigkeit

Bestehende Regelsätze

Installation von Regelsätzen

• https://suricata.readthedocs.io/en/suricata-6.0.0/rule-management/suricata-update.html

Frei verfügbaren Regelwerken

• emergingthreats.net

Kommerzieller Anbieter

• aktueller
• besondere Bereiche

/etc/suricata/rules

• Suricata sucht die Regeln standardmäßig in /etc/suricata/rules

Regeln thematisch zu Suricata zusammengefasst

• snort kompatibel

Auch, wenn es möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege

Suricata-Regeln sind snort kompatibel

• so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen

Regelaktualisierung

Automatisieren

oinkmaster

# oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules

oinkmaster

• lädt ein Archiv des Regelwerks von der angegebenen URL herunter
• speichert sie in rules-Dateien im Verzeichnis /etc/suricata/rules/

Dabei werden eventuell vorhandene rules-Dateien überschrieben

• Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID
• Diese können über die enablesid, disablesid und modifysid in der Datei /etc/oinkmaster.conf bekannt gemacht werden
• Wurde etwa eine ID über disablesid deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird

Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen

• Kommunikation mit Bot-Netzen und deren Infrastruktur
• Verbindungen, die aus unterschiedlichsten Gründen unerwünscht sein können (IP reputation database)
• Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
• Antworten auf (erfolgreich durchgeführte) Angriffe
• Protokoll-spezifische Angriffsmuster (z. B.  DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
• DOS-Attacken
• Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
• Kommunikation von Spyware-Software und Trojanern
• Kommunikation mit Tauschbörsen und Peer-to-Peer Netzwerken
• Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
• Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)

Anhang

Siehe auch

• Suricata/Regeln
• Suricata/Regeln/Syntax

Sicherheit

Dokumentation

Links

Projekt

Weblinks