Suricata: Unterschied zwischen den Versionen
(129 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
''' | '''Suricata''' ist ein [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS) | ||
== Beschreibung == | == Beschreibung == | ||
= | ; Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine | ||
[[Datei:Suricata IDS.png|mini|400px | Suricata mit Echtzeit-Analyse und grafischer Oberfläche]] | |||
; [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS) | |||
* Auch als [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) einsetzbar | |||
: in Datenverkehr eingreift und Pakete blockieren | |||
; Suricata ist ein Intrusion Detection und Intrusion Prevention System | |||
* Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden | |||
* Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall [[Netfilter]] | |||
== | |||
; Lizenz | |||
* [[GNU General Public License|GPL]] | |||
* Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt | |||
* [[Open Source]] | |||
* Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung | |||
* [[Open Information Security Foundation]] (OISF) | |||
; Anwendung | |||
Freie [[Firewall]]-[[Distribution (Software)|Distributionen]] | |||
* [[IPFire]] | |||
* [[pfSense]] | |||
* [[OPNsense]] | |||
* [[SecurityOnion]] | |||
Kommerzielle Anbieter | |||
* [[FireEye]] | |||
; Übersicht | |||
{| class="wikitable sortable options" | |||
|- | |||
|- | |||
|Betriebssystem || [[FreeBSD]], [[Linux]], [[Unix]], [[macOS]], [[Microsoft Windows|Windows]] | |||
|- | |||
|Kategorie || [[Intrusion Detection System]] | |||
|- | |||
|Programmiersprache || [[C (Programmiersprache)|C]], [[Rust (Programmiersprache)|Rust]] | |||
|- | |||
|Lizenz || [[GNU General Public License|GPL]] | |||
|- | |||
|Website || [https://suricata.io/ suricata.io] | |||
|} | |||
; Entwicklung | |||
* seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien | |||
; Sicherheit | |||
; Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen! | |||
* nicht vor unbekannten | |||
; Daher kann ein IDS/IPS nur ''ein'' Baustein in einem Sicherheitskonzept sein | |||
== Funktionen == | |||
; System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen | |||
= | ; Auf Netzwerkebene | ||
* Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen | |||
; Aktionen | |||
* Information über Unregelmäßigkeiten | |||
* Unerwünschte Kommunikation unterbinden | |||
** über eine Rückschaltung zur Firewall | |||
; Suricata beschreibt sich selbst als Next-Generation IDS | |||
* da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren. | |||
* Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert. | |||
{| class="wikitable sortable options" | |||
|- | |||
! Funktion !! Beschreibung | |||
|- | |||
|- | |||
| Multithreading || | |||
|- | |||
| PCAP-Analyse || | |||
|- | |||
| [[IPv6]]-Support || | |||
|- | |||
| Automatische Protokollerkennung || | |||
|- | |||
| [[Netzwerkprotokoll|Protokoll]]-[[Parser]] || | |||
|- | |||
| [[HTTP]]-Engine (libhtp) || | |||
|- | |||
| [[PCRE]]-Support || | |||
|- | |||
| [[Lua]]-Skripte || | |||
|- | |||
| Intel-Hyperscan || | |||
|- | |||
| Eve JSON-Log-Ausgabe || | |||
|- | |||
| [[Redis]] || | |||
|- | |||
| Datei-Extrahierung || | |||
|- | |||
| High-Performance-Packetaufzeichnung || | |||
|- | |||
| AF_PACKET || | |||
|- | |||
| PF_RING || | |||
|- | |||
| NETMAP || | |||
|- | |||
| IP-Reputation || | |||
|} | |||
=== | === Multithreading === | ||
* Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn. | |||
* So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht. | |||
; Multithread-fähige Vorgänge | |||
* Paketempfang | |||
* Paketdekodierung | |||
* Paketanalyse | |||
* Paketverarbeitung | |||
Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden. | |||
* In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU. | |||
[[Image:Bild3.png|top|alt="Multithreading-Standardeinstellungen bei 4 CPUs"]] | |||
; Multithreading-Standardeinstellungen bei 4 CPUs | |||
; Begriffe | |||
{| class="wikitable options" | |||
|- | |||
! Begriff !! Beschreibung | |||
|- | |||
| Empfang || Pakete vom Netzwerk lesen | |||
|- | |||
| Decodierung || Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren | |||
|- | |||
| Analyse || Datenstrom mit aktivierten Signaturen vergleichen | |||
|- | |||
| Output || Alarmierungen und Ereignisse verarbeiten | |||
|} | |||
<noinclude> | |||
== | == Anhang == | ||
=== Siehe auch === | |||
{{Special:PrefixIndex/Suricata}} | |||
---- | |||
# [[Stateful Packet Inspection]] | |||
# [[Snort]] | |||
==== Sicherheit ==== | |||
==== Dokumentation ==== | |||
# https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation | |||
# https://suricata.readthedocs.io/en/latest/index.html | |||
== | ==== Links ==== | ||
===== Projekt ===== | |||
# [https://suricata.io/ Offizielle Website] | |||
# [https://oisf.net/ Open Information Security Foundation] | |||
===== Weblinks ===== | |||
# [http://oisf.net/ OISF] – Foundation hinter Suricata | |||
# [http://www.emergingthreats.net/ emergingthreats.net] – Community für Suricata Signaturen | |||
# http://suricata-ids.org/ | |||
# https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT | |||
# http://www.emergingthreats.net/ | |||
# http://oinkmaster.sourceforge.net/ | |||
# http://www.hosfeld.de/ | |||
# http://www.freiesmagazin.de/20150201-februarausgabe-erschienen | |||
# https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html | |||
[[Kategorie:OPNsense/IDS]] | |||
[[Kategorie:Suricata]] | |||
</noinclude> | |||
Aktuelle Version vom 30. Mai 2023, 22:49 Uhr
Suricata ist ein Network Intrusion Detection System (NIDS)
Beschreibung
- Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
- Auch als Network Intrusion Prevention System (NIPS) einsetzbar
- in Datenverkehr eingreift und Pakete blockieren
- Suricata ist ein Intrusion Detection und Intrusion Prevention System
- Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
- Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter
- Lizenz
- GPL
- Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt
- Open Source
- Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung
- Open Information Security Foundation (OISF)
- Anwendung
Freie Firewall-Distributionen
Kommerzielle Anbieter
- Übersicht
Betriebssystem | FreeBSD, Linux, Unix, macOS, Windows |
Kategorie | Intrusion Detection System |
Programmiersprache | C, Rust |
Lizenz | GPL |
Website | suricata.io |
- Entwicklung
- seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
- Sicherheit
- Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!
- nicht vor unbekannten
- Daher kann ein IDS/IPS nur ein Baustein in einem Sicherheitskonzept sein
Funktionen
- System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen
- Auf Netzwerkebene
- Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen
- Aktionen
- Information über Unregelmäßigkeiten
- Unerwünschte Kommunikation unterbinden
- über eine Rückschaltung zur Firewall
- Suricata beschreibt sich selbst als Next-Generation IDS
- da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
- Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
Funktion | Beschreibung |
---|---|
Multithreading | |
PCAP-Analyse | |
IPv6-Support | |
Automatische Protokollerkennung | |
Protokoll-Parser | |
HTTP-Engine (libhtp) | |
PCRE-Support | |
Lua-Skripte | |
Intel-Hyperscan | |
Eve JSON-Log-Ausgabe | |
Redis | |
Datei-Extrahierung | |
High-Performance-Packetaufzeichnung | |
AF_PACKET | |
PF_RING | |
NETMAP | |
IP-Reputation |
Multithreading
- Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
- So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
- Multithread-fähige Vorgänge
- Paketempfang
- Paketdekodierung
- Paketanalyse
- Paketverarbeitung
Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.
- In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.
"Multithreading-Standardeinstellungen bei 4 CPUs"
- Multithreading-Standardeinstellungen bei 4 CPUs
- Begriffe
Begriff | Beschreibung |
---|---|
Empfang | Pakete vom Netzwerk lesen |
Decodierung | Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren |
Analyse | Datenstrom mit aktivierten Signaturen vergleichen |
Output | Alarmierungen und Ereignisse verarbeiten |
Anhang
Siehe auch
Sicherheit
Dokumentation
- https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
- https://suricata.readthedocs.io/en/latest/index.html
Links
Projekt
Weblinks
- OISF – Foundation hinter Suricata
- emergingthreats.net – Community für Suricata Signaturen
- http://suricata-ids.org/
- https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
- http://www.emergingthreats.net/
- http://oinkmaster.sourceforge.net/
- http://www.hosfeld.de/
- http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
- https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html