Suricata: Unterschied zwischen den Versionen

Aus Foxwiki
 
(129 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Suricata''' ist ein [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
 
== Beschreibung ==
== Beschreibung ==
== Installation ==
; Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
== Anwendungen ==
[[Datei:Suricata IDS.png|mini|400px | Suricata mit Echtzeit-Analyse und grafischer Oberfläche]]
=== Fehlerbehebung ===
; [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
== Syntax ==
* Auch als [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) einsetzbar
=== Optionen ===
: in Datenverkehr eingreift und Pakete blockieren
=== Parameter ===
 
=== Umgebungsvariablen ===
; Suricata ist ein Intrusion Detection und Intrusion Prevention System
=== Exit-Status ===
* Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
== Konfiguration ==
* Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall [[Netfilter]]
=== Dateien ===
 
== Sicherheit ==
; Lizenz
* [[GNU General Public License|GPL]]
* Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt
* [[Open Source]]
* Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung
* [[Open Information Security Foundation]] (OISF)
 
 
; Anwendung
Freie [[Firewall]]-[[Distribution (Software)|Distributionen]]
* [[IPFire]]
* [[pfSense]]
* [[OPNsense]]
* [[SecurityOnion]]
Kommerzielle Anbieter
* [[FireEye]]
 
; Übersicht
{| class="wikitable sortable options"
|-
 
|-
|Betriebssystem || [[FreeBSD]], [[Linux]], [[Unix]], [[macOS]], [[Microsoft Windows|Windows]]
|-
|Kategorie || [[Intrusion Detection System]]
|-
|Programmiersprache || [[C (Programmiersprache)|C]], [[Rust (Programmiersprache)|Rust]]
|-
|Lizenz || [[GNU General Public License|GPL]]
|-
|Website || [https://suricata.io/ suricata.io]
|}
 
; Entwicklung
* seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
 
; Sicherheit
; Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!
* nicht vor unbekannten
 
; Daher kann ein IDS/IPS nur ''ein'' Baustein in einem Sicherheitskonzept sein
 
== Funktionen ==
; System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen


== Siehe auch ==
; Auf Netzwerkebene
=== Dokumentation ===
* Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen
==== RFC ====
 
==== Man-Pages ====
; Aktionen
==== Info-Pages ====
* Information über  Unregelmäßigkeiten
=== Links ===
* Unerwünschte Kommunikation unterbinden
==== Einzelnachweise ====
** über eine Rückschaltung zur Firewall
<references />
 
==== Projekt ====
; Suricata beschreibt sich selbst als Next-Generation IDS
# [https://suricata.io/ Offizielle Website]
* da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
* Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
 
{| class="wikitable sortable options"
|-
! Funktion !! Beschreibung
|-
|-
| Multithreading ||
|-
| PCAP-Analyse ||
|-
| [[IPv6]]-Support ||
|-
| Automatische Protokollerkennung ||
|-
| [[Netzwerkprotokoll|Protokoll]]-[[Parser]] ||
|-
| [[HTTP]]-Engine (libhtp) ||
|-
| [[PCRE]]-Support ||
|-
| [[Lua]]-Skripte ||
|-
| Intel-Hyperscan ||
|-
| Eve JSON-Log-Ausgabe ||
|-
| [[Redis]] ||
|-
| Datei-Extrahierung ||
|-
| High-Performance-Packetaufzeichnung ||
|-
| AF_PACKET ||
|-
| PF_RING ||
|-
| NETMAP ||
|-
| IP-Reputation ||
|}


==== Weblinks ====
=== Multithreading ===
# [http://oisf.net/ OISF] – Foundation hinter Suricata
* Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.  
# [http://www.emergingthreats.net/ emergingthreats.net] – Community für Suricata Signaturen
* So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.  


== Testfragen ==
; Multithread-fähige Vorgänge
<div class="toccolours mw-collapsible mw-collapsed">
* Paketempfang
''Testfrage 1''
* Paketdekodierung
<div class="mw-collapsible-content">'''Antwort1'''</div>
* Paketanalyse
</div>
* Paketverarbeitung
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Entwurf]]
Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.
* In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.


= Wikipedia =
[[Image:Bild3.png|top|alt="Multithreading-Standardeinstellungen bei 4 CPUs"]]
|Screenshot            = [[Datei:Suricata IDS.png|200px]]
|Hersteller            = [https://oisf.net/ Open Information Security Foundation]
|AktuelleVorabVersionFreigabeDatum =
|Betriebssystem        = [[FreeBSD]], [[Linux]], [[Unix]], [[macOS]], [[Microsoft Windows|Windows]]
|Kategorie            = [[Intrusion Detection System]]
|Programmiersprache    = [[C (Programmiersprache)|C]], [[Rust (Programmiersprache)|Rust]]
|Lizenz                = [[GNU General Public License|GPL]]
|Deutsch              = nein
|Website              = [https://suricata.io/ suricata.io]


'''Suricata''' ist ein [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS). Es wird durch die [[Open Information Security Foundation]] (OISF) entwickelt und betreut. Die Software steht unter einer freien GPLv2 Lizenz. Neben dem Betrieb als IDS bietet Suricata auch einen [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) Modus an, der direkt in den Datenverkehr eingreift und Pakete blockieren kann.
; Multithreading-Standardeinstellungen bei 4 CPUs


Suricata kommt in einigen freien [[Firewall]]-[[Distribution (Software)|Distributionen]] wie [[IPFire]], [[pfSense]], [[OPNsense]] und [[SecurityOnion]] als IDS oder IPS zum Einsatz. Ebenso verwenden kommerzielle Anbieter wie etwa [[FireEye]] Suricata in ihren Produkten und leisten als Consortium Member der OISF auch finanzielle Unterstützung.
; Begriffe
{| class="wikitable options"
|-
! Begriff !! Beschreibung
|-
| Empfang || Pakete vom Netzwerk lesen
|-
| Decodierung || Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
|-
| Analyse || Datenstrom mit aktivierten Signaturen vergleichen
|-
| Output || Alarmierungen und Ereignisse verarbeiten
|}


== Features ==
<noinclude>
* Multithreading
* PCAP-Analyse
* [[IPv6]]-Support
* Automatische Protokollerkennung
* [[Netzwerkprotokoll|Protokoll]]-[[Parser]]
* [[HTTP]]-Engine (libhtp)
* PCRE-Support
* [[Lua]]-Skripte
* Intel-Hyperscan
* Eve JSON-Log-Ausgabe
* [[Redis]]
* Datei-Extrahierung
* High-Performance-Packetaufzeichnung
* AF_PACKET
* PF_RING
* NETMAP
* IP-Reputation


== Geschichte ==
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Suricata}}
----
# [[Stateful Packet Inspection]]
# [[Snort]]


Die Entwicklung von Suricata begann 2008 durch Matt Jonkman, Will Metcalf und Victor Julien, der bis heute als Hauptentwickler über das Projekt wacht. Im November 2015 fand die erste Suricata-Konferenz (SuriCon) in Barcelona statt, mit weiteren Auflagen 2016 in Washington D.C., 2017 in Prag, 2018 in Vancouver sowie 2019 in Amsterdam.
==== Sicherheit ====
==== Dokumentation ====
# https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
# https://suricata.readthedocs.io/en/latest/index.html


== Siehe auch ==
==== Links ====
===== Projekt =====
# [https://suricata.io/ Offizielle Website]
# [https://oisf.net/ Open Information Security Foundation]


* [[Stateful Packet Inspection]]
===== Weblinks =====
* [[Snort]]
# [http://oisf.net/ OISF] – Foundation hinter Suricata
# [http://www.emergingthreats.net/ emergingthreats.net] – Community für Suricata Signaturen
# http://suricata-ids.org/
# https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
# http://www.emergingthreats.net/
# http://oinkmaster.sourceforge.net/
# http://www.hosfeld.de/
# http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
# https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html


== Literatur ==
[[Kategorie:OPNsense/IDS]]
* Andreas Herz: ''Tief blicken - Intrusion Detection mit Open-Source-Software''. In: ''[[iX – Magazin für professionelle Informationstechnik|iX]]'', Ausgabe 2/2017, S. 72–76.
[[Kategorie:Suricata]]
* Andreas Herz: ''Geregelter Verkehr - Konfiguration und Betrieb von Suricata''. In: ''iX'', Ausgabe 5/2017, S. 132–135.
* Chris Sanders, Jason Smith: ''Applied Network Security Monitoring: Collection, Detection, and Analysis'', Syngress, Dezember 2013, ISBN 978-0-12-417208-1.


[[Kategorie:Intrusion Detection/Prevention]]
</noinclude>
[[Kategorie:Freie Sicherheitssoftware]]
[[Kategorie:Unix-Software]]

Aktuelle Version vom 30. Mai 2023, 22:49 Uhr

Suricata ist ein Network Intrusion Detection System (NIDS)

Beschreibung

Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
Suricata mit Echtzeit-Analyse und grafischer Oberfläche
Network Intrusion Detection System (NIDS)
in Datenverkehr eingreift und Pakete blockieren
Suricata ist ein Intrusion Detection und Intrusion Prevention System
  • Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
  • Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter
Lizenz


Anwendung

Freie Firewall-Distributionen

Kommerzielle Anbieter

Übersicht
Betriebssystem FreeBSD, Linux, Unix, macOS, Windows
Kategorie Intrusion Detection System
Programmiersprache C, Rust
Lizenz GPL
Website suricata.io
Entwicklung
  • seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
Sicherheit
Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!
  • nicht vor unbekannten
Daher kann ein IDS/IPS nur ein Baustein in einem Sicherheitskonzept sein

Funktionen

System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen
Auf Netzwerkebene
  • Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen
Aktionen
  • Information über Unregelmäßigkeiten
  • Unerwünschte Kommunikation unterbinden
    • über eine Rückschaltung zur Firewall
Suricata beschreibt sich selbst als Next-Generation IDS
  • da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
  • Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
Funktion Beschreibung
Multithreading
PCAP-Analyse
IPv6-Support
Automatische Protokollerkennung
Protokoll-Parser
HTTP-Engine (libhtp)
PCRE-Support
Lua-Skripte
Intel-Hyperscan
Eve JSON-Log-Ausgabe
Redis
Datei-Extrahierung
High-Performance-Packetaufzeichnung
AF_PACKET
PF_RING
NETMAP
IP-Reputation

Multithreading

  • Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
  • So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
Multithread-fähige Vorgänge
  • Paketempfang
  • Paketdekodierung
  • Paketanalyse
  • Paketverarbeitung

Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.

  • In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.

"Multithreading-Standardeinstellungen bei 4 CPUs"

Multithreading-Standardeinstellungen bei 4 CPUs
Begriffe
Begriff Beschreibung
Empfang Pakete vom Netzwerk lesen
Decodierung Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
Analyse Datenstrom mit aktivierten Signaturen vergleichen
Output Alarmierungen und Ereignisse verarbeiten


Anhang

Siehe auch


  1. Stateful Packet Inspection
  2. Snort

Sicherheit

Dokumentation

  1. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
  2. https://suricata.readthedocs.io/en/latest/index.html

Links

Projekt
  1. Offizielle Website
  2. Open Information Security Foundation
Weblinks
  1. OISF – Foundation hinter Suricata
  2. emergingthreats.net – Community für Suricata Signaturen
  3. http://suricata-ids.org/
  4. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
  5. http://www.emergingthreats.net/
  6. http://oinkmaster.sourceforge.net/
  7. http://www.hosfeld.de/
  8. http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
  9. https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html