Suricata: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(125 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Suricata''' ist ein [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
 
== Beschreibung ==
== Beschreibung ==
== Installation ==
; Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
== Anwendungen ==
[[Datei:Suricata IDS.png|mini|400px | Suricata mit Echtzeit-Analyse und grafischer Oberfläche]]
=== Fehlerbehebung ===
; [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
== Syntax ==
* Auch als [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) einsetzbar
=== Optionen ===
: in Datenverkehr eingreift und Pakete blockieren
=== Parameter ===
 
=== Umgebungsvariablen ===
; Suricata ist ein Intrusion Detection und Intrusion Prevention System
=== Exit-Status ===
* Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
== Konfiguration ==
* Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall [[Netfilter]]
=== Dateien ===
 
== Sicherheit ==
; Lizenz
* [[GNU General Public License|GPL]]
* Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt
* [[Open Source]]
* Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung
* [[Open Information Security Foundation]] (OISF)
 
 
; Anwendung
Freie [[Firewall]]-[[Distribution (Software)|Distributionen]]
* [[IPFire]]
* [[pfSense]]
* [[OPNsense]]
* [[SecurityOnion]]
Kommerzielle Anbieter
* [[FireEye]]
 
; Übersicht
{| class="wikitable sortable options"
|-
 
|-
|Betriebssystem || [[FreeBSD]], [[Linux]], [[Unix]], [[macOS]], [[Microsoft Windows|Windows]]
|-
|Kategorie || [[Intrusion Detection System]]
|-
|Programmiersprache || [[C (Programmiersprache)|C]], [[Rust (Programmiersprache)|Rust]]
|-
|Lizenz || [[GNU General Public License|GPL]]
|-
|Website || [https://suricata.io/ suricata.io]
|}
 
; Entwicklung
* seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
 
; Sicherheit
; Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!
* nicht vor unbekannten
 
; Daher kann ein IDS/IPS nur ''ein'' Baustein in einem Sicherheitskonzept sein
 
== Funktionen ==
; System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen
 
; Auf Netzwerkebene
* Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen
 
; Aktionen
* Information über  Unregelmäßigkeiten
* Unerwünschte Kommunikation unterbinden
** über eine Rückschaltung zur Firewall
 
; Suricata beschreibt sich selbst als Next-Generation IDS
* da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
* Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
 
{| class="wikitable sortable options"
|-
! Funktion !! Beschreibung
|-
|-
| Multithreading ||
|-
| PCAP-Analyse ||
|-
| [[IPv6]]-Support ||
|-
| Automatische Protokollerkennung ||
|-
| [[Netzwerkprotokoll|Protokoll]]-[[Parser]] ||
|-
| [[HTTP]]-Engine (libhtp) ||
|-
| [[PCRE]]-Support ||
|-
| [[Lua]]-Skripte ||
|-
| Intel-Hyperscan ||
|-
| Eve JSON-Log-Ausgabe ||
|-
| [[Redis]] ||
|-
| Datei-Extrahierung ||
|-
| High-Performance-Packetaufzeichnung ||
|-
| AF_PACKET ||
|-
| PF_RING ||
|-
| NETMAP ||
|-
| IP-Reputation ||
|}


== Siehe auch ==
=== Multithreading ===
=== Dokumentation ===
* Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
==== RFC ====
* So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
==== Man-Pages ====
 
==== Info-Pages ====
; Multithread-fähige Vorgänge
=== Links ===
* Paketempfang
==== Projekt ====
* Paketdekodierung
# [https://suricata.io/ Offizielle Website]
* Paketanalyse
* Paketverarbeitung


==== Weblinks ====
Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.
# [http://oisf.net/ OISF] – Foundation hinter Suricata
* In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.
# [http://www.emergingthreats.net/ emergingthreats.net] – Community für Suricata Signaturen


==== Einzelnachweise ====
[[Image:Bild3.png|top|alt="Multithreading-Standardeinstellungen bei 4 CPUs"]]
<references />


== Testfragen ==
; Multithreading-Standardeinstellungen bei 4 CPUs
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Entwurf]]
; Begriffe
{| class="wikitable options"
|-
! Begriff !! Beschreibung
|-
| Empfang || Pakete vom Netzwerk lesen
|-
| Decodierung || Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
|-
| Analyse || Datenstrom mit aktivierten Signaturen vergleichen
|-
| Output || Alarmierungen und Ereignisse verarbeiten
|}


= Wikipedia =
<noinclude>
|Screenshot            = [[Datei:Suricata IDS.png|200px]]
|Hersteller            = [https://oisf.net/ Open Information Security Foundation]
|AktuelleVorabVersionFreigabeDatum =
|Betriebssystem        = [[FreeBSD]], [[Linux]], [[Unix]], [[macOS]], [[Microsoft Windows|Windows]]
|Kategorie            = [[Intrusion Detection System]]
|Programmiersprache    = [[C (Programmiersprache)|C]], [[Rust (Programmiersprache)|Rust]]
|Lizenz                = [[GNU General Public License|GPL]]
|Deutsch              = nein
|Website              = [https://suricata.io/ suricata.io]


'''Suricata''' ist ein [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS). Es wird durch die [[Open Information Security Foundation]] (OISF) entwickelt und betreut. Die Software steht unter einer freien GPLv2 Lizenz. Neben dem Betrieb als IDS bietet Suricata auch einen [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) Modus an, der direkt in den Datenverkehr eingreift und Pakete blockieren kann.
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Suricata}}
----
# [[Stateful Packet Inspection]]
# [[Snort]]


Suricata kommt in einigen freien [[Firewall]]-[[Distribution (Software)|Distributionen]] wie [[IPFire]], [[pfSense]], [[OPNsense]] und [[SecurityOnion]] als IDS oder IPS zum Einsatz. Ebenso verwenden kommerzielle Anbieter wie etwa [[FireEye]] Suricata in ihren Produkten und leisten als Consortium Member der OISF auch finanzielle Unterstützung.
==== Sicherheit ====
==== Dokumentation ====
# https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
# https://suricata.readthedocs.io/en/latest/index.html


== Features ==
==== Links ====
* Multithreading
===== Projekt =====
* PCAP-Analyse
# [https://suricata.io/ Offizielle Website]
* [[IPv6]]-Support
# [https://oisf.net/ Open Information Security Foundation]
* Automatische Protokollerkennung
* [[Netzwerkprotokoll|Protokoll]]-[[Parser]]
* [[HTTP]]-Engine (libhtp)
* PCRE-Support
* [[Lua]]-Skripte
* Intel-Hyperscan
* Eve JSON-Log-Ausgabe
* [[Redis]]
* Datei-Extrahierung
* High-Performance-Packetaufzeichnung
* AF_PACKET
* PF_RING
* NETMAP
* IP-Reputation


== Geschichte ==
===== Weblinks =====
# [http://oisf.net/ OISF] – Foundation hinter Suricata
# [http://www.emergingthreats.net/ emergingthreats.net] – Community für Suricata Signaturen
# http://suricata-ids.org/
# https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
# http://www.emergingthreats.net/
# http://oinkmaster.sourceforge.net/
# http://www.hosfeld.de/
# http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
# https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html


Die Entwicklung von Suricata begann 2008 durch Matt Jonkman, Will Metcalf und Victor Julien, der bis heute als Hauptentwickler über das Projekt wacht. Im November 2015 fand die erste Suricata-Konferenz (SuriCon) in Barcelona statt, mit weiteren Auflagen 2016 in Washington D.C., 2017 in Prag, 2018 in Vancouver sowie 2019 in Amsterdam.
[[Kategorie:OPNsense/IDS]]
[[Kategorie:Suricata]]


[[Kategorie:Intrusion Detection/Prevention]]
</noinclude>
[[Kategorie:Freie Sicherheitssoftware]]
[[Kategorie:Unix-Software]]

Aktuelle Version vom 30. Mai 2023, 22:49 Uhr

Suricata ist ein Network Intrusion Detection System (NIDS)

Beschreibung

Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
Suricata mit Echtzeit-Analyse und grafischer Oberfläche
Network Intrusion Detection System (NIDS)
in Datenverkehr eingreift und Pakete blockieren
Suricata ist ein Intrusion Detection und Intrusion Prevention System
  • Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
  • Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter
Lizenz


Anwendung

Freie Firewall-Distributionen

Kommerzielle Anbieter

Übersicht
Betriebssystem FreeBSD, Linux, Unix, macOS, Windows
Kategorie Intrusion Detection System
Programmiersprache C, Rust
Lizenz GPL
Website suricata.io
Entwicklung
  • seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
Sicherheit
Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!
  • nicht vor unbekannten
Daher kann ein IDS/IPS nur ein Baustein in einem Sicherheitskonzept sein

Funktionen

System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen
Auf Netzwerkebene
  • Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen
Aktionen
  • Information über Unregelmäßigkeiten
  • Unerwünschte Kommunikation unterbinden
    • über eine Rückschaltung zur Firewall
Suricata beschreibt sich selbst als Next-Generation IDS
  • da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
  • Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
Funktion Beschreibung
Multithreading
PCAP-Analyse
IPv6-Support
Automatische Protokollerkennung
Protokoll-Parser
HTTP-Engine (libhtp)
PCRE-Support
Lua-Skripte
Intel-Hyperscan
Eve JSON-Log-Ausgabe
Redis
Datei-Extrahierung
High-Performance-Packetaufzeichnung
AF_PACKET
PF_RING
NETMAP
IP-Reputation

Multithreading

  • Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
  • So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
Multithread-fähige Vorgänge
  • Paketempfang
  • Paketdekodierung
  • Paketanalyse
  • Paketverarbeitung

Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.

  • In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.

"Multithreading-Standardeinstellungen bei 4 CPUs"

Multithreading-Standardeinstellungen bei 4 CPUs
Begriffe
Begriff Beschreibung
Empfang Pakete vom Netzwerk lesen
Decodierung Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
Analyse Datenstrom mit aktivierten Signaturen vergleichen
Output Alarmierungen und Ereignisse verarbeiten


Anhang

Siehe auch

  1. Stateful Packet Inspection
  2. Snort

Sicherheit

Dokumentation

  1. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
  2. https://suricata.readthedocs.io/en/latest/index.html

Links

Projekt
  1. Offizielle Website
  2. Open Information Security Foundation
Weblinks
  1. OISF – Foundation hinter Suricata
  2. emergingthreats.net – Community für Suricata Signaturen
  3. http://suricata-ids.org/
  4. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
  5. http://www.emergingthreats.net/
  6. http://oinkmaster.sourceforge.net/
  7. http://www.hosfeld.de/
  8. http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
  9. https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html


Abgerufen von „https://wiki.foxtom.de/index.php?title=Suricata&oldid=72088