Suricata: Unterschied zwischen den Versionen

Aktuelle Version vom 30. Mai 2023, 22:49 Uhr

Suricata ist ein Network Intrusion Detection System (NIDS)

Beschreibung

Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine

Network Intrusion Detection System (NIDS)

Auch als Network Intrusion Prevention System (NIPS) einsetzbar

in Datenverkehr eingreift und Pakete blockieren

Suricata ist ein Intrusion Detection und Intrusion Prevention System

Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter

Lizenz

GPL
Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt
Open Source
Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung
Open Information Security Foundation (OISF)

Anwendung

Freie Firewall-Distributionen

Kommerzielle Anbieter

FireEye

Übersicht

Betriebssystem	FreeBSD, Linux, Unix, macOS, Windows
Kategorie	Intrusion Detection System
Programmiersprache	C, Rust
Lizenz	GPL
Website	suricata.io

Entwicklung

seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien

Sicherheit
Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!

nicht vor unbekannten

Daher kann ein IDS/IPS nur ein Baustein in einem Sicherheitskonzept sein

Funktionen

System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen

Auf Netzwerkebene

Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen

Aktionen

Information über Unregelmäßigkeiten
Unerwünschte Kommunikation unterbinden
- über eine Rückschaltung zur Firewall

Suricata beschreibt sich selbst als Next-Generation IDS

da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.

Funktion	Beschreibung
Multithreading
PCAP-Analyse
IPv6-Support
Automatische Protokollerkennung
Protokoll-Parser
HTTP-Engine (libhtp)
PCRE-Support
Lua-Skripte
Intel-Hyperscan
Eve JSON-Log-Ausgabe
Redis
Datei-Extrahierung
High-Performance-Packetaufzeichnung
AF_PACKET
PF_RING
NETMAP
IP-Reputation

Multithreading

Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.

Multithread-fähige Vorgänge

Paketempfang
Paketdekodierung
Paketanalyse
Paketverarbeitung

Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.

In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.

"Multithreading-Standardeinstellungen bei 4 CPUs"

Multithreading-Standardeinstellungen bei 4 CPUs

Begriffe

Begriff	Beschreibung
Empfang	Pakete vom Netzwerk lesen
Decodierung	Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
Analyse	Datenstrom mit aktivierten Signaturen vergleichen
Output	Alarmierungen und Ereignisse verarbeiten

Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt

Weblinks

OISF – Foundation hinter Suricata
emergingthreats.net – Community für Suricata Signaturen
http://suricata-ids.org/
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
http://www.emergingthreats.net/
http://oinkmaster.sourceforge.net/
http://www.hosfeld.de/
http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html

@@ Zeile 2: / Zeile 2: @@
 == Beschreibung ==
-; Suricata ist ein leistungsfähiges Intrusion Detection und Intrusion Prevention System, das sich auf vielfältige Weise an den jeweiligen Einsatzzweck anpassen lässt.
+; Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
-* Über den NFQUEUE-Mechanismus gibt es eine sehr leistungsfähige und flexible Anbindung an die Linux-Firewall »Netfilter«.
+[[Datei:Suricata IDS.png|mini|400px | Suricata mit Echtzeit-Analyse und grafischer Oberfläche]]
+; [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
+* Auch als [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) einsetzbar
+: in Datenverkehr eingreift und Pakete blockieren
+; Suricata ist ein Intrusion Detection und Intrusion Prevention System
+* Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
+* Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall [[Netfilter]]
-; Bei allen Möglichkeiten, die Suricata bietet, darf man aber nicht vergessen, dass ein IDS/IPS nicht vor (unbekannten) Sicherheitslücken schützen kann.
+; Lizenz
-* Suricata kann und muss nur ein Baustein in einem globaleren Sicherheitskonzept sein.
+* [[GNU General Public License|GPL]]
+* Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt
+* [[Open Source]]
+* Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung
+* [[Open Information Security Foundation]] (OISF)
-[[Datei:Suricata IDS.png|mini|400px]]
-* [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
-** [[Open Information Security Foundation]] (OISF)
-* Auch als [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) einsetzbar
-: (in Datenverkehr eingreift und Pakete blockieren)
-; Lizenz
 ; Anwendung
 Freie [[Firewall]]-[[Distribution (Software)|Distributionen]]
@@ Zeile 27: / Zeile 32: @@
 {| class="wikitable sortable options"
 |-
-|Hersteller || [https://oisf.net/ Open Information Security Foundation]
 |-
 |Betriebssystem || [[FreeBSD]], [[Linux]], [[Unix]], [[macOS]], [[Microsoft Windows|Windows]]
@@ Zeile 43: / Zeile 48: @@
 * seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
-; Funktionen
+; Sicherheit
+; Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!
+* nicht vor unbekannten
+; Daher kann ein IDS/IPS nur ''ein'' Baustein in einem Sicherheitskonzept sein
+== Funktionen ==
+; System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen
+; Auf Netzwerkebene
+* Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen
+; Aktionen
+* Information über  Unregelmäßigkeiten
+* Unerwünschte Kommunikation unterbinden
+** über eine Rückschaltung zur Firewall
+; Suricata beschreibt sich selbst als Next-Generation IDS
+* da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
+* Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
 {| class="wikitable sortable options"
 |-
@@ Zeile 61: / Zeile 86: @@
 | [[HTTP]]-Engine (libhtp) ||
 |-
-| PCRE-Support ||
+| [[PCRE]]-Support ||
 |-
 | [[Lua]]-Skripte ||
@@ Zeile 84: / Zeile 109: @@
 |}
+=== Multithreading ===
+* Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
+* So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
-; Systeme zur Erkennung und Abwehr von Angriffen auf eine IT-Infrastruktur können auf Netzwerkebene den ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen.
+; Multithread-fähige Vorgänge
-* So kann der Systemadministrator bei Unregelmäßigkeiten informiert werden oder über eine Rückschaltung zur Firewall die unerwünschte Kommunikation gänzlich unterbunden werden.
+* Paketempfang
-* Im Folgenden soll die grundlegende Funktionalität von Suricata, einem signaturbasierten Intrusion Detection System (IDS) beschrieben werden.
+* Paketdekodierung
+* Paketanalyse
+* Paketverarbeitung
-; Suricata beschreibt sich selbst als Next-Generation IDS, da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
+Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.
-* Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
+* In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.
+[[Image:Bild3.png|top|alt="Multithreading-Standardeinstellungen bei 4 CPUs"]]
-Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. Open Source and owned by a community run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF and its supporting vendors.
+; Multithreading-Standardeinstellungen bei 4 CPUs
-== Installation ==
+; Begriffe
- # '''apt install suricata'''
+{| class="wikitable options"
+|-
+! Begriff !! Beschreibung
+|-
+| Empfang || Pakete vom Netzwerk lesen
+|-
+| Decodierung || Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
+|-
+| Analyse || Datenstrom mit aktivierten Signaturen vergleichen
+|-
+| Output || Alarmierungen und Ereignisse verarbeiten
+|}
-== Konfiguration ==
+<noinclude>
-[[Suricata/Konfiguration]]
-== Betrieb ==
+== Anhang ==
-[[Suricata/Betrieb]]
+=== Siehe auch ===
+{{Special:PrefixIndex/Suricata}}
-== Siehe auch ==
+----
 # [[Stateful Packet Inspection]]
 # [[Snort]]
-=== Dokumentation ===
+==== Sicherheit ====
+==== Dokumentation ====
 # https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
 # https://suricata.readthedocs.io/en/latest/index.html
-==== RFC ====
+==== Links ====
-==== Man-Pages ====
+===== Projekt =====
-==== Info-Pages ====
-=== Links ===
-==== Projekt ====
 # [https://suricata.io/ Offizielle Website]
+# [https://oisf.net/ Open Information Security Foundation]
-==== Weblinks ====
+===== Weblinks =====
 # [http://oisf.net/ OISF] – Foundation hinter Suricata
 # [http://www.emergingthreats.net/ emergingthreats.net] – Community für Suricata Signaturen
@@ Zeile 131: / Zeile 170: @@
 # https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html
-==== Einzelnachweise ====
+[[Kategorie:OPNsense/IDS]]
-<references />
+[[Kategorie:Suricata]]
-== Testfragen ==
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 1''
-<div class="mw-collapsible-content">'''Antwort1'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 2''
-<div class="mw-collapsible-content">'''Antwort2'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 3''
-<div class="mw-collapsible-content">'''Antwort3'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 4''
-<div class="mw-collapsible-content">'''Antwort4'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 5''
-<div class="mw-collapsible-content">'''Antwort5'''</div>
-</div>
+</noinclude>
-[[Kategorie:Unix-Software]]
-[[Kategorie:OPNsense/IDS]]
-[[Kategorie:Intrusion Detection]]