OPNsense/IDS/Verwaltung/Regelwerke: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „  “ durch „ “
 
(99 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Verfügbare Regelsätze ==
== Beschreibung ==
=== Regelwerke ===
[[File:opnSenseEinbruchserkennungVerwaltungHerunterladen.png|mini|400px]]
[[File:opnSenseEinbruchserkennungVerwaltungHerunterladen.png|mini|500px]]
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
! Regelwerk !! Beschreibung
! Option !! Beschreibung
|-
|-
| abuse.ch/Feodo Tracker || https://feodotracker.abuse.ch/blocklist/
| [[#Emerging_Threats | Emerging Threats]] || Allgemein
|-
|-
| abuse.ch/SSL Fingerprint Blacklist ||  
| [[#Abuse.ch|Abuse.ch]] || Betrügerische Netzwerke
|-
|-
| abuse.ch/SSL IP Blacklist ||  
| [[#App-Erkennung|App-Erkennung]] || Web-Anwendungen
|}
 
== Emerging Threats ==
; Vielzahl von IDS/IPS-Regelsätzen
* https://doc.emergingthreats.net/bin/view/Main/AboutEmergingThreats
 
; Versionen
{| class="wikitable options"
|-
|-
| abuse.ch/ThreatFox ||
! Version !! Beschreibung
|-
|-
| abuse.ch/URLhaus ||  
| ET Open || frei, BSD-lizenziert
|-
| ET Pro Telemetrie || kostenpflichtig
|}
|}
=== ET Open ===
; OPNsense etnhält standarmäßig die ET Open-Regeln


{| class="wikitable sortable options"
{| class="wikitable sortable options"
Zeile 21: Zeile 33:
!  Regelwerk !! Beschreibung
!  Regelwerk !! Beschreibung
|-
|-
| ET open/botcc || https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
| botcc || https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
|-
|-
| ET open/botcc.portgrouped ||  
| botcc.portgrouped ||  
|-
|-
| ET open/ciarmy ||  
| ciarmy ||  
|-
|-
| ET open/compromised ||  
| compromised ||  
|-
|-
| ET open/drop ||  
| drop ||  
|-
|-
| ET open/dshield ||  
| dshield ||  
|-
|-
| ET open/emerging-activex ||  
| emerging-activex ||  
|-
|-
| ET open/emerging-adware_pup ||  
| emerging-adware_pup ||  
|-
|-
| ET open/emerging-attack_response ||  
| emerging-attack_response ||  
|-
|-
| ET open/emerging-chat ||  
| emerging-chat ||  
|-
|-
| ET open/emerging-coinminer ||  
| emerging-coinminer ||  
|-
|-
| ET open/emerging-current_events ||  
| emerging-current_events ||  
|-
|-
| ET open/emerging-deleted ||  
| emerging-deleted ||  
|-
|-
| ET open/emerging-dns ||  
| emerging-dns ||  
|-
|-
| ET open/emerging-dos ||  
| emerging-dos ||  
|-
|-
| ET open/emerging-exploit ||  
| emerging-exploit ||  
|-
|-
| ET open/emerging-exploit_kit ||  
| emerging-exploit_kit ||  
|-
|-
| ET open/emerging-ftp ||  
| emerging-ftp ||  
|-
|-
| ET open/emerging-games ||  
| emerging-games ||  
|-
|-
| ET open/emerging-hunting ||  
| emerging-hunting ||  
|-
|-
| ET open/emerging-icmp ||  
| emerging-icmp ||  
|-
|-
| ET open/emerging-icmp_info ||  
| emerging-icmp_info ||  
|-
|-
| ET open/emerging-imap ||  
| emerging-imap ||  
|-
|-
| ET open/emerging-inappropriate ||  
| emerging-inappropriate ||  
|-
|-
| ET open/emerging-info ||  
| emerging-info ||  
|-
|-
| ET open/emerging-ja3 ||  
| emerging-ja3 ||  
|-
|-
| ET open/emerging-malware ||  
| emerging-malware ||  
|-
|-
| ET open/emerging-misc ||  
| emerging-misc ||  
|-
|-
| ET open/emerging-mobile_malware ||  
| emerging-mobile_malware ||  
|-
|-
| ET open/emerging-netbios ||  
| emerging-netbios ||  
|-
|-
| ET open/emerging-p2p ||  
| emerging-p2p ||  
|-
|-
| ET open/emerging-phishing ||  
| emerging-phishing ||  
|-
|-
| ET open/emerging-policy ||  
| emerging-policy ||  
|-
|-
| ET open/emerging-pop3 ||  
| emerging-pop3 ||  
|-
|-
| ET open/emerging-rpc ||  
| emerging-rpc ||  
|-
|-
| ET open/emerging-scada ||  
| emerging-scada ||  
|-
|-
| ET open/emerging-scan ||  
| emerging-scan ||  
|-
|-
| ET open/emerging-shellcode ||  
| emerging-shellcode ||  
|-
|-
| ET open/emerging-smtp ||  
| emerging-smtp ||  
|-
|-
| ET open/emerging-snmp ||  
| emerging-snmp ||  
|-
|-
| ET open/emerging-sql ||  
| emerging-sql ||  
|-
|-
| ET open/emerging-telnet ||  
| emerging-telnet ||  
|-
|-
| ET open/emerging-tftp ||  
| emerging-tftp ||  
|-
|-
| ET open/emerging-user_agents ||  
| emerging-user_agents ||  
|-
|-
| ET open/emerging-voip ||  
| emerging-voip ||  
|-
|-
| ET open/emerging-web_client ||  
| emerging-web_client ||  
|-
|-
| ET open/emerging-web_server ||  
| emerging-web_server ||  
|-
|-
| ET open/emerging-web_specific_apps ||  
| emerging-web_specific_apps ||  
|-
|-
| ET open/emerging-worm ||  
| emerging-worm ||  
|-
|-
| ET open/tor ||  
| tor ||  
|}
|}
; Details und Richtlinien
* http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
; Dokumentation der Regeln
* http://doc.emergingthreats.net
=== ET Pro Telemetrie ===
== Abuse.ch ==
; Blacklists zum Schutz vor betrügerischen Netzwerken
* https://abuse.ch


{| class="wikitable sortable options"
{| class="wikitable sortable options"
Zeile 126: Zeile 150:
!  Regelwerk !! Beschreibung
!  Regelwerk !! Beschreibung
|-
|-
| OPNsense-App-detect/file-transfer || https://github.com/opnsense/rules
| Feodo Tracker || https://feodotracker.abuse.ch/blocklist/
|-
| SSL Fingerprint Blacklist ||
|-
| SSL IP Blacklist ||
|-
| ThreatFox ||
|-
|-
| OPNsense-App-detect/mail ||  
| URLhaus ||  
|}
 
=== Feodo Tracker ===
; Feodo ist ein Trojaner
* auch bekannt als Cridex oder Bugat
* Bankbetrug und Diebstahl von Informationen
** z. B. Kreditkartendaten oder Anmeldeinformationen
 
; Versionen
{| class="wikitable sortable options"
|-
|-
| OPNsense-App-detect/media-streaming ||
! Version !! Beschreibung
|-
|-
| OPNsense-App-detect/messaging ||
| Version A || Wird auf kompromittierten Webservern gehostet
* auf denen ein nginx-Proxy an Port 8080 TCP läuft
* der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
* Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
|-
|-
| OPNsense-App-detect/social-networking ||
| Version B || Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
* Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
* Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
|-
|-
| OPNsense-App-detect/test ||
| Version C || Nachfolger von Feodo, völlig anderer Code
* wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
* Diese Version ist auch unter den Namen Geodo und Emotet bekannt
|-
|-
| OPNsense-App-detect/uncategorized ||  
| Version D || Nachfolger von Cridex
* Diese Version ist auch als Dridex bekannt
|}
|}


=== Emerging Threats ===
Siehe https://feodotracker.abuse.ch/
[https://doc.emergingthreats.net/bin/view/Main/AboutEmergingThreats Emerging Threats] (ET) verfügt über eine Vielzahl von IDS/IPS-Regelsätzen.
* Es gibt eine freie, BSD-lizenzierte Version und eine kostenpflichtige Version.


==== ET Open ====
=== SSL Blacklist ===
Das ETOpen Ruleset ist ''nicht'' ein Full-Coverage Ruleset und kann für viele regulierte Umgebungen nicht ausreichend sein und sollte daher nicht als eigenständiges Ruleset verwendet werden.
; Liste von "schlechten" SSL-Zertifikaten
* Von ''abuse.ch'' als mit Malware oder Botnetz identifiziert
* Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an


OPNsense hat eine integrierte Unterstützung für ETOpen-Regeln.* Für Details und Richtlinien siehe: [http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ]
Siehe https://sslbl.abuse.ch
* Für die Dokumentation der Regeln: [http://doc.emergingthreats.net/ http://doc.emergingthreats.net/]


==== ETPro Telemetrie ====
=== URLHaus ===
Proofpoint bietet eine kostenlose Alternative für den bekannten [https://docs.opnsense.org/manual/etpro_telemetry.html ET Pro Telemetry edition] Regelsatz.
; Sammelt kompromittierte Seiten, die Malware verbreiten


=== Abuse.ch ===
; Weitere Informationen
[https://abuse.ch/ Abuse.ch] bietet verschiedene Blacklists zum Schutz vor betrügerischen Netzwerken an.
* https://urlhaus.abuse.ch


==== SSL Blacklist ====
== App-Erkennung ==
Die ''SSL Blacklist'' (SSLBL) ist ein Projekt, das von abuse.ch unterhalten wird.
; Blockieren von Webdiensten
* Ziel ist es, eine Liste von "schlechten" SSL-Zertifikaten bereitzustellen, die von abuse.ch mit Malware oder Botnetz-Aktivitäten in Verbindung gebracht werden.
* + entsprechenden URLs
* SSLBL stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an.
; 80 Prozent des Datenverkehrs sind Webanwendungen!


Siehe für Details: [https://sslbl.abuse.ch/ https://sslbl.abuse.ch/]
; OPNsense-App-detect
 
{| class="wikitable sortable options"
==== Feodo Tracker ====
|-
Feodo (auch bekannt als Cridex oder Bugat) ist ein Trojaner, der dazu verwendet wird, Bankbetrug zu begehen und vertrauliche Informationen vom Computer des Opfers zu stehlen, z. B. Kreditkartendaten oder Anmeldeinformationen.
!  Regelwerk !! Beschreibung
* Derzeit verfolgt Feodo Tracker vier Versionen von Feodo, die von Feodo Tracker als Version A, Version B, Version C und Version D bezeichnet werden:* '''Version A''' ''Wird auf kompromittierten Webservern gehostet, auf denen ein nginx-Proxy an Port 8080 TCP läuft, der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet.
|-
* Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden.''
| file-transfer ||
* '''Version B''' ''Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers gemietet und betrieben werden.
|-
* Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru.
| mail ||
* Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80.
|-
* '''Version C''' '' Nachfolger von Feodo, völlig anderer Code.
| media-streaming ||
* '''Version C''' wird auf derselben Botnet-Infrastruktur wie Version A gehostet (kompromittierte Webserver, nginx auf Port 8080 TCP oder Port 7779 TCP, keine Domänennamen), verwendet aber eine andere URL-Struktur.
|-
* Diese Version ist auch unter den Namen Geodo und Emotet bekannt.''
| messaging ||
* '''Version D''' '''Nachfolger von Cridex.
|-
* Diese Version ist auch als Dridex bekannt''
| social-networking ||
 
|-
Siehe für Details: [https://feodotracker.abuse.ch/ https://feodotracker.abuse.ch/]
| test ||
 
|-
==== URLHaus-Liste ====
| uncategorized ||
OPNsense Version 18.1.7 führte die URLHaus Liste von abuse.ch ein, die kompromittierte Seiten sammelt, die Malware verbreiten.
|}
 
Siehe für Details: [https://urlhaus.abuse.ch/ https://urlhaus.abuse.ch/]
 
==== Regeln zur App-Erkennung ====
Mit OPNsense 18.1.11 wurde das Regelwerk zur App-Erkennung eingeführt.
* Da etwa 80 Prozent des Datenverkehrs Webanwendungen sind, konzentrieren sich diese Regeln auf das Blockieren von Webdiensten und den dahinter stehenden URLs.


Wenn Sie zu dem Regelsatz beitragen wollen, sehen Sie unter: [https://github.com/opnsense/rules https://github.com/opnsense/rules]
; Weitere Informationen
* https://github.com/opnsense/rules


[[Kategorie:OPNsense/IDS]]
[[Kategorie:OPNsense/IDS]]

Aktuelle Version vom 28. Mai 2023, 12:38 Uhr

Beschreibung

Option Beschreibung
Emerging Threats Allgemein
Abuse.ch Betrügerische Netzwerke
App-Erkennung Web-Anwendungen

Emerging Threats

Vielzahl von IDS/IPS-Regelsätzen
Versionen
Version Beschreibung
ET Open frei, BSD-lizenziert
ET Pro Telemetrie kostenpflichtig

ET Open

OPNsense etnhält standarmäßig die ET Open-Regeln
Regelwerk Beschreibung
botcc https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
botcc.portgrouped
ciarmy
compromised
drop
dshield
emerging-activex
emerging-adware_pup
emerging-attack_response
emerging-chat
emerging-coinminer
emerging-current_events
emerging-deleted
emerging-dns
emerging-dos
emerging-exploit
emerging-exploit_kit
emerging-ftp
emerging-games
emerging-hunting
emerging-icmp
emerging-icmp_info
emerging-imap
emerging-inappropriate
emerging-info
emerging-ja3
emerging-malware
emerging-misc
emerging-mobile_malware
emerging-netbios
emerging-p2p
emerging-phishing
emerging-policy
emerging-pop3
emerging-rpc
emerging-scada
emerging-scan
emerging-shellcode
emerging-smtp
emerging-snmp
emerging-sql
emerging-telnet
emerging-tftp
emerging-user_agents
emerging-voip
emerging-web_client
emerging-web_server
emerging-web_specific_apps
emerging-worm
tor
Details und Richtlinien
Dokumentation der Regeln

ET Pro Telemetrie

Abuse.ch

Blacklists zum Schutz vor betrügerischen Netzwerken
Regelwerk Beschreibung
Feodo Tracker https://feodotracker.abuse.ch/blocklist/
SSL Fingerprint Blacklist
SSL IP Blacklist
ThreatFox
URLhaus

Feodo Tracker

Feodo ist ein Trojaner
  • auch bekannt als Cridex oder Bugat
  • Bankbetrug und Diebstahl von Informationen
    • z. B. Kreditkartendaten oder Anmeldeinformationen
Versionen
Version Beschreibung
Version A Wird auf kompromittierten Webservern gehostet
  • auf denen ein nginx-Proxy an Port 8080 TCP läuft
  • der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
  • Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
Version B Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
  • Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
  • Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
Version C Nachfolger von Feodo, völlig anderer Code
  • wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
  • Diese Version ist auch unter den Namen Geodo und Emotet bekannt
Version D Nachfolger von Cridex
  • Diese Version ist auch als Dridex bekannt

Siehe https://feodotracker.abuse.ch/

SSL Blacklist

Liste von "schlechten" SSL-Zertifikaten
  • Von abuse.ch als mit Malware oder Botnetz identifiziert
  • Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an

Siehe https://sslbl.abuse.ch

URLHaus

Sammelt kompromittierte Seiten, die Malware verbreiten
Weitere Informationen

App-Erkennung

Blockieren von Webdiensten
  • + entsprechenden URLs
80 Prozent des Datenverkehrs sind Webanwendungen!
OPNsense-App-detect
Regelwerk Beschreibung
file-transfer
mail
media-streaming
messaging
social-networking
test
uncategorized
Weitere Informationen