OPNsense/IDS/Verwaltung/Regelwerke: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Textersetzung - „  “ durch „ “
 
(62 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Abuse.ch ==
== Beschreibung ==
[[File:opnSenseEinbruchserkennungVerwaltungHerunterladen.png|mini|500px]]
[[File:opnSenseEinbruchserkennungVerwaltungHerunterladen.png|mini|400px]]
; Blacklists zum Schutz vor betrügerischen Netzwerken
* https://abuse.ch
 
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
! Regelwerk !! Beschreibung
! Option !! Beschreibung
|-
| abuse.ch/Feodo Tracker || https://feodotracker.abuse.ch/blocklist/
|-
|-
| abuse.ch/SSL Fingerprint Blacklist ||  
| [[#Emerging_Threats | Emerging Threats]] || Allgemein
|-
|-
| abuse.ch/SSL IP Blacklist ||  
| [[#Abuse.ch|Abuse.ch]] || Betrügerische Netzwerke
|-
|-
| abuse.ch/ThreatFox ||  
| [[#App-Erkennung|App-Erkennung]] || Web-Anwendungen
|-
| abuse.ch/URLhaus ||
|}
|}


=== Feodo Tracker ===
== Emerging Threats ==
; Feodo ist ein Trojaner
; Vielzahl von IDS/IPS-Regelsätzen
* auch bekannt als Cridex oder Bugat
* https://doc.emergingthreats.net/bin/view/Main/AboutEmergingThreats
* Bankbetrug und Diebstahl von Informationen
** z. B. Kreditkartendaten oder Anmeldeinformationen


; Versionen des Feodo Trackers
; Versionen
 
{| class="wikitable options"
{| class="wikitable sortable options"
|-
|-
! Version !! Beschreibung
! Version !! Beschreibung
|-
|-
| Version A || Wird auf kompromittierten Webservern gehostet, auf denen ein nginx-Proxy an Port 8080 TCP läuft, der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet.
| ET Open || frei, BSD-lizenziert
* Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden.''
|-
| Version B || Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers gemietet und betrieben werden.
* Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru.
* Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80.
|-
| Version C ||  Nachfolger von Feodo, völlig anderer Code.
* '''Version C''' wird auf derselben Botnet-Infrastruktur wie Version A gehostet (kompromittierte Webserver, nginx auf Port 8080 TCP oder Port 7779 TCP, keine Domänennamen), verwendet aber eine andere URL-Struktur.
* Diese Version ist auch unter den Namen Geodo und Emotet bekannt.''
|-
|-
| Version D || 'Nachfolger von Cridex.
| ET Pro Telemetrie || kostenpflichtig
* Diese Version ist auch als Dridex bekannt''
|}
|}
Siehe https://feodotracker.abuse.ch/
=== SSL Blacklist ===
; Die ''SSL Blacklist'' (SSLBL) ist ein Projekt, das von abuse.ch unterhalten wird
* Ziel ist es, eine Liste von "schlechten" SSL-Zertifikaten bereitzustellen, die von abuse.ch mit Malware oder Botnetz-Aktivitäten in Verbindung gebracht werden
* SSLBL stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an
Siehe https://sslbl.abuse.ch
=== URLHaus-Liste ===
; OPNsense Version 18.1.7 führte die URLHaus Liste von abuse.ch ein, die kompromittierte Seiten sammelt, die Malware verbreiten
Siehe für Details: [https://urlhaus.abuse.ch/ https://urlhaus.abuse.ch/]
== Emerging Threats ==
; [https://doc.emergingthreats.net/bin/view/Main/AboutEmergingThreats Emerging Threats] (ET) verfügt über eine Vielzahl von IDS/IPS-Regelsätzen.
* Es gibt eine freie, BSD-lizenzierte Version und eine kostenpflichtige Version


=== ET Open ===
=== ET Open ===
; OPNsense hat eine integrierte Unterstützung für ETOpen-Regeln
; OPNsense etnhält standarmäßig die ET Open-Regeln
* ETOpen Ruleset ist ''nicht'' Full-Coverage
* kann mache Umgebungen nicht ausreichend sein
* sollte daher nicht als eigenständiges Ruleset verwendet werden
 
; Details und Richtlinien
* http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
 
; Dokumentation der Regeln
* http://doc.emergingthreats.net
 
=== ETPro Telemetrie ===
; Proofpoint bietet eine kostenlose Alternative für den bekannten [https://docs.opnsense.org/manual/etpro_telemetry.html ET Pro Telemetry edition] Regelsatz


{| class="wikitable sortable options"
{| class="wikitable sortable options"
Zeile 84: Zeile 33:
!  Regelwerk !! Beschreibung
!  Regelwerk !! Beschreibung
|-
|-
| ET open/botcc || https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
| botcc || https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
|-
| botcc.portgrouped ||
|-
| ciarmy ||
|-
| compromised ||
|-
| drop ||
|-
| dshield ||
|-
| emerging-activex ||
|-
| emerging-adware_pup ||
|-
| emerging-attack_response ||
|-
| emerging-chat ||
|-
| emerging-coinminer ||
|-
| emerging-current_events ||
|-
|-
| ET open/botcc.portgrouped ||  
| emerging-deleted ||  
|-
|-
| ET open/ciarmy ||  
| emerging-dns ||  
|-
|-
| ET open/compromised ||  
| emerging-dos ||  
|-
|-
| ET open/drop ||  
| emerging-exploit ||  
|-
|-
| ET open/dshield ||  
| emerging-exploit_kit ||  
|-
|-
| ET open/emerging-activex ||  
| emerging-ftp ||  
|-
|-
| ET open/emerging-adware_pup ||  
| emerging-games ||  
|-
|-
| ET open/emerging-attack_response ||  
| emerging-hunting ||  
|-
|-
| ET open/emerging-chat ||  
| emerging-icmp ||  
|-
|-
| ET open/emerging-coinminer ||  
| emerging-icmp_info ||  
|-
|-
| ET open/emerging-current_events ||  
| emerging-imap ||  
|-
|-
| ET open/emerging-deleted ||  
| emerging-inappropriate ||  
|-
|-
| ET open/emerging-dns ||  
| emerging-info ||  
|-
|-
| ET open/emerging-dos ||  
| emerging-ja3 ||  
|-
|-
| ET open/emerging-exploit ||  
| emerging-malware ||  
|-
|-
| ET open/emerging-exploit_kit ||  
| emerging-misc ||  
|-
|-
| ET open/emerging-ftp ||  
| emerging-mobile_malware ||  
|-
|-
| ET open/emerging-games ||  
| emerging-netbios ||  
|-
|-
| ET open/emerging-hunting ||  
| emerging-p2p ||  
|-
|-
| ET open/emerging-icmp ||  
| emerging-phishing ||  
|-
|-
| ET open/emerging-icmp_info ||  
| emerging-policy ||  
|-
|-
| ET open/emerging-imap ||  
| emerging-pop3 ||  
|-
|-
| ET open/emerging-inappropriate ||  
| emerging-rpc ||  
|-
|-
| ET open/emerging-info ||  
| emerging-scada ||  
|-
|-
| ET open/emerging-ja3 ||  
| emerging-scan ||  
|-
|-
| ET open/emerging-malware ||  
| emerging-shellcode ||  
|-
|-
| ET open/emerging-misc ||  
| emerging-smtp ||  
|-
|-
| ET open/emerging-mobile_malware ||  
| emerging-snmp ||  
|-
|-
| ET open/emerging-netbios ||  
| emerging-sql ||  
|-
|-
| ET open/emerging-p2p ||  
| emerging-telnet ||  
|-
|-
| ET open/emerging-phishing ||  
| emerging-tftp ||  
|-
|-
| ET open/emerging-policy ||  
| emerging-user_agents ||  
|-
|-
| ET open/emerging-pop3 ||  
| emerging-voip ||  
|-
|-
| ET open/emerging-rpc ||  
| emerging-web_client ||  
|-
|-
| ET open/emerging-scada ||  
| emerging-web_server ||  
|-
|-
| ET open/emerging-scan ||  
| emerging-web_specific_apps ||  
|-
|-
| ET open/emerging-shellcode ||  
| emerging-worm ||  
|-
|-
| ET open/emerging-smtp ||  
| tor ||
|}
 
; Details und Richtlinien
* http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
 
; Dokumentation der Regeln
* http://doc.emergingthreats.net
 
=== ET Pro Telemetrie ===
 
== Abuse.ch ==
; Blacklists zum Schutz vor betrügerischen Netzwerken
* https://abuse.ch
 
{| class="wikitable sortable options"
|-
|-
| ET open/emerging-snmp ||
!  Regelwerk !! Beschreibung
|-
|-
| ET open/emerging-sql ||  
| Feodo Tracker || https://feodotracker.abuse.ch/blocklist/
|-
|-
| ET open/emerging-telnet ||  
| SSL Fingerprint Blacklist ||  
|-
|-
| ET open/emerging-tftp ||  
| SSL IP Blacklist ||  
|-
|-
| ET open/emerging-user_agents ||  
| ThreatFox ||  
|-
|-
| ET open/emerging-voip ||  
| URLhaus ||  
|}
 
=== Feodo Tracker ===
; Feodo ist ein Trojaner
* auch bekannt als Cridex oder Bugat
* Bankbetrug und Diebstahl von Informationen
** z. B. Kreditkartendaten oder Anmeldeinformationen
 
; Versionen
{| class="wikitable sortable options"
|-
|-
| ET open/emerging-web_client ||
! Version !! Beschreibung
|-
|-
| ET open/emerging-web_server ||  
| Version A || Wird auf kompromittierten Webservern gehostet
* auf denen ein nginx-Proxy an Port 8080 TCP läuft
* der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
* Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
|-
|-
| ET open/emerging-web_specific_apps ||  
| Version B || Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
* Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
* Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
|-
|-
| ET open/emerging-worm ||  
| Version C || Nachfolger von Feodo, völlig anderer Code
* wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
* Diese Version ist auch unter den Namen Geodo und Emotet bekannt
|-
|-
| ET open/tor ||  
| Version D || Nachfolger von Cridex
* Diese Version ist auch als Dridex bekannt
|}
|}


== Regeln zur App-Erkennung ==
Siehe https://feodotracker.abuse.ch/
; Blockieren von Webdiensten und den dahinter stehenden URLs
 
* 80 Prozent des Datenverkehrs sind Webanwendungen
=== SSL Blacklist ===
; Liste von "schlechten" SSL-Zertifikaten
* Von ''abuse.ch'' als mit Malware oder Botnetz identifiziert
* Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an
 
Siehe https://sslbl.abuse.ch
 
=== URLHaus ===
; Sammelt kompromittierte Seiten, die Malware verbreiten


; Weitere Informationen
; Weitere Informationen
* https://github.com/opnsense/rules
* https://urlhaus.abuse.ch
 
== App-Erkennung ==
; Blockieren von Webdiensten
* + entsprechenden URLs
; 80 Prozent des Datenverkehrs sind Webanwendungen!


; OPNsense-App-detect
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
!  Regelwerk !! Beschreibung
!  Regelwerk !! Beschreibung
|-
|-
| OPNsense-App-detect/file-transfer ||  
| file-transfer ||  
|-
|-
| OPNsense-App-detect/mail ||  
| mail ||  
|-
|-
| OPNsense-App-detect/media-streaming ||  
| media-streaming ||  
|-
|-
| OPNsense-App-detect/messaging ||  
| messaging ||  
|-
|-
| OPNsense-App-detect/social-networking ||  
| social-networking ||  
|-
|-
| OPNsense-App-detect/test ||  
| test ||  
|-
|-
| OPNsense-App-detect/uncategorized ||  
| uncategorized ||  
|}
|}


[[Kategorie:OPNsense/IDS/Verwaltung]]
; Weitere Informationen
* https://github.com/opnsense/rules
 
[[Kategorie:OPNsense/IDS]]

Aktuelle Version vom 28. Mai 2023, 12:38 Uhr

Beschreibung

Option Beschreibung
Emerging Threats Allgemein
Abuse.ch Betrügerische Netzwerke
App-Erkennung Web-Anwendungen

Emerging Threats

Vielzahl von IDS/IPS-Regelsätzen
Versionen
Version Beschreibung
ET Open frei, BSD-lizenziert
ET Pro Telemetrie kostenpflichtig

ET Open

OPNsense etnhält standarmäßig die ET Open-Regeln
Regelwerk Beschreibung
botcc https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
botcc.portgrouped
ciarmy
compromised
drop
dshield
emerging-activex
emerging-adware_pup
emerging-attack_response
emerging-chat
emerging-coinminer
emerging-current_events
emerging-deleted
emerging-dns
emerging-dos
emerging-exploit
emerging-exploit_kit
emerging-ftp
emerging-games
emerging-hunting
emerging-icmp
emerging-icmp_info
emerging-imap
emerging-inappropriate
emerging-info
emerging-ja3
emerging-malware
emerging-misc
emerging-mobile_malware
emerging-netbios
emerging-p2p
emerging-phishing
emerging-policy
emerging-pop3
emerging-rpc
emerging-scada
emerging-scan
emerging-shellcode
emerging-smtp
emerging-snmp
emerging-sql
emerging-telnet
emerging-tftp
emerging-user_agents
emerging-voip
emerging-web_client
emerging-web_server
emerging-web_specific_apps
emerging-worm
tor
Details und Richtlinien
Dokumentation der Regeln

ET Pro Telemetrie

Abuse.ch

Blacklists zum Schutz vor betrügerischen Netzwerken
Regelwerk Beschreibung
Feodo Tracker https://feodotracker.abuse.ch/blocklist/
SSL Fingerprint Blacklist
SSL IP Blacklist
ThreatFox
URLhaus

Feodo Tracker

Feodo ist ein Trojaner
  • auch bekannt als Cridex oder Bugat
  • Bankbetrug und Diebstahl von Informationen
    • z. B. Kreditkartendaten oder Anmeldeinformationen
Versionen
Version Beschreibung
Version A Wird auf kompromittierten Webservern gehostet
  • auf denen ein nginx-Proxy an Port 8080 TCP läuft
  • der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
  • Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
Version B Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
  • Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
  • Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
Version C Nachfolger von Feodo, völlig anderer Code
  • wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
  • Diese Version ist auch unter den Namen Geodo und Emotet bekannt
Version D Nachfolger von Cridex
  • Diese Version ist auch als Dridex bekannt

Siehe https://feodotracker.abuse.ch/

SSL Blacklist

Liste von "schlechten" SSL-Zertifikaten
  • Von abuse.ch als mit Malware oder Botnetz identifiziert
  • Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an

Siehe https://sslbl.abuse.ch

URLHaus

Sammelt kompromittierte Seiten, die Malware verbreiten
Weitere Informationen

App-Erkennung

Blockieren von Webdiensten
  • + entsprechenden URLs
80 Prozent des Datenverkehrs sind Webanwendungen!
OPNsense-App-detect
Regelwerk Beschreibung
file-transfer
mail
media-streaming
messaging
social-networking
test
uncategorized
Weitere Informationen