Suricata/Regeln: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
 
(12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
== Beschreibung ==
== Regelwerk ==
== Regelwerk ==
; Mit der Aktualität und Genauigkeit des von Suricata genutzten Regelwerks steht und fällt die Wirksamkeit des Gesamtsystems (??)
; Signaturen spielen in [[Suricata]] eine wichtige Rolle
* Aktualität
* Genauigkeit


; Neben frei verfügbaren Regelwerken
=== Bestehende Regelsätze ===
; Installation von Regelsätzen
* https://suricata.readthedocs.io/en/suricata-6.0.0/rule-management/suricata-update.html
 
; Frei verfügbaren Regelwerken
* emergingthreats.net
* emergingthreats.net


Zeile 9: Zeile 17:
* besondere Bereiche
* besondere Bereiche


; Suricata sucht die Regeln standardmäßig in ''/etc/suricata/rules''
; /etc/suricata/rules
* Dort sind mehrere Regeln thematisch zu '''rules'''-Dateien zusammengefasst, die so in die Suricata-Konfigurationsdatei eingebunden werden können
* Suricata sucht die Regeln standardmäßig in ''/etc/suricata/rules''
* Auch, wenn es theoretisch möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege
 
; Regeln thematisch zu Suricata zusammengefasst
* snort kompatibel
 
; Auch, wenn es möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege


; Suricata-Regeln sind snort kompatibel
; Suricata-Regeln sind snort kompatibel
* so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen
* so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen


== oinkmaster ==
== Regelaktualisierung ==
; Bei der automatisierten Regelaktualisierung sei zum Beispiel '''oinkmaster[4]''' genannt, mit dessen Hilfe das Regelwerk aktuell gehalten werden kann:
; Automatisieren
 
=== oinkmaster ===
  # oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules
  # oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules


; oinkmaster lädt so ein Archiv des Regelwerks von der angegebenen URL herunter und speichert sie in '''rules'''-Dateien im Verzeichnis '''/etc/suricata/rules/'''.
; oinkmaster
* Dabei werden eventuell vorhandene '''rules'''-Dateien überschrieben.
* lädt ein Archiv des Regelwerks von der angegebenen URL herunter
* Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID.
* speichert sie in '''rules'''-Dateien im Verzeichnis '''/etc/suricata/rules/'''
* Diese können über die <tt>enablesid</tt>, <tt>disablesid</tt> und <tt>modifysid</tt> in der Datei '''/etc/oinkmaster.conf''' bekannt gemacht werden.
 
* Wurde beispielsweise eine ID über <tt>disablesid</tt> deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird.
; Dabei werden eventuell vorhandene '''rules'''-Dateien überschrieben
* Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID
* Diese können über die <tt>enablesid</tt>, <tt>disablesid</tt> und <tt>modifysid</tt> in der Datei '''/etc/oinkmaster.conf''' bekannt gemacht werden
* Wurde etwa eine ID über <tt>disablesid</tt> deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird


; Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen
; Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen
Zeile 31: Zeile 48:
* Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
* Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
* Antworten auf (erfolgreich durchgeführte) Angriffe
* Antworten auf (erfolgreich durchgeführte) Angriffe
* Protokoll-spezifische Angriffsmuster (z.B. DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
* Protokoll-spezifische Angriffsmuster (z.&nbsp;B.&nbsp; DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
* DOS-Attacken
* DOS-Attacken
* Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
* Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
Zeile 38: Zeile 55:
* Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
* Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
* Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)
* Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)
[[Kategorie:Intrusion Detection]]
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Sicherheit ====
==== Dokumentation ====
==== Links ====
===== Projekt =====
===== Weblinks =====
 
[[Kategorie:Suricata]]
</noinclude>

Aktuelle Version vom 30. Mai 2023, 22:28 Uhr

topic - Kurzbeschreibung

Beschreibung

Regelwerk

Signaturen spielen in Suricata eine wichtige Rolle
  • Aktualität
  • Genauigkeit

Bestehende Regelsätze

Installation von Regelsätzen
Frei verfügbaren Regelwerken
  • emergingthreats.net
Kommerzieller Anbieter
  • aktueller
  • besondere Bereiche
/etc/suricata/rules
  • Suricata sucht die Regeln standardmäßig in /etc/suricata/rules
Regeln thematisch zu Suricata zusammengefasst
  • snort kompatibel
Auch, wenn es möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege
Suricata-Regeln sind snort kompatibel
  • so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen

Regelaktualisierung

Automatisieren

oinkmaster

# oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules
oinkmaster
  • lädt ein Archiv des Regelwerks von der angegebenen URL herunter
  • speichert sie in rules-Dateien im Verzeichnis /etc/suricata/rules/
Dabei werden eventuell vorhandene rules-Dateien überschrieben
  • Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID
  • Diese können über die enablesid, disablesid und modifysid in der Datei /etc/oinkmaster.conf bekannt gemacht werden
  • Wurde etwa eine ID über disablesid deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird
Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen
  • Kommunikation mit Bot-Netzen und deren Infrastruktur
  • Verbindungen, die aus unterschiedlichsten Gründen unerwünscht sein können (IP reputation database)
  • Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
  • Antworten auf (erfolgreich durchgeführte) Angriffe
  • Protokoll-spezifische Angriffsmuster (z. B.  DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
  • DOS-Attacken
  • Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
  • Kommunikation von Spyware-Software und Trojanern
  • Kommunikation mit Tauschbörsen und Peer-to-Peer Netzwerken
  • Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
  • Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)

Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt
Weblinks