Suricata/Regeln: Unterschied zwischen den Versionen
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''topic''' - Kurzbeschreibung | |||
== Beschreibung == | |||
== Regelwerk == | == Regelwerk == | ||
; Signaturen spielen in [[Suricata]] eine wichtige Rolle | ; Signaturen spielen in [[Suricata]] eine wichtige Rolle | ||
Zeile 7: | Zeile 9: | ||
; Installation von Regelsätzen | ; Installation von Regelsätzen | ||
* https://suricata.readthedocs.io/en/suricata-6.0.0/rule-management/suricata-update.html | * https://suricata.readthedocs.io/en/suricata-6.0.0/rule-management/suricata-update.html | ||
; | |||
; Frei verfügbaren Regelwerken | |||
* emergingthreats.net | * emergingthreats.net | ||
Zeile 17: | Zeile 20: | ||
* Suricata sucht die Regeln standardmäßig in ''/etc/suricata/rules'' | * Suricata sucht die Regeln standardmäßig in ''/etc/suricata/rules'' | ||
Regeln thematisch zu Suricata zusammengefasst | ; Regeln thematisch zu Suricata zusammengefasst | ||
* snort kompatibel | * snort kompatibel | ||
Zeile 25: | Zeile 28: | ||
* so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen | * so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen | ||
== | == Regelaktualisierung == | ||
; | ; Automatisieren | ||
=== oinkmaster === | |||
# oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules | # oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules | ||
; oinkmaster lädt | ; oinkmaster | ||
* lädt ein Archiv des Regelwerks von der angegebenen URL herunter | |||
* Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID | * speichert sie in '''rules'''-Dateien im Verzeichnis '''/etc/suricata/rules/''' | ||
* Diese können über die <tt>enablesid</tt>, <tt>disablesid</tt> und <tt>modifysid</tt> in der Datei '''/etc/oinkmaster.conf''' bekannt gemacht werden | |||
* Wurde | ; Dabei werden eventuell vorhandene '''rules'''-Dateien überschrieben | ||
* Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID | |||
* Diese können über die <tt>enablesid</tt>, <tt>disablesid</tt> und <tt>modifysid</tt> in der Datei '''/etc/oinkmaster.conf''' bekannt gemacht werden | |||
* Wurde etwa eine ID über <tt>disablesid</tt> deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird | |||
; Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen | ; Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen | ||
Zeile 40: | Zeile 48: | ||
* Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets) | * Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets) | ||
* Antworten auf (erfolgreich durchgeführte) Angriffe | * Antworten auf (erfolgreich durchgeführte) Angriffe | ||
* Protokoll-spezifische Angriffsmuster (z.B. DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP) | * Protokoll-spezifische Angriffsmuster (z. B. DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP) | ||
* DOS-Attacken | * DOS-Attacken | ||
* Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter | * Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter | ||
Zeile 47: | Zeile 55: | ||
* Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans) | * Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans) | ||
* Verschlüsselte Kommunikation (Tor-Netzwerkverkehr) | * Verschlüsselte Kommunikation (Tor-Netzwerkverkehr) | ||
[[Kategorie: | <noinclude> | ||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Sicherheit ==== | |||
==== Dokumentation ==== | |||
==== Links ==== | |||
===== Projekt ===== | |||
===== Weblinks ===== | |||
[[Kategorie:Suricata]] | |||
</noinclude> |
Aktuelle Version vom 30. Mai 2023, 22:28 Uhr
topic - Kurzbeschreibung
Beschreibung
Regelwerk
- Signaturen spielen in Suricata eine wichtige Rolle
- Aktualität
- Genauigkeit
Bestehende Regelsätze
- Installation von Regelsätzen
- Frei verfügbaren Regelwerken
- emergingthreats.net
- Kommerzieller Anbieter
- aktueller
- besondere Bereiche
- /etc/suricata/rules
- Suricata sucht die Regeln standardmäßig in /etc/suricata/rules
- Regeln thematisch zu Suricata zusammengefasst
- snort kompatibel
- Auch, wenn es möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege
- Suricata-Regeln sind snort kompatibel
- so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen
Regelaktualisierung
- Automatisieren
oinkmaster
# oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules
- oinkmaster
- lädt ein Archiv des Regelwerks von der angegebenen URL herunter
- speichert sie in rules-Dateien im Verzeichnis /etc/suricata/rules/
- Dabei werden eventuell vorhandene rules-Dateien überschrieben
- Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID
- Diese können über die enablesid, disablesid und modifysid in der Datei /etc/oinkmaster.conf bekannt gemacht werden
- Wurde etwa eine ID über disablesid deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird
- Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen
- Kommunikation mit Bot-Netzen und deren Infrastruktur
- Verbindungen, die aus unterschiedlichsten Gründen unerwünscht sein können (IP reputation database)
- Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
- Antworten auf (erfolgreich durchgeführte) Angriffe
- Protokoll-spezifische Angriffsmuster (z. B. DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
- DOS-Attacken
- Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
- Kommunikation von Spyware-Software und Trojanern
- Kommunikation mit Tauschbörsen und Peer-to-Peer Netzwerken
- Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
- Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)