Suricata/Regeln: Unterschied zwischen den Versionen
| Zeile 1: | Zeile 1: | ||
== Regelwerk == | == Regelwerk == | ||
; Mit der Aktualität und Genauigkeit des von Suricata genutzten Regelwerks steht und fällt die Wirksamkeit des Gesamtsystems | ; Mit der Aktualität und Genauigkeit des von Suricata genutzten Regelwerks steht und fällt die Wirksamkeit des Gesamtsystems (??) | ||
* | ; Neben frei verfügbaren Regelwerken | ||
* | * emergingthreats.net | ||
; Kommerzieller Anbieter | |||
* aktueller | |||
* besondere Bereiche | |||
; Suricata sucht die Regeln standardmäßig in ''/etc/suricata/rules'' | |||
* Dort sind mehrere Regeln thematisch zu '''rules'''-Dateien zusammengefasst, die so in die Suricata-Konfigurationsdatei eingebunden werden können | * Dort sind mehrere Regeln thematisch zu '''rules'''-Dateien zusammengefasst, die so in die Suricata-Konfigurationsdatei eingebunden werden können | ||
* Auch, wenn es theoretisch möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege | * Auch, wenn es theoretisch möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege | ||
; Suricata-Regeln sind snort kompatibel | |||
* so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen | |||
== oinkmaster == | == oinkmaster == | ||
Version vom 17. März 2023, 17:33 Uhr
Regelwerk
- Mit der Aktualität und Genauigkeit des von Suricata genutzten Regelwerks steht und fällt die Wirksamkeit des Gesamtsystems (??)
- Neben frei verfügbaren Regelwerken
- emergingthreats.net
- Kommerzieller Anbieter
- aktueller
- besondere Bereiche
- Suricata sucht die Regeln standardmäßig in /etc/suricata/rules
- Dort sind mehrere Regeln thematisch zu rules-Dateien zusammengefasst, die so in die Suricata-Konfigurationsdatei eingebunden werden können
- Auch, wenn es theoretisch möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege
- Suricata-Regeln sind snort kompatibel
- so lassen sich bestehende Werkzeuge zur Regelaktualisierung nutzen
oinkmaster
- Bei der automatisierten Regelaktualisierung sei zum Beispiel oinkmaster[4] genannt, mit dessen Hilfe das Regelwerk aktuell gehalten werden kann
# oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules
- oinkmaster lädt so ein Archiv des Regelwerks von der angegebenen URL herunter und speichert sie in rules-Dateien im Verzeichnis /etc/suricata/rules/.
- Dabei werden eventuell vorhandene rules-Dateien überschrieben.
- Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID.
- Diese können über die enablesid, disablesid und modifysid in der Datei /etc/oinkmaster.conf bekannt gemacht werden.
- Wurde beispielsweise eine ID über disablesid deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird.
- Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen
- Kommunikation mit Bot-Netzen und deren Infrastruktur
- Verbindungen, die aus unterschiedlichsten Gründen unerwünscht sein können (IP reputation database)
- Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
- Antworten auf (erfolgreich durchgeführte) Angriffe
- Protokoll-spezifische Angriffsmuster (z.B. DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
- DOS-Attacken
- Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
- Kommunikation von Spyware-Software und Trojanern
- Kommunikation mit Tauschbörsen und Peer-to-Peer Netzwerken
- Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
- Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)