Suricata: Unterschied zwischen den Versionen

Suricata - Network Intrusion Detection System

Beschreibung

Hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine

Network Intrusion Detection System (NIDS)

In Datenverkehr eingreift und Pakete blockieren

Suricata ist ein Intrusion Detection und Intrusion Prevention System

Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden

• Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter

Lizenz

GPL

• Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt
• Open Source
• Im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung
• Open Information Security Foundation (OISF)

Anwendung

Freie Firewall-Distributionen

• IPFire
• pfSense
• OPNsense
• SecurityOnion

Kommerzielle Anbieter

• FireEye

Übersicht

Entwicklung

• seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien

Sicherheit

Ein IDS/IPS kann nur vor bekannten Angriffen und Sicherheitslücken schützen!

• nicht vor unbekannten

Daher kann ein IDS/IPS nur ein Baustein in einem Sicherheitskonzept sein

Funktionen

System zur Erkennung und Abwehr von Angriffen auf IT-Infrastrukturen

Auf Netzwerkebene

• Ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen

Aktionen

• Information über Unregelmäßigkeiten
• Unerwünschte Kommunikation unterbinden
  • über eine Rückschaltung zur Firewall

Suricata beschreibt sich selbst als Next-Generation IDS

• da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
• Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.

Multithreading

• Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
• So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.

Multithread-fähige Vorgänge

• Paketempfang
• Paketdekodierung
• Paketanalyse
• Paketverarbeitung

Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.

• In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.

"Multithreading-Standardeinstellungen bei 4 CPUs"

Multithreading-Standardeinstellungen bei 4 CPUs

Begriffe

Anhang

Siehe auch

1. Stateful Packet Inspection
2. Snort

Dokumentation

1. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
2. https://suricata.readthedocs.io/en/latest/index.html

Links

Projekt

1. Offizielle Website
2. Open Information Security Foundation

Weblinks

1. OISF – Foundation hinter Suricata
2. emergingthreats.net – Community für Suricata Signaturen
3. http://suricata-ids.org/
4. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
5. http://www.emergingthreats.net/
6. http://oinkmaster.sourceforge.net/
7. http://www.hosfeld.de/
8. http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
9. https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html