Suricata: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 47: | Zeile 47: | ||
* seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien | * seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien | ||
== Funktionen == | |||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
|- | |- | ||
| Zeile 65: | Zeile 65: | ||
| [[HTTP]]-Engine (libhtp) || | | [[HTTP]]-Engine (libhtp) || | ||
|- | |- | ||
| PCRE-Support || | | [[PCRE]]-Support || | ||
|- | |- | ||
| [[Lua]]-Skripte || | | [[Lua]]-Skripte || | ||
| Zeile 95: | Zeile 95: | ||
; Suricata beschreibt sich selbst als Next-Generation IDS, da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren. | ; Suricata beschreibt sich selbst als Next-Generation IDS, da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren. | ||
* Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert. | * Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert. | ||
=== Multithreading === | === Multithreading === | ||
| Zeile 103: | Zeile 100: | ||
* So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht. | * So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht. | ||
; | ; Multithread-fähige Vorgänge | ||
* Paketempfang | * Paketempfang | ||
* Paketdekodierung | |||
* Paketanalyse | |||
* Paketverarbeitung | |||
Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden. | |||
* In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU. | * In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU. | ||
| Zeile 112: | Zeile 113: | ||
; Multithreading-Standardeinstellungen bei 4 CPUs | ; Multithreading-Standardeinstellungen bei 4 CPUs | ||
; | ; Begriffe | ||
{| class="wikitable options" | |||
|- | |||
! Begriff !! Beschreibung | |||
|- | |||
| Empfang || Pakete werden vom Netzwerk gelesen | |||
|- | |||
| Decodierung || Pakete werden auf TCP-Ebene decodiert und der Original-Datenstrom wird restauriert | |||
|- | |||
| Analyse || Der Datenstrom wird mit den hinterlegten Signaturen verglichen | |||
|- | |||
| Output || auftretende Alarmierungen und Ereignisse werden verarbeitet | |||
|} | |||
== Installation == | == Installation == | ||
Version vom 18. März 2023, 09:22 Uhr
Suricata ist ein Network Intrusion Detection System (NIDS)
Beschreibung
- Suricata ist ein Intrusion Detection und Intrusion Prevention System
- Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
- Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter
- Kann vor bekannten Angriffen und Sicherheitslücken schützen
- Ein IDS/IPS kann nicht vor (unbekannten) Sicherheitslücken schützen
- Suricata kann nur ein Baustein in einem Sicherheitskonzept sein
- Network Intrusion Detection System (NIDS)
- Auch als Network Intrusion Prevention System (NIPS) einsetzbar
- (in Datenverkehr eingreift und Pakete blockieren)
- Lizenz
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. Open Source and owned by a community run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF and its supporting vendors.
- Anwendung
Freie Firewall-Distributionen
Kommerzielle Anbieter
- Übersicht
| Hersteller | Open Information Security Foundation |
| Betriebssystem | FreeBSD, Linux, Unix, macOS, Windows |
| Kategorie | Intrusion Detection System |
| Programmiersprache | C, Rust |
| Lizenz | GPL |
| Website | suricata.io |
- Entwicklung
- seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien
Funktionen
| Funktion | Beschreibung |
|---|---|
| Multithreading | |
| PCAP-Analyse | |
| IPv6-Support | |
| Automatische Protokollerkennung | |
| Protokoll-Parser | |
| HTTP-Engine (libhtp) | |
| PCRE-Support | |
| Lua-Skripte | |
| Intel-Hyperscan | |
| Eve JSON-Log-Ausgabe | |
| Redis | |
| Datei-Extrahierung | |
| High-Performance-Packetaufzeichnung | |
| AF_PACKET | |
| PF_RING | |
| NETMAP | |
| IP-Reputation |
- Systeme zur Erkennung und Abwehr von Angriffen auf eine IT-Infrastruktur können auf Netzwerkebene den ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen.
- So kann der Systemadministrator bei Unregelmäßigkeiten informiert werden oder über eine Rückschaltung zur Firewall die unerwünschte Kommunikation gänzlich unterbunden werden.
- Im Folgenden soll die grundlegende Funktionalität von Suricata, einem signaturbasierten Intrusion Detection System (IDS) beschrieben werden.
- Suricata beschreibt sich selbst als Next-Generation IDS, da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
- Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.
Multithreading
- Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
- So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
- Multithread-fähige Vorgänge
- Paketempfang
- Paketdekodierung
- Paketanalyse
- Paketverarbeitung
Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.
- In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.
"Multithreading-Standardeinstellungen bei 4 CPUs"
- Multithreading-Standardeinstellungen bei 4 CPUs
- Begriffe
| Begriff | Beschreibung |
|---|---|
| Empfang | Pakete werden vom Netzwerk gelesen |
| Decodierung | Pakete werden auf TCP-Ebene decodiert und der Original-Datenstrom wird restauriert |
| Analyse | Der Datenstrom wird mit den hinterlegten Signaturen verglichen |
| Output | auftretende Alarmierungen und Ereignisse werden verarbeitet |
Installation
# apt install suricata
Konfiguration
Betrieb
Siehe auch
Dokumentation
- https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
- https://suricata.readthedocs.io/en/latest/index.html
RFC
Man-Pages
Info-Pages
Links
Projekt
Weblinks
- OISF – Foundation hinter Suricata
- emergingthreats.net – Community für Suricata Signaturen
- http://suricata-ids.org/
- https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
- http://www.emergingthreats.net/
- http://oinkmaster.sourceforge.net/
- http://www.hosfeld.de/
- http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
- https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html
Einzelnachweise
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5