Suricata: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 4: Zeile 4:
[[Datei:Suricata IDS.png|mini|400px | Suricata mit Echtzeit-Analyse und grafischer Oberfläche]]
[[Datei:Suricata IDS.png|mini|400px | Suricata mit Echtzeit-Analyse und grafischer Oberfläche]]


* Suricata ist ein hochleistungsfähiges Netzwerk-IDS, IPS und Netzwerksicherheitsüberwachungsmodul.
* Suricata ist ein hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
* Open Source und im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung, der Open Information Security Foundation (OISF).  
* Open Source und im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung, der Open Information Security Foundation (OISF).  
* Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt.
* Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt.
; Kann vor bekannten Angriffen und Sicherheitslücken schützen
* Ein IDS/IPS kann nicht vor unbekannten Sicherheitslücken schützen
* Suricata kann nur ''ein'' Baustein in einem Sicherheitskonzept sein


; [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
; [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS)
Zeile 20: Zeile 14:


; Lizenz
; Lizenz
* Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine.
 
* Open Source and owned by a community run non-profit foundation, the Open Information Security Foundation (OISF).
* Suricata is developed by the OISF and its supporting vendors.


; Suricata ist ein Intrusion Detection und Intrusion Prevention System
; Suricata ist ein Intrusion Detection und Intrusion Prevention System

Version vom 18. März 2023, 23:13 Uhr

Suricata ist ein Network Intrusion Detection System (NIDS)

Beschreibung

Suricata mit Echtzeit-Analyse und grafischer Oberfläche
  • Suricata ist ein hochleistungsfähiges Netzwerk-IDS, IPS und Network Security Monitoring engine
  • Open Source und im Besitz einer gemeinschaftlich geführten gemeinnützigen Stiftung, der Open Information Security Foundation (OISF).
  • Suricata wird von der OISF und den sie unterstützenden Anbietern entwickelt.
Network Intrusion Detection System (NIDS)
(in Datenverkehr eingreift und Pakete blockieren)
Lizenz


Suricata ist ein Intrusion Detection und Intrusion Prevention System
  • Kann auf vielfältige Weise an verschiedene Einsatzzwecke angepasst werden
  • Über den NFQUEUE-Mechanismus gibt es eine leistungsfähige und flexible Anbindung an die Linux-Firewall Netfilter
Anwendung

Freie Firewall-Distributionen

Kommerzielle Anbieter

Übersicht
Hersteller Open Information Security Foundation
Betriebssystem FreeBSD, Linux, Unix, macOS, Windows
Kategorie Intrusion Detection System
Programmiersprache C, Rust
Lizenz GPL
Website suricata.io
Entwicklung
  • seit 2008 durch Matt Jonkman, Will Metcalf und Victor Julien

Funktionen

Funktion Beschreibung
Multithreading
PCAP-Analyse
IPv6-Support
Automatische Protokollerkennung
Protokoll-Parser
HTTP-Engine (libhtp)
PCRE-Support
Lua-Skripte
Intel-Hyperscan
Eve JSON-Log-Ausgabe
Redis
Datei-Extrahierung
High-Performance-Packetaufzeichnung
AF_PACKET
PF_RING
NETMAP
IP-Reputation


Systeme zur Erkennung und Abwehr von Angriffen auf eine IT-Infrastruktur können auf Netzwerkebene den ein- und ausgehenden Datenverkehr auf verdächtige Muster überprüfen.
  • So kann der Systemadministrator bei Unregelmäßigkeiten informiert werden oder über eine Rückschaltung zur Firewall die unerwünschte Kommunikation gänzlich unterbunden werden.
  • Im Folgenden soll die grundlegende Funktionalität von Suricata, einem signaturbasierten Intrusion Detection System (IDS) beschrieben werden.
Suricata beschreibt sich selbst als Next-Generation IDS, da es neben der Erkennung und Abwehr von netzwerkbasierten Angriffsmustern zusätzlich über Möglichkeiten verfügt, Protokolle wie HTTP oder DNS auf Anwendungsebene zu überwachen und zu protokollieren.
  • Durch Funktionen wie Multithreading, Scripting und High Performance Detection hat sich Suricata mittlerweile fest als Alternative zu snort, dem bisherigen IDS-Platzhirsch, etabliert.

Multithreading

Ein wesentliches Merkmal, das Suricata auszeichnet und von anderen bekannten IDS/IPS unterscheidet, ist die Möglichkeit des Multithreadings und der dadurch gewonnene Performancegewinn.
  • So können bei einer aktuellen Multicore-CPU die Analyseaufgaben auf mehrere gleichzeitig laufende Prozesse aufgeteilt werden, was eine parallele Paketverarbeitung ermöglicht.
Multithread-fähige Vorgänge
  • Paketempfang
  • Paketdekodierung
  • Paketanalyse
  • Paketverarbeitung

Jeder dieser Vorgänge kann nicht nur individuell auf eine oder mehrere CPUs aufgeteilt, sondern auch zusätzlich noch priorisiert werden.

  • In den Standardeinstellungen nutzt Suricata für den rechenintensivsten Prozess, die Paketanalyse, einen Thread pro CPU.

"Multithreading-Standardeinstellungen bei 4 CPUs"

Multithreading-Standardeinstellungen bei 4 CPUs
Begriffe
Begriff Beschreibung
Empfang Pakete vom Netzwerk lesen
Decodierung Pakete auf TCP-Ebene decodieren und Original-Datenstrom restaurieren
Analyse Datenstrom mit aktivierten Signaturen vergleichen
Output Alarmierungen und Ereignisse verarbeiten

Installation

# apt install suricata

Konfiguration

Suricata/Konfiguration

Betrieb

Suricata/Betrieb

Siehe auch

  1. Stateful Packet Inspection
  2. Snort

Dokumentation

  1. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
  2. https://suricata.readthedocs.io/en/latest/index.html

RFC

Man-Pages

Info-Pages

Links

Projekt

  1. Offizielle Website

Weblinks

  1. OISF – Foundation hinter Suricata
  2. emergingthreats.net – Community für Suricata Signaturen
  3. http://suricata-ids.org/
  4. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT
  5. http://www.emergingthreats.net/
  6. http://oinkmaster.sourceforge.net/
  7. http://www.hosfeld.de/
  8. http://www.freiesmagazin.de/20150201-februarausgabe-erschienen
  9. https://www.pro-linux.de/artikel/2/1751/6,ausgabe-und-alarmierung.html

Einzelnachweise


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5