OPNsense/IDS/Verwaltung/Regelwerke

Aus Foxwiki
Version vom 19. März 2023, 11:45 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „Kategorie:OPNsense/IDS/Verwaltung“ durch „Kategorie:OPNsense/IDS“)

Beschreibung

Option Beschreibung
Emerging Threats Allgemein
Abuse.ch Betrügerische Netzwerke
App-Erkennung Web-Anwendungen

Emerging Threats

Vielzahl von IDS/IPS-Regelsätzen
Versionen
Version Beschreibung
ET Open frei, BSD-lizenziert
ET Pro Telemetrie kostenpflichtig

ET Open

OPNsense etnhält standarmäßig die ET Open-Regeln
Regelwerk Beschreibung
botcc https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
botcc.portgrouped
ciarmy
compromised
drop
dshield
emerging-activex
emerging-adware_pup
emerging-attack_response
emerging-chat
emerging-coinminer
emerging-current_events
emerging-deleted
emerging-dns
emerging-dos
emerging-exploit
emerging-exploit_kit
emerging-ftp
emerging-games
emerging-hunting
emerging-icmp
emerging-icmp_info
emerging-imap
emerging-inappropriate
emerging-info
emerging-ja3
emerging-malware
emerging-misc
emerging-mobile_malware
emerging-netbios
emerging-p2p
emerging-phishing
emerging-policy
emerging-pop3
emerging-rpc
emerging-scada
emerging-scan
emerging-shellcode
emerging-smtp
emerging-snmp
emerging-sql
emerging-telnet
emerging-tftp
emerging-user_agents
emerging-voip
emerging-web_client
emerging-web_server
emerging-web_specific_apps
emerging-worm
tor
Details und Richtlinien
Dokumentation der Regeln

ET Pro Telemetrie

Abuse.ch

Blacklists zum Schutz vor betrügerischen Netzwerken
Regelwerk Beschreibung
Feodo Tracker https://feodotracker.abuse.ch/blocklist/
SSL Fingerprint Blacklist
SSL IP Blacklist
ThreatFox
URLhaus

Feodo Tracker

Feodo ist ein Trojaner
  • auch bekannt als Cridex oder Bugat
  • Bankbetrug und Diebstahl von Informationen
    • z. B. Kreditkartendaten oder Anmeldeinformationen
Versionen
Version Beschreibung
Version A Wird auf kompromittierten Webservern gehostet
  • auf denen ein nginx-Proxy an Port 8080 TCP läuft
  • der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
  • Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
Version B Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
  • Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
  • Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
Version C Nachfolger von Feodo, völlig anderer Code
  • wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
  • Diese Version ist auch unter den Namen Geodo und Emotet bekannt
Version D Nachfolger von Cridex
  • Diese Version ist auch als Dridex bekannt

Siehe https://feodotracker.abuse.ch/

SSL Blacklist

Liste von "schlechten" SSL-Zertifikaten
  • Von abuse.ch als mit Malware oder Botnetz identifiziert
  • Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an

Siehe https://sslbl.abuse.ch

URLHaus

Sammelt kompromittierte Seiten, die Malware verbreiten
Weitere Informationen

App-Erkennung

Blockieren von Webdiensten
  • + entsprechenden URLs
80 Prozent des Datenverkehrs sind Webanwendungen!
OPNsense-App-detect
Regelwerk Beschreibung
file-transfer
mail
media-streaming
messaging
social-networking
test
uncategorized
Weitere Informationen
Abgerufen von „https://wiki.foxtom.de/index.php?title=OPNsense/IDS/Verwaltung/Regelwerke&oldid=58006