Suricata/Regeln

Aus Foxwiki
Subpages:

Regelwerk

Mit der Aktualität und Genauigkeit des von Suricata genutzten Regelwerks steht und fällt die Wirksamkeit des Gesamtsystems
  • Neben frei verfügbaren Regelwerken
  • , die z.B. auf emergingthreats.net[3] heruntergeladen werden können
  • , gibt es mehrere Anbieter kommerzieller Regeln, die meist aktueller sind oder besondere Bereiche abdecken
  • Suricata sucht die Regeln standardmäßig in /etc/suricata/rules
  • Dort sind mehrere Regeln thematisch zu rules-Dateien zusammengefasst, die so in die Suricata-Konfigurationsdatei eingebunden werden können
  • Auch, wenn es theoretisch möglich ist, neue Regeln manuell zu installieren, gibt es einfachere Wege
  • Denn die Suricata-Regeln sind snort kompatibel, sodass sich bestehende Werkzeuge zur Regelaktualisierung nutzen lassen

oinkmaster

Bei der automatisierten Regelaktualisierung sei zum Beispiel oinkmaster[4] genannt, mit dessen Hilfe das Regelwerk aktuell gehalten werden kann
# oinkmaster -i -u http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -o /etc/suricata/rules
oinkmaster lädt so ein Archiv des Regelwerks von der angegebenen URL herunter und speichert sie in rules-Dateien im Verzeichnis /etc/suricata/rules/.
  • Dabei werden eventuell vorhandene rules-Dateien überschrieben.
  • Damit dennoch lokale Änderungen vorgenommen werden können und nicht überschrieben werden, verfügt jede einzelne Regel über eine (hoffentlich eindeutige) ID.
  • Diese können über die enablesid, disablesid und modifysid in der Datei /etc/oinkmaster.conf bekannt gemacht werden.
  • Wurde beispielsweise eine ID über disablesid deaktiviert, so sorgt oinkmaster beim Update dafür, dass sie nicht wieder aktiviert wird.
Aktuell finden sich im frei verfügbaren Open Ruleset von Emerging Threats mehr als 80.000 Regeln, die sich auf unterschiedliche Bereiche aufteilen
  • Kommunikation mit Bot-Netzen und deren Infrastruktur
  • Verbindungen, die aus unterschiedlichsten Gründen unerwünscht sein können (IP reputation database)
  • Unerwünschte Web-Inhalte (ActiveX, Chat, Java-Applets)
  • Antworten auf (erfolgreich durchgeführte) Angriffe
  • Protokoll-spezifische Angriffsmuster (z.B. DNS, FTP, ICMP, POP3, RPC, SNMP, SQL, VoIP)
  • DOS-Attacken
  • Angriffe auf bekannte Sicherheitslücken und Standard-Kennwörter
  • Kommunikation von Spyware-Software und Trojanern
  • Kommunikation mit Tauschbörsen und Peer-to-Peer Netzwerken
  • Kommunikation mit bekannten Security-Scannern (Portscans, automatisierte SQL-Injection-Tests, metasploit-Scans)
  • Verschlüsselte Kommunikation (Tor-Netzwerkverkehr)
Abgerufen von „https://wiki.foxtom.de/index.php?title=Suricata/Regeln&oldid=57689