Suricata
Suricata ist eine hochperformante IDS/IPS-Engine. Sie analysiert Netzwerk-Traffic auf Angriffsmuster.
Features
- Multi-Threading: Nutzt mehrere CPU-Kerne
- Multi-gigabit Performance: Sehr schnell
- IPv4 + IPv6: Unterstützt beide
- Deep Packet Inspection: Analysiert Paket-Inhalt
- TLS/SSL Inspection: Verschlüsselten Traffic prüfen
- Protokoll-Parsing: HTTP, DNS, SMB, etc.
- File Extraction: Dateien aus Traffic extrahieren
IDS vs. IPS
IDS Mode IPS Mode
│ │
▼ ▼
┌───────────┐ ┌───────────┐
│ Copy │ │ Inline │
│ Traffic │ │ Traffic │
└───────────┘ └───────────┘
│ │
▼ ▼
Nur Alert Blockiert
IDS Mode (Passiv):
- Kopiert Traffic
- Analysiert
- Sendet Alerts
- Traffic fließt weiter
IPS Mode (Aktiv):
- Traffic läuft durch Suricata
- Analysiert
- Blockiert bösartigen Traffic
- Benötigt spezielle NIC
Rule Sets
Hauptquellen:
- Emerging Threats (ET): ~35.000 Regeln (kostenlos)
- abuse.ch: ~1.000+ Regeln (URLhaus, Feodo, SSL Blacklist)
In OpenSense
Installation:
Services → Intrusion Detection → Administration
- Enable IDS: ✓
- Pattern Matcher: ac-ks (empfohlen)
- Interfaces: WAN
Rule Download:
Services → Intrusion Detection → Download
- ET Open ✓
- abuse.ch SSL ✓
- abuse.ch URLhaus ✓
- Download and Update Rules
Alerts anzeigen
Services → Intrusion Detection → Alerts
Zeigt:
- Timestamp: Wann wurde Angriff erkannt?
- SID: Regel-ID
- Message: Was für ein Angriff?