Suricata - Regelauswahl

Post Reply
Generic
Posts: 13
Joined: November 4th, 2014, 8:03 pm

Suricata - Regelauswahl

Post by Generic » May 17th, 2019, 8:50 am

Hallo zusammen,

die Aktivierung des neuen IPS hat soweit wunderbar funktioniert (danke!). Jetzt bin ich noch am Grübeln, was die Auswahl der aktiven Regeln angeht. Ich habe die Snort VRT Regeln ("Registered" mit Oinkcode) aktiviert.

Wenn ich mir die jeweiligen Regelkategorien im Detail ansehe (rechts auf "Show"), dann sieht man, dass jeweils nur ein Subset aktiviert zu sein scheint.

Meine Fragen:
1. Gibt es einen speziellen Grund für die Vorauswahl bzw. woher kommt diese Vorauswahl?
2. Oder sind durch das Anwählen der gesamten Kategorie doch alle Regeln aktiv?

Danke und viele Grüße
Generic

Stefan87
Posts: 73
Joined: July 20th, 2017, 11:55 pm

Re: Suricata - Regelauswahl

Post by Stefan87 » May 17th, 2019, 12:36 pm

Jede Kategorie hat eine andere Bedeutung

Browser IE ZB bezieht sich auf Internet Explorer Regeln die nur den IE Betreffen
Firefox bezieht sich logisch auf Firefox und so weiter

Die regeln die aktiviert sind Standard regeln die keine Probleme machen und den traffic nicht einschränken oder gar blockieren …..

Ich sitze seit gestern an den IPS regeln und setze jeden hacken einzeln wird vermutlich noch etwas dauern bis ich da durch bin .....

Wichtig ist schon das man nicht blind die hacken setzt, sondern man sich bewusst sein muss wenn ich an der falschen Stelle einen Haken setze wird traffic geblockt zu Diensten die mir vielleicht wichtig sind und die eben dann nicht mehr funktionieren ….

Gestern zb einfach mal bei einer Kategorie apps alle hacken gesetzt um dann heraus zu finden das der komplette TeamViewer traffic geblockt wird konnte mich auch nicht mehr anmelden auf den app bei apps TeamViewer hacken raus geht wieder ....

also die Regeln mit viel Bedacht anhaken spätestens, wenn ein dienst den man braucht nicht mehr funktioniert hat man wo zu viel den haken gesetzt….

Generic
Posts: 13
Joined: November 4th, 2014, 8:03 pm

Re: Suricata - Regelauswahl

Post by Generic » May 17th, 2019, 1:25 pm

Danke für die Rückmeldung, das bestätigt schon mal meine erste Vermutung. Ich habe das IPS jetzt auch erstmal im Monitoring mode, um größere Fehlalarme/Blocks zu minimieren.

Was mir aber immer noch nicht klar ist: Wenn ich die ganze Kategorie "Browser IE" anhake, heißt das nur, dass dann die separat auszuwählenden Regeln innherhalb dieser Kategorie aktiv werden oder sind damit ALLE Regeln dieser Kategorie auf einen Schlag aktiv (und zwar unabhängig, ob in der Detailansicht angeklickt oder nicht)?

Beste Grüße
Generic

Steven
Posts: 12
Joined: April 18th, 2018, 2:58 pm

Re: Suricata - Regelauswahl

Post by Steven » May 17th, 2019, 2:14 pm

Generic wrote:
May 17th, 2019, 1:25 pm
Was mir aber immer noch nicht klar ist: Wenn ich die ganze Kategorie "Browser IE" anhake, heißt das nur, dass dann die separat auszuwählenden Regeln innherhalb dieser Kategorie aktiv werden oder sind damit ALLE Regeln dieser Kategorie auf einen Schlag aktiv
Nur die ausgewählten innerhalb er Kategorie. Heißt, dass die Kategorie und die ausgewählten Regeln aktiviert werden.

silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

Re: Suricata - Regelauswahl

Post by silvio » May 17th, 2019, 2:14 pm

Du kannst die Regeln innerhalb der Kategorie getrennt aktivieren/deaktivieren.
Ich denke mal das würde das System auch nicht sinnvoll nutzbar machen wenn du immer alles oder nichts nutzen könntest.

SIlvio

Generic
Posts: 13
Joined: November 4th, 2014, 8:03 pm

Re: Suricata - Regelauswahl

Post by Generic » May 17th, 2019, 2:19 pm

Danke. Die Idee wäre gewesen, erstmal alles zu aktivieren (eben über die Kategorie) und dann nach Bedarf zu deaktivieren, was im Monitoring Modus Probleme macht.

Jetzt ist es klar, muss ich also einzeln abhaken ;-) (ein select/deselect all pro Kategorie wäre schon super)

Beste Grüße
Generic
Last edited by Generic on May 17th, 2019, 2:32 pm, edited 1 time in total.

Steven
Posts: 12
Joined: April 18th, 2018, 2:58 pm

Re: Suricata - Regelauswahl

Post by Steven » May 17th, 2019, 2:23 pm

Hat zwar nichts mit der Ausgangsfrage zu tun:

Aber weiß jemand, wo ich sehe, welche IPs aufgrund der "Regeltreffer" geblockt werden?

Ich hatte vorhin mal ein paar Test-Regeln aktiv, woraufhin kein entsprechender Traffic mehr möglich war. Nur konnte ich leider nirgends rausfinden, dass die IP nun geblockt wird. In der vorherigen Version ist diese doch dann im Guardian gelandet und war dort ersichtlich. Das fehlt mir hier schon sehr, um etwaige Blockaden nachzuvollziehen.

silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

Re: Suricata - Regelauswahl

Post by silvio » May 17th, 2019, 2:32 pm

Generic wrote:
May 17th, 2019, 2:19 pm
Danke. Die Idee wäre gewesen, erstmal alles zu aktivieren (eben über die Kategorie) und dann nach Bedarf zu deaktivieren, was im Monitoring Modus Probleme macht.

Jetzt ist es klar, muss ich also einzeln abhaken ;-)

Beste Grüße
Felix
Hi Felix,

ich habe mal angefangen nur die Kategorien mit ihrer Vorauswahl zu aktivieren und da kam bei mir schon einiges an Treffern zusammen.
Zusätzlich kannst du schön sehen wie die Speicherauslastung sich mit aktivierten Regeln ändert, das könnte also bei kleineren Systemen interessant werden wenn du sehr viele Regeln aktivierst.

Silvio

Generic
Posts: 13
Joined: November 4th, 2014, 8:03 pm

Re: Suricata - Regelauswahl

Post by Generic » May 17th, 2019, 2:42 pm

Was mich interessieren würde: Woher erkenne ich, ob eine Regel einen Block zur Folge haben wird? Nach dem bisher Geschriebenen scheint es ja beide Fälle zu geben: Regeln die blockieren und solche die nur Informationen liefern (auch wenn Monitoring Modus deaktiviert wurde).

Beim RAM erwarte ich bei meiner Maschine keine Probleme, hatte eigentlich mehr RAM/CPU Auslastung erwartet.

Beste Grüße
Generic

Post Reply