Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties
Bron: Suricata, submitter: Victor78

Suricata logo (75 pix)Versie 2.0 van Suricata is uitgekomen. Suricata is een opensource network intrusion detection system (IDS), intrusion prevention system (IPS) en network security monitoring engine. Het kan worden gebruikt om netwerkverkeer te monitoren en een systeembeheerder een waarschuwing te geven als er iets verdachts wordt gesignaleerd. De ontwikkeling wordt overzien door de Open Information Security Foundation, met hulp van de community en diverse fabrikanten. De belangrijkste verandering in versie 2.0 is Eve, een volledig op json gebaseerd logsysteem. Eve kan onder meer met Logstash worden gebruikt om zo informatie grafisch weer te geven. De complete changelog voor versie 2.0 is hieronder te vinden.

Notable new features, improvements and changes
  • Eve log, all JSON event output for alerts, HTTP, DNS, SSH, TLS and files. Written by Tom Decanio of nPulse Technologies
  • NSM runmode, where detection engine is disabled. Development supported by nPulse Technologies
  • Various scalability improvements, clean ups and fixes by Ken Steel of Tilera
  • Add –set commandline option to override any YAML option, by Jason Ish of Emulex
  • Several fixes and improvements of AF_PACKET and PF_RING
  • ICMPv6 handling improvements by Jason Ish of Emulex
  • Alerting over PCIe bus (Tilera only), by Ken Steel of Tilera
  • Feature #792: DNS parser, logger and keyword support, funded by Emerging Threats
  • Feature #234: add option disable/enable individual app layer protocol inspection modules
  • Feature #417: ip fragmentation time out feature in yaml
  • Feature #1009: Yaml file inclusion support
  • Feature #478: XFF (X-Forwarded-For) support in Unified2
  • Feature #602: availability for http.log output – identical to apache log format
  • Feature #813: VLAN flow support
  • Feature #901: VLAN defrag support
  • Features #814, #953, #1102: QinQ VLAN handling
  • Feature #751: Add invalid packet counter
  • Feature #944: detect nic offloading
  • Feature #956: Implement IPv6 reject
  • Feature #775: libhtp 0.5.x support
  • Feature #470: Deflate support for HTTP response bodies
  • Feature #593: Lua flow vars and flow ints support
  • Feature #983: Provide rule support for specifying icmpv4 and icmpv6
  • Feature #1008: Optionally have http_uri buffer start with uri path for use in proxied environments
  • Feature #1032: profiling: per keyword stats
  • Feature #878: add storage api

Logstash Kibana gevoed met informatie van Suricata met json-output Logstash Kibana gevoed met informatie van Suricata met json-output.

Moderatie-faq Wijzig weergave

Reacties (9)

Het kan worden gebruikt om netwerkverkeer te monitoren en een systeembeheerder een waarschuwing te geven als er iets verdachts wordt gesignaleerd.

Ik kom niet eens de buurt van bovenstaande kwalificatie, maar zou wel graag willen weten wanneer iets/iemand in mijn netwerk probeert te komen. Ik heb absoluut niet de illusie dat een virusscanner en malwarebytes toereikend zijn. Is hiervoor een goed functionerend alternatief? En dan op windows of liever nog Synology aangezien die 24/7 aanstaat.
Misschien dat ik je verkeerd begrijp; Dus om maar even enige twijfel weg te krijgen het volgende: Een virusscanner of malwarebytes heeft niks met netwerkbeveiliging te maken. Hier is een Firewall voor bedoeld.

Standaard zit je in een thuisnetwerk al achter de firewall (hardwarematige) van je Modem/Router die in veel gevallen al een groot aantal verdachtte acties kan tegenhouden. Daarnaast kun je op je computer nog een software firewall installeren (mits je niet de standaard Windows Firewall gebruikt).

Wil je bovenstaand programma gebruiken dan zul je een server moeten installeren waar al je internetverkeer doorheen loopt. Om dit programma op een aparte computer of op je eigen desktop te installeren heeft dus geen nut, tenzij er echt specifiek (na binnendringen van je netwerk, die kans is bij een gemiddeld persoon erg klein) op die computer word gemikt.

Ik hoop dat ik hiermee een beetje duidelijkheid heb kunnen scheppen, en dat mijn ervaring en kennis klopt. "So correct me if i'm wrong"
Misschien dat ik je verkeerd begrijp; Dus om maar even enige twijfel weg te krijgen het volgende: Een virusscanner of malwarebytes heeft niks met netwerkbeveiliging te maken. Hier is een Firewall voor bedoeld.
Dan snap je het concept van deze tooling niet helemaal. Malware gebruikt het netwerk om machines te besmetten en om contact te zoeken met bijv. een botnet. Dat is allemaal verdacht netwerkverkeer. Tools als malwarebytes, enz. worden gebruikt op de machines zelf om dit soort zaken te voorkomen en te detecteren maar zijn sterk afhankelijk van het up to date zijn. Er zijn veel gevallen bekend waarbij deze niet up to date zijn en dus niks uitrichten. Gevolg: een stukje malware kan zich vrijelijk over het netwerk verspreiden. Om dat te voorkomen gebruik je tools als Suricata. Zij detecteren dit soort zaken en kunnen daar op acteren. Op die manier kun je dit soort machines van het netwerk weren en is je netwerk veilig. Natuurlijk kun je dit icm een firewall doen (automatisch firewall rules aanmaken bijv.).

Je ziet vaak dat firewalling en dit soort tools gecombineerd worden en er nog wat andere tooling aan toegevoegd worden. Dat noemen ze dan veelal UTM: Unified Threat Management. Het is een alles-in-1 kastje.
Standaard zit je in een thuisnetwerk al achter de firewall (hardwarematige) van je Modem/Router die in veel gevallen al een groot aantal verdachtte acties kan tegenhouden. Daarnaast kun je op je computer nog een software firewall installeren (mits je niet de standaard Windows Firewall gebruikt).
Hier klopt niets van. Niet alle modem/routers hebben een firewall, een aantal gebruikt niks meer dan NAT wat van een hele andere orde is. Gelukkig hebben veruit de meesten wel iets van een firewall aan boord. Iets als een hardwarematige firewall bestaat eigenlijk niet. Wat men daar mee bedoeld is een dedicated firewall en dat is een modem/router niet (hij doet meer dan firewalling, als hij al firewalling doet). De thuisoplossingen op dit vlak zijn vrij simpel van aard, net als de Windows firewall en de grotere professionele firewalls. Blokkeren en toestaan gebeurd alleen op hetgeen wat jij hebt gedefinieerd; ze kunnen niet op basis van verdacht gedrag iets blokkeren. Die functionaliteit is er wel: in de duurdere modellen waar je een aparte subscription voor deze mogelijkheid moet afsluiten.

Suricata is op dat laatste een antwoord. Je kunt het op een losse machine installeren of er je eigen UTM mee bouwen (moet je het wel combineren met dingen als een firewall, antispam, etc. op hetzelfde apparaat).
Wil je bovenstaand programma gebruiken dan zul je een server moeten installeren waar al je internetverkeer doorheen loopt. Om dit programma op een aparte computer of op je eigen desktop te installeren heeft dus geen nut, tenzij er echt specifiek (na binnendringen van je netwerk, die kans is bij een gemiddeld persoon erg klein) op die computer word gemikt.
Dat leg je net iets verkeerd uit. Wil je deze tool kunnen gebruiken dan zul je een machine moeten inrichten die al je netwerkverkeer kan scannen. Dat kan een aparte machine zijn maar ook je eigen desktop...zolang het complete netwerkverkeer maar gescand kan worden.

Voor thuis is dit niet zo'n interessante tool omdat het netwerk daar heel erg klein is (het is leuk voor de hobby). Dit soort tools zijn ook meer geschikt en gericht op de grotere netwerken zoals je die bij bedrijven, onderwijsinstellingen, enz. zult vinden. Voor thuis is een simpele firewall op de router en de computers zelf aangevuld met een antiviruspakket en gezond verstand al voldoende.
Ik pak jou post even om niet overal apart op te moeten reageren, maar ben wel blij met je uitleg. Echter:

Dit soort tools zijn ook meer geschikt en gericht op de grotere netwerken zoals je die bij bedrijven, onderwijsinstellingen, enz. zult vinden. Voor thuis is een simpele firewall op de router en de computers zelf aangevuld met een antiviruspakket en gezond verstand al voldoende.

De gemiddelde kleine onderneming komt ook niet verder dan die doorsnee maatregelen(ondergetekend incluis), maar voel me er vanaf de setup niet helemaal happy mee en zoek dus de functionaliteit van deze tool die voor mij begrijpelijk is.

@Whatts: ebook van pfsense zojuist opgezocht, thanks!
Wat ik eigenlijk bedoelde was dat dit soort tools pas echt goed uit de verf komen bij grotere netwerken. Dan moet je eerder denken aan het midden bedrijf en groter waar je dus niet 10 maar 100 of meer computers hebt. Die 10 computers kun je nog wel een keer af met losse virusscans e.d. maar bij 100 computers en meer levert dat veel meer beheerkosten op dan de kosten van zo'n UTM. Zo'n UTM is dan een goedkopere oplossing dan bij een uitbraak de boel te moeten repareren (groot verlies van productiviteit voor langere duur, mogelijk inhuren van extra mankracht, enz.).

Dit zijn dus ook geen tools die je zo eventjes installeert en in gebruik neemt. Daar gaat wel wat meer aan plan- en configuratiewerk aan vooraf. Voor thuis zijn dit soort tools hobbyprojectjes waar je veel van kunt leren maar waar je ook wel het een en ander aan kennis voor nodig hebt. Ik denk dat je dan inderdaad eerst eens met iets als pfSense moet beginnen en dat dan later opschalen.
Misschien dat ik je verkeerd begrijp; Dus om maar even enige twijfel weg te krijgen het volgende: Een virusscanner of malwarebytes heeft niks met netwerkbeveiliging te maken. Hier is een Firewall voor bedoeld.
Je begrijpt me 100% goed en ik weet ook dat dit door een firewall afgeschermd moet worden. Maar wie weet nu precies hoe die het best geconfigged kan worden? Ik in ieder geval niet, dus laat deze op de default setting staan. Helaas is in de afgelopen periode wel meermaals de slechte setup en uitblijven van updates op de firmware van diverse modems/routers negatief in het nieuws geweest.

Standaard zit je in een thuisnetwerk al achter de firewall (hardwarematige) van je Modem/Router die in veel gevallen al een groot aantal verdachtte acties kan tegenhouden. Daarnaast kun je op je computer nog een software firewall installeren (mits je niet de standaard Windows Firewall gebruikt).
Standaard setup van windows en router (en een enkele poort open ivm VPN), maar daar heeft m'n Synology niet veel aan. Daarvan heb ik bovendien de FW uit moeten zetten agv verbindingsissues (op aanraden Synology-forum). Schijnt overigens een regelmatig voorkomend probleem te zijn.
Wat ook een issue is, is dat de ' meegeleverde' virusscanner op de Synology niet realtime lijkt te werken, maar uitsluitend volgens een manueel ingesteld schema. Wanneer ik al m'n data laat scannen is de scanner makkelijk 48 uur bezig met een behoorlijk CPU load voor slechts 500GB aan data. Wederom aangedragen oplossing op datzelfde forum; uitzetten en vertrouwen op de realtime scanner op je windows-bak :( Wat ik nu met enige regelmaat doe, is de data naar m'n laptop kopieren en aldaar scannen omdat mijn virusscanner geen netwerkschijf/schijven wil scannen.

Wil je bovenstaand programma gebruiken dan zul je een server moeten installeren waar al je internetverkeer doorheen loopt. Om dit programma op een aparte computer of op je eigen desktop te installeren heeft dus geen nut, tenzij er echt specifiek (na binnendringen van je netwerk, die kans is bij een gemiddeld persoon erg klein) op die computer word gemikt.
De meeste bots worden gevonden bij onwetende gemiddelde internet gebruikers. Zeker gezien de behoorlijk dikke glasvezellijn die ik heb liggen kan ik me voorstellen dat die voor vervelende zaken gebruikt kan worden.

NB. Ik heb het over mijn netwerk, maar er zijn totaal 7 gebruikers die als gevolg van onwetendheid niet paranoide zijn. Ik ben zeker niet de gemiddelde gebruiker wat dat betreft, maar heb stomweg niet de kennis om de gebruikte software op waarde te schatten en waar nodig aanvullende maatregelen te treffen.

[Reactie gewijzigd door onsgeluk op 25 maart 2014 19:37]

Maar wie weet nu precies hoe die het best geconfigged kan worden? Ik in ieder geval niet, dus laat deze op de default setting staan. Helaas is in de afgelopen periode wel meermaals de slechte setup en uitblijven van updates op de firmware van diverse modems/routers negatief in het nieuws geweest.
Ik kan je van harte het boek "pfSense - the definitive guide" aanraden. Dit boek gaat over de op freeBSD gebaseerde firewall pfSense (kan je op een oude machine draaien als je er 2 kwaliteits-NICs in steekt), maar geeft een duidelijke uitleg over zowat alle aspecten van firewalls. Een beetje voorkennis ivm. netwerken is wel aanbevolen.
Het lijkt me leuk om hier eens thuis mee te experimenteren. Kan ik gewoon m'n dd-wrt configuratie voorzien van port mirroring (iptables) om vervolgens deze packets in te lezen op de ubuntu machine?

[Reactie gewijzigd door densoN op 25 maart 2014 17:33]

@densoN jawel, maar dan werkt de IPS functie niet. De IPS functie werkt alleen als het inline (netzoals een firewall) staat.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True