Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 11 reacties
Bron: Suricata, submitter: Victor78

Suricata logo (75 pix)De tweede update voor versie 3.1 van Suricata is uitgekomen. Suricata is een opensource-network intrusion detection system (IDS), intrusion prevention system (IPS) en network security monitoring engine. Het kan worden gebruikt om netwerkverkeer te monitoren en een systeembeheerder een waarschuwing te geven als er iets verdachts wordt gesignaleerd. De ontwikkeling wordt overzien door de Open Information Security Foundation, met hulp van de community en diverse fabrikanten. De met het op json gebaseerd logsysteem Eve verzamelde data kan onder meer met Logstash worden gebruikt om zo informatie grafisch weer te geven. In deze uitgave zijn de volgende verbeteringen aangebracht:

Changes
  • Feature #1830: support ‘tag’ in eve log
  • Feature #1870: make logged flow_id more unique
  • Feature #1874: support Cisco Fabric Path / DCE
  • Feature #1885: eve: add option to log all dropped packets
  • Feature #1886: dns: output filtering
  • Bug #1849: ICMPv6 incorrect checksum alert if Ethernet FCS is present
  • Bug #1853: fix dce_stub_data buffer
  • Bug #1854: unified2: logging of tagged packets not working
  • Bug #1856: PCAP mode device not found
  • Bug #1858: Lots of TCP ‘duplicated option/DNS malformed request data’ after upgrading from 3.0.1 to 3.1.1
  • Bug #1878: dns: crash while logging sshfp records
  • Bug #1880: icmpv4 error packets can lead to missed detection in tcp/udp
  • Bug #1884: libhtp 0.5.22

Logstash Kibana gevoed met informatie van Suricata met json-output Logstash Kibana gevoed met informatie van Suricata met json-output.

Versienummer:3.1.2
Releasestatus:Final
Besturingssystemen:Windows 7, Linux, BSD, macOS, UNIX, Windows 8, Windows 10
Website:Suricata
Download:https://suricata-ids.org/download/
Licentietype:GPL
Moderatie-faq Wijzig weergave

Reacties (11)

Op een Pi zou ik het niet zetten. Het beste is om zo'n IDS inline te zetten met het verkeer dat je wilt monitoren. Dat betekend 2 interfaces nodig en aangezien de Pi maar een 100Mbps porrt heeft die gedeelt wordt met de USB bus, zakt de performance van je netwerk dan wel in als je een USB poort als extra interface gaat inzetten (ik gebruik een Pi als camping routertje met een USB ethernet dongel en dat werkt prima voor die lage snelheid die je daar krijgt). Thuis zit je meestal ook nog met een switch in je netwerk, dus of je moet op die switch een port monitoring aan kunnen zetten of naar HUB's gaan, maar daar zit je ook niet op te wachten. Dus inline een IDS als suricata inzetten zal het best zijn, maar dan wel met een apparaat die geen performance verlies voor de doorvoer gaat zorgen (of niet alles monitored).
Hartelijk dank voor je duidelijk toelichting. Als ik het goed begrijp kun je dan het beste een eigen router maken. En het daar op draaien.
Voor mij lijkt dat een stap te ver/complex. Ik meer op zoeknaar iets dat de diverse logbestanden interpreteert.
Een PFSense oplossing geniet mijn voorkeur; maar ik ben daar afgelopen tijd mee "verblind".
Het gemak waarmee de omgeving in te stellen is en de stabiliteit er van.

Je kunt instappen met een goedkope DUAL NIC Home Firewall van Netgate $149 ; pre-order.
https://www.netgate.com/products/sg-1000.html

Die is bijzonder nieuw dus ik weet niet zeker in hoeverre dezelfde PACKAGES beschikbaar komen.
Maar ik verwacht wel dat hier veel in gaat gebeuren op korte termijn.
PFSense heeft Suricata ook als Package.

In het begin heeft Suricata wat false positives (zeker met CDN's die niet helemaal lekker afgesteld zijn) maar het is een zeer goed en duidelijk systeem en je hebt foute blokkades er snel genoeg uit.
Ook kun je SNORT bronnen opgeven en samen met wat eigen bronnen om het netwerkverkeer te filteren heeft dat zeer effectief gebleken.

Thuis kan je op een oude x86 HP terminal met een extra (DUAL GiBi) netwerkkaartje er in prima PFSense draaien en zodoende een firewall van professionele kwaliteit hebben.
HA Proxy draaien voor interne domein verdeling als je wil
DNS Server en DHCP server
evt. Captive portal
Etc.

Ik heb twee van deze gekocht voor een HA-Firewall opzet:
HP Terminal T5740e
https://www.estunt.nl/pro...e-4gb-flash-2gb-ram-wes7/

Daar kun je een Riser Expansion voor kopen die een PCI-E toevoegt.
http://www.ebay.com/itm/L...14eaa8:g:sVIAAOSwPe1T3nWu
Ik had 'm voor ca. 25 dollar gekocht.

Hier kun je zien hoe je 't kastje open maakt en de riser expansion plaatst:
https://www.youtube.com/watch?v=59h-wTsI4gc

In deze expansion kun je uiteraard een DUAL ETHERNET NIC van Intel in plaatsen.
Deze heb ik geloof ik:
http://www.ebay.com/itm/I...b8858c:g:Q6kAAOSwT5tWQr80

Samen met de interne gigabit NIC heb je dan 3 netwerkkaarten.
1x WAN
1x LAN
1x SYNC

Overigens kun je sync ook over de WAN of LAN laten gaan.

PFSense dat op FreeBSD draait is bijzonder stabiel en zeer snel.
Je merkt qua snelheid eigenlijk niet dat er een server tussenzit die je netwerkverkeer scant.

Overigens is er binnenkort ook een goedkope(re) instap optie beschikbaar:
SG-1000 microFirewall (Home) Firewall van Netgate $149 ; pre-order.
https://www.netgate.com/products/sg-1000.html

De hardware wijkt denk ik niet heel veel af van een nieuwe Pi.

[Reactie gewijzigd door Eric Oud Ammerveld op 8 september 2016 11:40]

Zijn er mensen die ervaring hebben met het draaien van Suricata naast PfSense op dezelfde machine/VM?
In pfSense 2.3.x kan Suricata via Package Manager naar wens erbij geinstalleerd worden.
Thx, en heb je zelf ervaring met die combinatie? Wij willen binnenkort ergens met PfSense gaan experimenteren dus als het bevalt dan is dat voor ons een reden om er eens goed naar te kijken.
Ja, zie mijn verhaal hieronder :)
suricata security 3.0_7

PM me mocht je vragen hebben.

[Reactie gewijzigd door Eric Oud Ammerveld op 8 september 2016 11:32]

Thx, het is duidelijk dat we dit mee moeten gaan nemen in de evaluatie!
Is dit een bruikbare tool voor de goedwillende hobbyist voor thuis? Om bijvoorbeeld naast pihole op een rpi te draaien.
Ligt naruurlijk een beetje aan wat je er van verwacht.....
Ik zou willen weten of iemand ongevraagd op mijn wifi router probeert in te loggen. Of mijn ftp server of probeert in te loggen op mijn linux (minecraft) server.
Is dit dan iets waar ik mij in ziu kunnen verdiepen of zijn er geschiktere tools?
Suricata scant vrij diepgaand en heeft een soort van RULES LISTS die hij automatisch update.
Je ziet bijzonder goed wanneer hij een IP blokkeert en om welke reden.

Dat maakt het alsnog doorlaten / whitelisten goed in te regelen.


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True