Apache mit Suricata überwachen?
Hallo,
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern. Am Internet hängt OPNsense und leitet den Traffic an einen Apache-Proxy weiter der je nach URL an einen weiteren Dienst weiterleitet.
Auf OPNsense habe ich schon Suricata aktiviert. Leider nützt das nichts gegen verschlüsselte Verbindungen. Daher ist meine Idee ein weiteres Suricata auf dem Proxy zu installieren. Der Proxy stellt auch die Zertifikate bereit. Es müsste der Datenverkehr am Proxy also unverschlüsselt vorliegen.
Vermutlich reicht das nicht einfach wenn ich auf dem Proxy Suricata installiere, oder? Hat jemand eine Idee wie ich da vorgehen muss damit Suricata Angriffe aufspüren kann?
Es muss übrigens nicht unbedingt Suricata sein. Wenn das ein anderen Tool übernimmt soll mir das auch recht sein.
Vielen Dank schon mal
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern. Am Internet hängt OPNsense und leitet den Traffic an einen Apache-Proxy weiter der je nach URL an einen weiteren Dienst weiterleitet.
Auf OPNsense habe ich schon Suricata aktiviert. Leider nützt das nichts gegen verschlüsselte Verbindungen. Daher ist meine Idee ein weiteres Suricata auf dem Proxy zu installieren. Der Proxy stellt auch die Zertifikate bereit. Es müsste der Datenverkehr am Proxy also unverschlüsselt vorliegen.
Vermutlich reicht das nicht einfach wenn ich auf dem Proxy Suricata installiere, oder? Hat jemand eine Idee wie ich da vorgehen muss damit Suricata Angriffe aufspüren kann?
Es muss übrigens nicht unbedingt Suricata sein. Wenn das ein anderen Tool übernimmt soll mir das auch recht sein.
Vielen Dank schon mal
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1881085488
Url: https://administrator.de/contentid/1881085488
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Apache oder nicht Apache kommt auf das gleiche. Suricata überwacht nicht nur http(s) sondern alle eingehenden Verbindungen eines Interfaces. Du hast Da aber einen Denkfehler. Suricata überwacht nicht unbedingt den Inhalt von https. Lies mal: https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ Nur Punkt 6.7 überwacht Inhalt, der Rest sind andere Marker.
Die Endpunkte sind wichtig, auch der Inhalt von DNS-queries. Suricata schützt damit auch verschlüsselte Verbindungen.
Grüße
lcer
Apache oder nicht Apache kommt auf das gleiche. Suricata überwacht nicht nur http(s) sondern alle eingehenden Verbindungen eines Interfaces. Du hast Da aber einen Denkfehler. Suricata überwacht nicht unbedingt den Inhalt von https. Lies mal: https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ Nur Punkt 6.7 überwacht Inhalt, der Rest sind andere Marker.
Die Endpunkte sind wichtig, auch der Inhalt von DNS-queries. Suricata schützt damit auch verschlüsselte Verbindungen.
Grüße
lcer
Moin,
Gruß,
Dani
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern.
je nachdem in IDS/IPS oder der Klassiker eine WAP. Alle gennannten Technologien sind keine Selbstläufer und müssen (un)regelmäßig geprüft, gewartet und gepfelegt werden. Abgesehen mal von den heutigen dynamischen Angriffsvektoren.Gruß,
Dani