5
Apache mit Suricata überwachen?
Hallo,
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern. Am Internet hängt OPNsense und leitet den Traffic an einen Apache-Proxy weiter der je nach URL an einen weiteren Dienst weiterleitet.
Auf OPNsense habe ich schon Suricata aktiviert. Leider nützt das nichts gegen verschlüsselte Verbindungen. Daher ist meine Idee ein weiteres Suricata auf dem Proxy zu installieren. Der Proxy stellt auch die Zertifikate bereit. Es müsste der Datenverkehr am Proxy also unverschlüsselt vorliegen.
Vermutlich reicht das nicht einfach wenn ich auf dem Proxy Suricata installiere, oder? Hat jemand eine Idee wie ich da vorgehen muss damit Suricata Angriffe aufspüren kann?
Es muss übrigens nicht unbedingt Suricata sein. Wenn das ein anderen Tool übernimmt soll mir das auch recht sein.
Vielen Dank schon mal
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern. Am Internet hängt OPNsense und leitet den Traffic an einen Apache-Proxy weiter der je nach URL an einen weiteren Dienst weiterleitet.
Auf OPNsense habe ich schon Suricata aktiviert. Leider nützt das nichts gegen verschlüsselte Verbindungen. Daher ist meine Idee ein weiteres Suricata auf dem Proxy zu installieren. Der Proxy stellt auch die Zertifikate bereit. Es müsste der Datenverkehr am Proxy also unverschlüsselt vorliegen.
Vermutlich reicht das nicht einfach wenn ich auf dem Proxy Suricata installiere, oder? Hat jemand eine Idee wie ich da vorgehen muss damit Suricata Angriffe aufspüren kann?
Es muss übrigens nicht unbedingt Suricata sein. Wenn das ein anderen Tool übernimmt soll mir das auch recht sein.
Vielen Dank schon mal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1881085488
Url: https://administrator.de/contentid/1881085488
Printed on: April 26, 2024 at 13:04 o'clock
5 Comments
Latest comment
Hallo,
Apache oder nicht Apache kommt auf das gleiche. Suricata überwacht nicht nur http(s) sondern alle eingehenden Verbindungen eines Interfaces. Du hast Da aber einen Denkfehler. Suricata überwacht nicht unbedingt den Inhalt von https. Lies mal: https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ Nur Punkt 6.7 überwacht Inhalt, der Rest sind andere Marker.
Die Endpunkte sind wichtig, auch der Inhalt von DNS-queries. Suricata schützt damit auch verschlüsselte Verbindungen.
Grüße
lcer
Apache oder nicht Apache kommt auf das gleiche. Suricata überwacht nicht nur http(s) sondern alle eingehenden Verbindungen eines Interfaces. Du hast Da aber einen Denkfehler. Suricata überwacht nicht unbedingt den Inhalt von https. Lies mal: https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ Nur Punkt 6.7 überwacht Inhalt, der Rest sind andere Marker.
Die Endpunkte sind wichtig, auch der Inhalt von DNS-queries. Suricata schützt damit auch verschlüsselte Verbindungen.
Grüße
lcer
Hallo Icer,
ich danke dir schon mal. Klar überwacht Suricata nicht nur http(s). Ich sehe aber genügend Sachen die am WAN-Interface anklopfen. U.a. sind da aber auch solche Scans über http was für eine PHP-Version genutzt wird, oder es wird versucht ein Shell-Kommando in der URL auszuführen. Per http wird das erkannt und gedropt. Per https geht das aber durch.
Ich habe jetzt noch das security-Modul beim Apache entdeckt. Das werde ich mir auch mal anschauen.
ich danke dir schon mal. Klar überwacht Suricata nicht nur http(s). Ich sehe aber genügend Sachen die am WAN-Interface anklopfen. U.a. sind da aber auch solche Scans über http was für eine PHP-Version genutzt wird, oder es wird versucht ein Shell-Kommando in der URL auszuführen. Per http wird das erkannt und gedropt. Per https geht das aber durch.
Ich habe jetzt noch das security-Modul beim Apache entdeckt. Das werde ich mir auch mal anschauen.
Moin,
Gruß,
Dani
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern.
je nachdem in IDS/IPS oder der Klassiker eine WAP. Alle gennannten Technologien sind keine Selbstläufer und müssen (un)regelmäßig geprüft, gewartet und gepfelegt werden. Abgesehen mal von den heutigen dynamischen Angriffsvektoren.Gruß,
Dani
Moin Dani,
WAP sagt mir in dem Zusammenhang nichts, oder meinst du WAF? Dieses Security-Modul von Apache scheint ja sowas zu sein, oder?
Schaue ich mit jedenfalls mal an.
Grüße
WAP sagt mir in dem Zusammenhang nichts, oder meinst du WAF? Dieses Security-Modul von Apache scheint ja sowas zu sein, oder?
Schaue ich mit jedenfalls mal an.
Grüße
Ich habe das jetzt über modsecurity gelöst. Das fängt einiges ab.