thecritter
Goto Top

Apache mit Suricata überwachen?

Hallo,

ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern. Am Internet hängt OPNsense und leitet den Traffic an einen Apache-Proxy weiter der je nach URL an einen weiteren Dienst weiterleitet.
Auf OPNsense habe ich schon Suricata aktiviert. Leider nützt das nichts gegen verschlüsselte Verbindungen. Daher ist meine Idee ein weiteres Suricata auf dem Proxy zu installieren. Der Proxy stellt auch die Zertifikate bereit. Es müsste der Datenverkehr am Proxy also unverschlüsselt vorliegen.
Vermutlich reicht das nicht einfach wenn ich auf dem Proxy Suricata installiere, oder? Hat jemand eine Idee wie ich da vorgehen muss damit Suricata Angriffe aufspüren kann?
Es muss übrigens nicht unbedingt Suricata sein. Wenn das ein anderen Tool übernimmt soll mir das auch recht sein.

Vielen Dank schon mal

Content-ID: 1881085488

Url: https://administrator.de/contentid/1881085488

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

lcer00
Lösung lcer00 10.02.2022 um 14:38:56 Uhr
Goto Top
Hallo,

Apache oder nicht Apache kommt auf das gleiche. Suricata überwacht nicht nur http(s) sondern alle eingehenden Verbindungen eines Interfaces. Du hast Da aber einen Denkfehler. Suricata überwacht nicht unbedingt den Inhalt von https. Lies mal: https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ Nur Punkt 6.7 überwacht Inhalt, der Rest sind andere Marker.

Die Endpunkte sind wichtig, auch der Inhalt von DNS-queries. Suricata schützt damit auch verschlüsselte Verbindungen.

Grüße

lcer
TheCritter
Lösung TheCritter 10.02.2022 um 15:22:46 Uhr
Goto Top
Hallo Icer,

ich danke dir schon mal. Klar überwacht Suricata nicht nur http(s). Ich sehe aber genügend Sachen die am WAN-Interface anklopfen. U.a. sind da aber auch solche Scans über http was für eine PHP-Version genutzt wird, oder es wird versucht ein Shell-Kommando in der URL auszuführen. Per http wird das erkannt und gedropt. Per https geht das aber durch.
Ich habe jetzt noch das security-Modul beim Apache entdeckt. Das werde ich mir auch mal anschauen.
Dani
Lösung Dani 12.02.2022 um 18:43:03 Uhr
Goto Top
Moin,
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern.
je nachdem in IDS/IPS oder der Klassiker eine WAP. Alle gennannten Technologien sind keine Selbstläufer und müssen (un)regelmäßig geprüft, gewartet und gepfelegt werden. Abgesehen mal von den heutigen dynamischen Angriffsvektoren.


Gruß,
Dani
TheCritter
TheCritter 17.02.2022 um 08:26:36 Uhr
Goto Top
Moin Dani,
WAP sagt mir in dem Zusammenhang nichts, oder meinst du WAF? Dieses Security-Modul von Apache scheint ja sowas zu sein, oder?
Schaue ich mit jedenfalls mal an.

Grüße
TheCritter
TheCritter 18.02.2022 um 08:53:16 Uhr
Goto Top
Ich habe das jetzt über modsecurity gelöst. Das fängt einiges ab.