thecritter
Goto Top

Apache mit Suricata überwachen?

Hallo,

ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern. Am Internet hängt OPNsense und leitet den Traffic an einen Apache-Proxy weiter der je nach URL an einen weiteren Dienst weiterleitet.
Auf OPNsense habe ich schon Suricata aktiviert. Leider nützt das nichts gegen verschlüsselte Verbindungen. Daher ist meine Idee ein weiteres Suricata auf dem Proxy zu installieren. Der Proxy stellt auch die Zertifikate bereit. Es müsste der Datenverkehr am Proxy also unverschlüsselt vorliegen.
Vermutlich reicht das nicht einfach wenn ich auf dem Proxy Suricata installiere, oder? Hat jemand eine Idee wie ich da vorgehen muss damit Suricata Angriffe aufspüren kann?
Es muss übrigens nicht unbedingt Suricata sein. Wenn das ein anderen Tool übernimmt soll mir das auch recht sein.

Vielen Dank schon mal

Content-ID: 1881085488

Url: https://administrator.de/contentid/1881085488

Printed on: December 4, 2024 at 04:12 o'clock

lcer00
Solution lcer00 Feb 10, 2022 at 13:38:56 (UTC)
Goto Top
Hallo,

Apache oder nicht Apache kommt auf das gleiche. Suricata überwacht nicht nur http(s) sondern alle eingehenden Verbindungen eines Interfaces. Du hast Da aber einen Denkfehler. Suricata überwacht nicht unbedingt den Inhalt von https. Lies mal: https://suricata.readthedocs.io/en/suricata-6.0.0/rules/ Nur Punkt 6.7 überwacht Inhalt, der Rest sind andere Marker.

Die Endpunkte sind wichtig, auch der Inhalt von DNS-queries. Suricata schützt damit auch verschlüsselte Verbindungen.

Grüße

lcer
TheCritter
Solution TheCritter Feb 10, 2022 at 14:22:46 (UTC)
Goto Top
Hallo Icer,

ich danke dir schon mal. Klar überwacht Suricata nicht nur http(s). Ich sehe aber genügend Sachen die am WAN-Interface anklopfen. U.a. sind da aber auch solche Scans über http was für eine PHP-Version genutzt wird, oder es wird versucht ein Shell-Kommando in der URL auszuführen. Per http wird das erkannt und gedropt. Per https geht das aber durch.
Ich habe jetzt noch das security-Modul beim Apache entdeckt. Das werde ich mir auch mal anschauen.
Dani
Solution Dani Feb 12, 2022 at 17:43:03 (UTC)
Goto Top
Moin,
ich suche nach einer Möglichkeit um eingehende SSL-Verbindungen zu überwachen. Also bspw Exploids herauszufiltern.
je nachdem in IDS/IPS oder der Klassiker eine WAP. Alle gennannten Technologien sind keine Selbstläufer und müssen (un)regelmäßig geprüft, gewartet und gepfelegt werden. Abgesehen mal von den heutigen dynamischen Angriffsvektoren.


Gruß,
Dani
TheCritter
TheCritter Feb 17, 2022 at 07:26:36 (UTC)
Goto Top
Moin Dani,
WAP sagt mir in dem Zusammenhang nichts, oder meinst du WAF? Dieses Security-Modul von Apache scheint ja sowas zu sein, oder?
Schaue ich mit jedenfalls mal an.

Grüße
TheCritter
TheCritter Feb 18, 2022 at 07:53:16 (UTC)
Goto Top
Ich habe das jetzt über modsecurity gelöst. Das fängt einiges ab.