# OPNsense Suricata: IDS & IPS für das Enterprise-Gateway
TL;DR / Management Summary Während die Firewall nur Ports und IPs prüft, schaut Suricata in den Inhalt der Pakete (Deep Packet Inspection). Es erkennt Signaturen von Trojanern, Ransomware-C2-Servern und Exploit-Versuchen. Ein Senior Admin betreibt Suricata zuerst im IDS-Modus (Detection), um Fehlalarme zu identifizieren, und schaltet dann bei stabilen Regelsätzen in den IPS-Modus (Prevention), um Angriffe automatisch und in Echtzeit zu blockieren.
# 1. Einführung & Konzepte
Die digitale Spurensicherung.
Suricata ist eine leistungsstarke, Multi-Threaded Network Security Monitoring (NSM) Engine.
- IDS (Intrusion Detection): Suricata liest eine Kopie des Traffics und loggt Alarme. Kein Einfluss auf die Performance.
- IPS (Intrusion Prevention): Suricata sitzt direkt im Datenstrom (Netmap). Erkennt es einen Angriff, wird das Paket sofort verworfen.
# 2. Einrichtung in der Praxis
Vom Scan zum Schutz.
# Schritt 1: Interfaces wählen
Services -> Intrusion Detection -> Administration.
- Interfaces: Wählen Sie WAN (für Schutz vor Außen) und LAN (um infizierte interne PCs zu finden).
- Promiscuous Mode: Aktivieren, damit Suricata alle Pakete auf der Bridge sieht.
# Schritt 2: Regelsätze abonnieren (Rules)
Klicken Sie auf den Tab Download. Abonnieren Sie bewährte Listen:
- ET Open: Kostenlose, exzellente Community-Regeln von Emerging Threats.
- Abuse.ch: Spezialisiert auf Botnets.
# Schritt 3: IPS aktivieren
Wenn Sie blockieren wollen:
- Haken bei IPS mode setzen.
- Hardware-Offloading (LRO/TSO) deaktivieren (Zwingend für Netmap!).
# 3. Deep Dive: False Positive Management
Den ‘guten’ Traffic nicht blockieren.
Aggressive Regeln blockieren oft legitime Dienste (z.B. Steam-Downloads oder Windows-Updates).
- Aktion: Gehen Sie zu
Alerts. Wenn Sie einen Fehlalarm finden, klicken Sie auf das Symbol “Change rule to Alert” oder “Disable rule”. - Regel: Deaktivieren Sie Regeln der Kategorie
GAMESoderP2P, wenn diese in Ihrem Netzwerk erlaubt sind.
# 4. Day-2 Operations: Performance & RAM
Suricata ist hungrig.
Suricata lädt zehntausende Regeln in den RAM.
- KPI: Planen Sie mindestens 2 GB RAM zusätzlich nur für Suricata ein.
- CPU: Nutzen Sie den Hyperscan Algorithmus (unter Settings), wenn Ihre CPU dies unterstützt (Intel/AMD), um die Scan-Geschwindigkeit zu verdoppeln.
# 5. Troubleshooting & “War Stories”
Wenn die Firewall bremst.
# Top 3 Fehlerbilder
-
Symptom: Internet-Bandbreite bricht von 1 Gbit auf 200 Mbit ein.
- Ursache: Suricata läuft Single-Threaded auf einem schwachen Kern oder das Netmap-Interface ist überlastet.
- Lösung: CPU-Kerne für Suricata via
Pattern matcher(Hyperscan) optimieren.
-
Symptom: Keine Alarme im Log.
- Ursache: Keine Regeln heruntergeladen oder Interface-Zuweisung falsch.
- Fix: Unter
Downloadauf “Update” klicken.
-
Symptom: Webseiten laden nicht (SSL-Fehler).
- Ursache: Suricata blockiert den TLS-Handshake, weil das Zertifikat als “Invalid” eingestuft wird.
# “War Story”: Die “Stille” Infektion
Ein Admin wunderte sich über hohen Upload-Traffic auf einem Fileserver um 3 Uhr morgens. Die Firewall-Logs zeigten nur erlaubten HTTPS-Traffic.
Die Entdeckung: Wir aktivierten Suricata (IDS). Innerhalb von Minuten sah der Admin Alarme der Kategorie ET TROJAN Trickbot. Ein Server war infiziert und kommunizierte verschlüsselt mit einem C2-Server. Da Suricata die Signatur des Handshakes kannte, schlug es Alarm.
Lehre: Eine Firewall ohne IDS sieht nur die Tür, nicht wer hindurchgeht. IDS ist das “Röntgengerät” Ihrer IT-Sicherheit.
# 6. Monitoring & Reporting
Security Dashboards.
# Eve Log Integration
Suricata schreibt im EVE JSON Format.
- Tipp: Senden Sie diese JSON-Daten an einen ELK-Stack (Elasticsearch). Dort können Sie visuelle Weltkarten Ihrer Angreifer erstellen.
# 7. Fazit & Empfehlung
Suricata macht aus einer einfachen Firewall ein professionelles Security-Gateway.
- Empfehlung: Starten Sie für 2 Wochen im IDS-Modus. Erst wenn keine kritischen Fehlalarme mehr auftreten, schalten Sie auf IPS um.
- Strategie: Nutzen Sie die ET Pro (kommerziell) Regeln, wenn Sie maximale Sicherheit für Web-Applikationen benötigen.
# Anhang: Cheatsheet
| Aufgabe | Pfad |
|---|---|
| Alarme prüfen | Services -> Intrusion Detection -> Alerts |
| Regeln updaten | Services -> Intrusion Detection -> Download |
| Policy anpassen | Services -> Intrusion Detection -> Policy |
| Live Log (Shell) | tail -f /var/log/suricata/eve.json |