Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Suricata setting für Customrules URLhaus

    Deutsch
    1
    2
    196
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      p54
      last edited by

      Hallo,

      mal wieder ich :) Ich versuche mich schon seit langem damit, den höchstmöglichen Schutz vor Emotet & Co. mit den für mich zur Verfügung stehenden Mitteln umzusetzen.

      Somit bin ich nun auf Suricata - Rules von URLhaus gekommen, welche ich gerne nutzen möchte. Jedoch ergeben sich hier gleich mehrere Hürden.

      1. Die Liste beinhaltet derzeit 66k an Rules - welche Suricata in der PFSense irgendwie mit dem HyperScan und RAM verwalten muss.
        ** Ich schätze dies wird meine Box ggf. in die Knie drücken sollte ich diese in die Customrules eines meiner Interfaces hinterlegen können via copy&paste

      2. Die Custom.rules je Interface ist statisch - hier besteht keine Update Funktionalität und müsste immer manuell gepflegt werde.
        ** Und genau das ist der wesentliche Teil der für mich ein hohe Rolle spielt diese Updates von URLhaus in einem entsprechenden Zeitfenster zu aktualisieren

      3. Eigene Regeln über das Terminal mit Update-Script erstellen bringt wohl auch einige Hürden mit sich da Suricata nach jedem Update wieder auf default (ala Netgate) zurück versetzt wird und man es anpassen müsst - womit ich eigentlich kein Problem habe wenn ich weiß was ich machen müsste
        ** Hier URLHaus - Anyone have a mod already? wurde es schon leicht beschrieben wie man es umsetzten könnte, jedoch weiß ich nicht ob es nun funktioniert oder nicht - bzw. dies der einzigste Weg zum Ziel wäre

      Habt ihr ggf. irgendwelche Infos wie man damit verfahren könnte?

      Viele Grüße.

      1 Reply Last reply Reply Quote 0
      • P
        p54
        last edited by p54

        Hallöchen,

        ja also bei mir funktioniert es nach der oben verlinkten Anleitung gleich gar nicht. In den suricata.log war nichts mit Warning oder Error hinterlegt. Seltsam. Die Pfade waren alle entsprechend richtig von mir - auch das typo hier:

        @boobletins said in URLHaus - Anyone have a mod already?:

        Modified /usr/local/pkg/suricata/suricata_yaml_template.inc as shown above to include

        • /usr/local/etc/rules.local/urlhaus.rules

        sollte eigentlich so aussehen:

        - /usr/local/etc/suricata/rules.local/urlhaus_suricata.rules

        Dann, auch wenn unnötig dachte ich mir ich überschreibe einfach die custom.rules mit folgendem Script - jedoch ist das eine wui und da stehen dann doch noch ein paar Abhängigkeiten im Weg damit dies gelingen könnte.

        #!/bin/sh
fetch -o /usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz https://urlhaus.abuse.ch/downloads/urlhaus_suricat
a.tar.gz
tar xvfz //usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz -C /usr/local/etc/suricata/rules.local/
rm /usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz
rm /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules
mv /usr/local/etc/suricata/rules.local/urlhaus_suricata.rules /usr/local/etc/suricata/suricata_32296_igb1.300/rules/cus
tom.rules
chown root:wheel /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules
chmod 644 /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules

        Ist ja klar was passieren musste - in der wui unter cutsom.rules war nichts zu sehen und nach dem Refresh war die custom.rules natürlich wieder auf 0 kb geschrumpft :D

        Hat hier jemand das selbe Problem ggf. auch gleich mit einer Lösung? ;)

        Viele Grüße!

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.