Ubuntu als Intrusion Prevention System (IPS)

Submitted by admin on So, 11.12.2016 - 12:33

1457591225267-suricata.jpeg

Suricata

Suricata ist ein leistungsfähiges Intrusion Detection/Prevention System. Es unterstützt spezielle Hardware, die es ermöglicht, auch bei hohen Leitungsgeschwindigkeiten alle Pakete in Echtzeit zu analysieren und ggf. Maßnahmen zu treffen.

Ubuntu

Für Ubuntu Linux gibt es bereits fertige Suricata Pakete wie z.B. oisf ppa. Von unserer Seite entstehen Pakate, die spezielle Hardware unterstützen. Den Anfang macht eine Version mit Nvidia CUDA Unterstützung. Die PPA Pakete sind unter unserem PPA, es handelt sich noch um eine experimentelle Version, die jedoch auf dem original Sourcecode von Suricata basiert.

Was wurde am Sourcecode geändert?

Suricata verwendet im original Sourcecode noch Referenzen auf Cuda 1.x, was von den aktuellen Cuda Tools von Nvidia nicht mehr unterstützt wird. Im PPA wurden diese Altlasten entfernt, so dass Suricata sich auch mit aktuellen Nvidia Entwicklungstools compilieren lässt. Alle heute noch erhältlichen Nvidia Grafikkarten unterstützen mindestens CUDA ab Version 2.

Was macht ein IPS?

Eine einfache Firewall, die nur abgehende und bestimmte ankommende Verbindungen zulässt, reicht heute keinesfalls mehr, um sich vor Malware/Staatstrojaner zu schützen. Ein leistungsfähiges Intrusion Prevention System (IPS) mit aktuellen Rulesets sorgt dafür, dass böse Verbindungs(versuche) erkannt und durch die Firewall geblockt werden. Ein IPS stellt recht hohe Anforderungen an die Hardware, man kommt also mit einer Fritzbox da nicht sehr weit. Ein mini-ITX Board mit einem E3-Xeon sowie einer preiswerten Nvidia Grafikkarte bietet dagegen genügend Leistung für ein IPS. Beim RAM sollte man nicht sparen, 16 oder besser 32 GByte sollten es schon sein.