具有 Suricata 規則的 AWS 網絡防火牆

Question

我正在考慮使用 Suricata IPS 規則實施 AWS 網絡防火牆，並且發現很難找到與規則等相關的真實示例和想法。我們的客戶強調IPS、IDS 和反惡意軟件。

我今天的設置是 Internet Gateway -> Application Load Balancer -> Auto-scaling ECS 容器。 如果我錯了，請糾正我，但防火牆適合 IG 和 ALB 之間？

我花了一些時間盯着下面的屏幕；

我最初的問題是；

1. 我如何確定哪些規則適用於我？
2. 什么是真正的“容量”？

從第一個開始，我相信我可以選擇的規則列在這里，最初我認為我肯定想使用他們提供的所有 30k (?) 規則。 再想一想，我認為這可能會影響我們最終用戶的響應能力。 那么，如果我在考慮 IPS，對於向公眾開放端口 80 和 443 的 web 解決方案，哪些規則集是必需的？ 如果我查看包含所有“新興”規則的文件，他們列出了大約 30k 條規則，但我幾乎不認為它們都與我相關。

關於第二點，Capacity，Amazon state 以下為說明；

規則組允許的最大處理能力。 將有狀態規則組的容量要求估計為您希望添加的規則數。 更新規則組時不能更改或超出此設置。

最初我認為“一個容量”是指一條線（任何規則集中的一條規則），但后來我明白一條線本身可能需要多達 450 個“容量”（我已經失去了我閱讀/解釋這個的鏈接）。

我知道這個主題很大，而且我在防火牆方面有點新手，但是誰能告訴我如何解決這個問題？ 我覺得好像我不確定我在問什么，所以如果我需要澄清任何事情，請告訴我。

Answer 1

我最近開發了IDSTower（suricata 和規則管理解決方案）和 AWS 網絡防火牆之間的集成，所以我可以解決這個困惑：）

我如何確定哪些規則適用於我？

起點應該是您要保護的服務，一旦您知道事情會變得更容易，ET Open/Suricata 規則可以以不同的方式分組，它們發布在不同的文件中（例如：emerging-smtp.rules、emerging-sql .rules...etc）並包含對規則進行分類的類類型（例如：bad-unknown、misc-attack...等）以及標簽、signature_severity...等元數據

這里要指出的另一件重要事情是，aws 網絡防火牆將上傳的規則大小（在單個有狀態規則組中）限制為 2 MB，這將迫使您選擇規則。

有幾種方法可以決定啟用哪些規則：

1. 使用上面解釋的規則分組，首先啟用一個小子集，監控 output，調整/調整並啟用另一個子集，直到覆蓋服務，所以從小處着手並擴大啟用的規則。

2. 啟用所有規則（在 IDS 模式下）並評估警報，禁用/調整嘈雜/無用的規則，直到您達到 state 的信心。

3. Enable Rules that monitor the protocol you system speaks, if you are protecting HTTP based web services, start by enabling rules that are monitoring http protocol ('alert http.....')

如果您將上述內容應用於生產環境，請確保您只從警報開始，一旦您刪除誤報，您就可以將它們移至刪除。

什么是真正的“容量”？

AWS 使用容量設置來確保您的 Cloud-Suricata 實例能夠提供承諾的性能，這在很大程度上受啟用的規則數量的影響。

單個有狀態規則消耗 1 個容量

最初我認為“一個容量”是指一條線（任何規則集中的一條規則），但后來我明白一條線本身可能需要多達 450 個“容量”（我已經失去了我閱讀/解釋這個的鏈接）。

是的，Suricata 規則（在 AWS 網絡防火牆世界中是有狀態的）每個規則行消耗 1 個容量點，但是對於無狀態規則，單個規則可以消耗更多，具體取決於 AWS Docs 中提到的協議、源和目標

具有指定 30 種不同協議的協議、具有 3 種設置的源、具有 5 種設置的目標以及其他匹配設置的單一或無規范的規則具有 (30 3 5) = 450 的容量要求。

這是 AWS 網絡防火牆文檔鏈接