具有 Suricata 的 AWS Network Firewall - 针对早于 1.2 的 TLS 版本发出警报出口流量

AWS Network Firewall with Suricata - alert egress traffic for TLS version older than 1.2

提问人:FlashGordon 提问时间:3/18/2023 更新时间:3/18/2023 访问量:220

问:

我正在尝试编写 Suricata 规则,该规则可以在旧版本的 TLS 上发出警报。我想检测早于 1.2 的 TLS 是否用于从我的网络到 Internet 的任何出口流量。我正在使用 AWS Network Firewall 和基于严格排序类型的有状态 Suricata 规则。我写了下面的规则,并把它们放在规则堆栈的顶部,以确保它们首先被处理:

alert tls any any -> $EXTERNAL_NET any (tls.version:1.0; msg:"Match on negotiated TLS/SSL version - 1.0 detected"; sid:1; rev:1;)
alert tls any any -> $EXTERNAL_NET any (tls.version:1.1; msg:"Match on negotiated TLS/SSL version - 1.1 detected"; sid:2; rev:1;)
alert tls any any -> $EXTERNAL_NET any (ssl_version:tls1.0; msg:"Match version of SSL/TLS record - 1.0 detected"; sid:3; rev:1;)
alert tls any any -> $EXTERNAL_NET any (ssl_version:tls1.1; msg:"Match version of SSL/TLS record - 1.1 detected"; sid:4; rev:1;)

然后我试图产生一些流量:

curl  -vvv --tlsv1.0 --tls-max 1.1 https://<some_example_urls_here>

一些附加信息:

  1. 在文档中,我可以看到 AWS Network Firewall 支持 Suricata 6.0.2:https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html
  2. 具有 Suricata 的 AWS NF 部署到包含我的工作负载的网络和 Internet 之间的单独网络 (VPC) 中。我有一些传递规则来允许所需的目标 url 和最后的默认删除已建立设置。
  3. 我可以看到流向目标 IP 的流量的流日志。传递规则正常工作。
  4. 我还创建了一个简单的警报规则,该规则记录了特定域的所有出口流量,并且它有效。

警报日志未显示规则使用的任何条目,因此看起来规则可能有问题。tls.versionssl_version

我是 Suricata 的新手,所以我可能会错过上述规则中的重要内容。谁能帮我解决这个问题?谢谢。

Amazon-Web-Services 安全 网络 SURICATA

评论

0赞 FlashGordon 3/21/2023
有人知道为什么这些规则没有被触发吗?我是否需要更新规则或问题与 AWS Network Firewall 的部署方式有关?

答: 暂无答案

上一个:如何将流量镜像到 Suricata 容器

下一个:Suricata 在 Windows 中编译时找不到 pcap.h 文件