Eine Firewall mit Paketfilter-Regeln erlaubt oder blockiert Verbindungen — aber sie erkennt keine Angriffe innerhalb erlaubter Verbindungen. Ein SQL-Injection-Angriff über Port 443, ein Exploit in einem HTTP-Request oder eine Malware-Kommunikation über verschlüsseltes DNS passieren den Paketfilter unbemerkt. Hier setzt Suricata an: als Intrusion Detection System (IDS) analysiert es den Netzwerk-Traffic in Echtzeit und erkennt bekannte Angriffsmuster. Im IPS-Modus (Intrusion Prevention) blockiert es diese automatisch.
Was ist Suricata?
Suricata ist eine Open-Source-Engine für Netzwerkanalyse und Bedrohungserkennung. Sie analysiert Netzwerk-Traffic anhand von Signaturen (Regeln), die bekannte Angriffsmuster beschreiben. Suricata ist in OPNsense nativ integriert und kann über das Webinterface konfiguriert werden.
IDS vs IPS:
- IDS (Detection): Erkennt Angriffe und protokolliert sie — greift aber nicht ein. Geeignet zum Beobachten und Lernen.
- IPS (Prevention): Erkennt Angriffe und blockiert den zugehörigen Traffic automatisch. Produktiveinsatz nach IDS-Testphase.
Einrichtung auf OPNsense
Schritt 1: Suricata aktivieren
Services → Intrusion Detection → Administration:
- Enabled: Aktivieren
- IPS Mode: Zunächst „IDS” für die Testphase, später auf „IPS” umstellen
- Pattern Matcher: „Hyperscan” (empfohlen — deutlich schneller als „Aho-Corasick”)
- Interfaces: WAN auswählen (und ggf. weitere Interfaces)
- Home Networks: Interne Netzwerke definieren (z. B. 10.0.0.0/8, 192.168.0.0/16)
Schritt 2: Regelwerke herunterladen
OPNsense bietet verschiedene Regelquellen:
| Regelwerk | Inhalt | Lizenz |
|---|---|---|
| ET Open | Emerging Threats Community-Regeln | Kostenlos |
| ET Pro | Erweiterte Emerging Threats | Kommerziell |
| Abuse.ch | Malware/Botnet-spezifische Regeln | Kostenlos |
| OPNsense AppDetect | Anwendungserkennung | Kostenlos |
Empfehlung: ET Open als Basis — deckt die wichtigsten Bedrohungen ab und wird täglich aktualisiert. Für Unternehmen mit erhöhtem Schutzbedarf ergänzt ET Pro zusätzliche Signaturen.
Services → Intrusion Detection → Download:
- Gewünschte Regelwerke aktivieren
- „Download & Update Rules” klicken
- Automatisches Update einrichten (täglich empfohlen)
Schritt 3: Regelkategorien konfigurieren
Nicht alle Regelkategorien sind für jedes Netzwerk relevant. Eine sinnvolle Auswahl:
Aktivieren (empfohlen):
emerging-malware— Malware-Kommunikationemerging-trojan— Trojaner-Aktivitätemerging-exploit— Exploit-Versucheemerging-dos— Denial-of-Serviceemerging-scan— Port-Scans und Reconnaissanceemerging-web_server— Web-Server-Angriffeemerging-sql— SQL-Injectionemerging-worm— Wurm-Aktivitätemerging-botcc— Botnet C2-Kommunikationemerging-compromised— Bekannte kompromittierte Hosts
Optional (kontextabhängig):
emerging-policy— Richtlinien-Verstöße (z. B. Tor-Nutzung, P2P)emerging-dns— DNS-basierte Angriffeemerging-voip— VoIP-spezifische Angriffe
Deaktiviert lassen (hohe False-Positive-Rate):
emerging-games— Gaming-Trafficemerging-chat— Chat-Protokolleemerging-info— Informationssammlung (zu breit)
Schritt 4: IDS-Testphase
Vor dem Umschalten auf IPS mindestens 1–2 Wochen im IDS-Modus betreiben:
- Alerts unter Services → Intrusion Detection → Alerts beobachten
- False Positives identifizieren (legitimer Traffic, der als Angriff erkannt wird)
- Einzelne Regeln deaktivieren oder anpassen, die False Positives verursachen
- Erst nach Bereinigung auf IPS umstellen
Schritt 5: Auf IPS umschalten
Nach der Testphase in den IPS-Modus wechseln:
- IPS Mode: „IPS” aktivieren
- Regeln, die blockieren sollen, auf „Drop” setzen (Standard: „Alert”)
- Zunächst nur kritische Kategorien auf Drop setzen, den Rest weiter als Alert
Performance-Tuning
Suricata kann erhebliche CPU-Ressourcen benötigen, besonders bei hohem Durchsatz.
Hardware-Dimensionierung
| Netzwerk-Durchsatz | Empfohlene CPU | RAM |
|---|---|---|
| Bis 100 Mbit/s | 2-Core (Intel i3/Celeron) | 4 GB |
| Bis 500 Mbit/s | 4-Core (Intel i5/Xeon E) | 8 GB |
| Bis 1 Gbit/s | 4–6-Core (Intel i5/Xeon) | 16 GB |
| Bis 10 Gbit/s | 8+ Core (Xeon/EPYC) | 32 GB |
Optimierungen
Hyperscan aktivieren: Der Pattern Matcher „Hyperscan” von Intel ist deutlich schneller als der Standard „Aho-Corasick”. Auf allen x86-Systemen verfügbar.
Nicht benötigte Regeln deaktivieren: Jede aktive Regel kostet CPU-Zeit. Regeln, die für das eigene Netzwerk irrelevant sind (z. B. VoIP-Regeln ohne VoIP-Infrastruktur), deaktivieren.
Home Networks korrekt definieren: Suricata prüft Traffic nur für definierte Home Networks. Korrekte Definition reduziert unnötige Analysen.
Flow-Memcap anpassen: Bei hohem Traffic kann das Standard-Memory-Limit für Flow-Tracking erhöht werden:
- Services → Intrusion Detection → Administration → Advanced
flow.memcapauf 128 MB oder 256 MB erhöhen (Standard: 64 MB)
Typische Erkennungen
Suricata erkennt unter anderem:
Netzwerk-Angriffe:
- Port-Scans (SYN-Scan, FIN-Scan, XMAS-Scan)
- Brute-Force-Versuche (SSH, RDP, FTP)
- DNS-Tunneling (Datenexfiltration über DNS)
- ARP-Spoofing und MITM-Versuche
Web-Angriffe:
- SQL-Injection (UNION-basiert, Blind SQLi)
- Cross-Site Scripting (XSS)
- Directory Traversal (../../../etc/passwd)
- Web-Shell-Uploads
Malware-Kommunikation:
- Command-and-Control-Traffic (bekannte C2-Domains und IPs)
- Ransomware-Beacons
- Exploit-Kit-Downloads
- Cryptominer-Traffic
Alert-Management
Alerts interpretieren
Jeder Alert enthält:
- Severity (1 = kritisch, 2 = hoch, 3 = mittel)
- Signatur-ID (SID) — Eindeutige Regel-Nummer
- Quell- und Ziel-IP
- Beschreibung — Was wurde erkannt
- Kategorie — Malware, Exploit, Policy etc.
Automatisierung
Suricata-Alerts können per Syslog an externe Systeme weitergeleitet werden:
- SIEM-Integration: Alerts an Graylog, Elasticsearch oder Splunk senden
- E-Mail-Benachrichtigung: OPNsense kann bei kritischen Alerts E-Mails versenden
- DATAZONE Control: Alerts zentral aggregieren und über alle Standorte korrelieren
IDS/IPS im Zusammenspiel mit Blocklisten
Suricata und IP-Blocklisten ergänzen sich:
- Blocklisten blockieren Traffic auf IP-Ebene — schnell, effizient, kein Deep Packet Inspection nötig
- Suricata analysiert den Inhalt erlaubter Verbindungen — erkennt Angriffe innerhalb legitimem Traffic
Beide zusammen bieten Defense-in-Depth: Blocklisten fangen bekannte Angreifer ab, Suricata erkennt neue oder unbekannte Angriffsvektoren.
Häufig gestellte Fragen
Verlangsamt Suricata meine Internetverbindung?
Im IDS-Modus: Nein — Suricata analysiert eine Kopie des Traffics. Im IPS-Modus: Minimal — der Traffic wird inline geprüft, die Latenz steigt typischerweise um <1 ms. Bei unterdimensionierter Hardware kann es bei Lastspitzen zu Engpässen kommen.
Wie viele False Positives muss ich erwarten?
Mit ET Open und einer sinnvollen Regelauswahl: 5–20 False Positives in der ersten Woche. Nach dem Tuning in der IDS-Phase: 0–2 pro Woche. Die Testphase ist entscheidend für einen sauberen IPS-Betrieb.
Kann Suricata verschlüsselten Traffic (HTTPS) analysieren?
Nicht direkt — verschlüsselter Traffic ist per Definition nicht lesbar. Suricata kann aber TLS-Metadaten analysieren (SNI, JA3-Fingerprints, Zertifikate). Für vollständige HTTPS-Inspektion müsste ein TLS-Proxy vorgeschaltet werden, was in der Praxis Datenschutz-Implikationen hat.
Ersetzt Suricata eine Firewall?
Nein. Suricata ist eine Ergänzung zum Paketfilter, kein Ersatz. Der Paketfilter definiert, welcher Traffic grundsätzlich erlaubt ist. Suricata prüft den erlaubten Traffic auf Angriffsmuster.
Sie möchten IDS/IPS auf Ihrer OPNsense-Firewall einrichten? Kontaktieren Sie uns — wir konfigurieren Suricata und tunen die Regeln für Ihr Netzwerk.
Mehr zu diesen Themen:
Weitere Artikel
Vaultwarden: Self-Hosted Passwort-Manager für Unternehmen
Vaultwarden als selbst gehosteten Passwort-Manager betreiben: Docker-Deployment, Reverse Proxy, SMTP, 2FA und Backup-Strategie — die vollständige Anleitung für Teams.
Fail2ban: Brute-Force-Schutz für Linux-Server automatisieren
Fail2ban installieren und konfigurieren: Log-Parsing, jail.local, Schutz für SSH, Nginx, Postfix und Dovecot, Whitelist, E-Mail-Alerts und Vergleich mit CrowdSec, sshguard und CSF.
TrueNAS Dataset-Verschlüsselung: ZFS Encryption im Einsatz
TrueNAS ZFS Encryption verstehen und richtig einsetzen: Dataset- vs. Pool-Verschlüsselung, Passphrase vs. Key-File, Key-Management und Performance-Impact durch AES-NI.