Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

Custom suricata rules in AWS Network Firewall for AWS services and NTP traffic

0

Hello, how would I write a suricata rule for allowing all traffic going to AWS services?

I'd also like to know how to block all traffic going to port 123 except for NTP.

Thanks!

Temas
Seguridad, identidad y cumplimiento
Etiquetas
AWS Network Firewall
Idioma
English
Randall
preguntada hace 4 meses306 visualizaciones
1 Respuesta
0
Respuesta aceptada

Hello!

For the first rule it would look like this:

pass tls any any -> any any (tls.sni; dotprefix; content:".amazonaws.com"; nocase; endswith; flow:to_server, established; sid:123456)

The "dotprefix" option will let you pass all traffic going to subdomains of .amazonaws.com

The sid is just a random number, we recommend at least 6 unique digits for every rule to make it easier when you're searching logs.

For the second rule you would want something like this:

drop udp any any -> any 123 (flow:established; app-layer-protocol:!ntp; sid:123456;)

profile pictureAWS
EXPERTO
lmessier
respondido hace 4 meses
profile picture
EXPERTO
MaxCloud
revisado hace 4 meses
profile picture
EXPERTO
Riku_Kobayashi
revisado hace 4 meses

No has iniciado sesión. Iniciar sesión para publicar una respuesta.

Una buena respuesta responde claramente a la pregunta, proporciona comentarios constructivos y fomenta el crecimiento profesional en la persona que hace la pregunta.

Pautas para responder preguntas

Contenido relevante