En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Custom suricata rules in AWS Network Firewall for AWS services and NTP traffic

0

Hello, how would I write a suricata rule for allowing all traffic going to AWS services?

I'd also like to know how to block all traffic going to port 123 except for NTP.

Thanks!

Sujets
Sécurité, identité et conformité
Balises
Pare-feu réseau AWS
Langue
English
Randall
demandé il y a 5 mois307 vues
1 réponse
0
Réponse acceptée

Hello!

For the first rule it would look like this:

pass tls any any -> any any (tls.sni; dotprefix; content:".amazonaws.com"; nocase; endswith; flow:to_server, established; sid:123456)

The "dotprefix" option will let you pass all traffic going to subdomains of .amazonaws.com

The sid is just a random number, we recommend at least 6 unique digits for every rule to make it easier when you're searching logs.

For the second rule you would want something like this:

drop udp any any -> any 123 (flow:established; app-layer-protocol:!ntp; sid:123456;)

profile pictureAWS
EXPERT
lmessier
répondu il y a 5 mois
profile picture
EXPERT
MaxCloud
vérifié il y a 5 mois
profile picture
EXPERT
Riku_Kobayashi
vérifié il y a 5 mois

Vous n'êtes pas connecté. Se connecter pour publier une réponse.

Une bonne réponse répond clairement à la question, contient des commentaires constructifs et encourage le développement professionnel de la personne qui pose la question.

Instructions pour répondre aux questions

Contenus pertinents