Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Custom suricata rules in AWS Network Firewall for AWS services and NTP traffic

0

Hello, how would I write a suricata rule for allowing all traffic going to AWS services?

I'd also like to know how to block all traffic going to port 123 except for NTP.

Thanks!

Argomenti
Sicurezza, identità e conformità
Tag
Firewall di rete AWS
Lingua
English
Randall
posta 5 mesi fa307 visualizzazioni
1 Risposta
0
Risposta accettata

Hello!

For the first rule it would look like this:

pass tls any any -> any any (tls.sni; dotprefix; content:".amazonaws.com"; nocase; endswith; flow:to_server, established; sid:123456)

The "dotprefix" option will let you pass all traffic going to subdomains of .amazonaws.com

The sid is just a random number, we recommend at least 6 unique digits for every rule to make it easier when you're searching logs.

For the second rule you would want something like this:

drop udp any any -> any 123 (flow:established; app-layer-protocol:!ntp; sid:123456;)

profile pictureAWS
ESPERTO
lmessier
con risposta 5 mesi fa
profile picture
ESPERTO
MaxCloud
verificato 4 mesi fa
profile picture
ESPERTO
Riku_Kobayashi
verificato 5 mesi fa

Accesso non effettuato. Accedi per postare una risposta.

Una buona risposta soddisfa chiaramente la domanda, fornisce un feedback costruttivo e incoraggia la crescita professionale del richiedente.

Linee guida per rispondere alle domande

Contenuto pertinente