• Hallo,

    echt nette Informationsquelle hier für den R4S (gibt es ja leider nicht so viele)
    Ich habe auch einen R4S - wirklich nettes kleines Teil.

    Theoretisch müsste da Suricata drauf laufen können.
    Ich hatte in einem Forum mal einen Beitrag gesehen, dass es ein Docker Image mit Suricata gibt.

    Nur - OpenWrt Docker Plugin funktioniert wohl nicht auf dem ARM.
    OpenWrt selbst als Docker Image gibt es zwar, abe ich habe nur fertige Images gefunden, die dann auf chinesisch sind- kann das aber nicht lesen (aber lief immerhin). In dem Fall hatte ich Armbian als Docker Host verwendet.

    Ich fände es halt nett, wenn OpenWrt und Suricata als Docker laufen würden. Oder OpenWrt als Docker Host mit dem Docker package, was aber wohl nicht geht.

    Von der Bedienung her fände ich ja OPNSense noch fast schöner als OpenWrt. Aber da habe ich gar nix gefunden bezüglich Suricata auf ARM.

    Irgendeine Idee oder Erfahrung mit Suricata oder Docker auf dem R4S?

    Danke und Grüße


  • @fbi-student Willkommen im Forum.

    Zu deiner Frage kann ich nicht wirklich helfen. Ich bin froh, das OpenWrt ans Laufen bekommen zu haben. Läuft seitdem und filtert meinen ganzen Traffic.

    Docker, habe ich auch nur ein wenig Grundkenntnisse und nutze das für eine CheckMK Instanz. Das auf meinem Haupt-PC weil ich es auf einem ARM auch nicht zum Laufen bekam.

    Vielleicht hat jemand anderes mehr Informationen zum Thema. Und wenn Du was hinbekommen hast, ich und andere freuen sich über Erfahrungsberichte 😉


  • Ich hab es tatsächlich hinbekommen.
    Allerdings mit dem FriendlyWrt vom Hersteller (FriendlyElec).
    Das bringt Docker gleich mit.

    Dort habe ich dann folgendes Docker Image für Suricata (auf ARM) installiert:
    https://github.com/jasonish/docker-suricata

    Man muss nur die Aufrufe etwas ändern und dann läuft es sogar über iptables als IPS Firewall (anstatt nur als IDS).

    Vom Speed her bisher nichts gemerkt, dass es zu langsam ist (hängt an 100 Mbit Kabelaschluss).
    CPU und Memory des R4S wird auch nicht wirklich ausgelastet.

    Bei Interesse kann ich meine Skripte zeigen, die Start/Stop und Update von Suricata vereinfachen.

    Jetzt hab ich vermutlich umsonst den Intel Rechner für OPNSense und Suricata bestellt 🙂
    Die kleine Box scheint das auch zu schaffen.
    Muss nur noch mal testen, wie sich das beim Gaming verhält.


  • Also wenn man in Suricata viele RuleSets einbindet bricht die Leistung irgendwann dann doch ziemlich ein auf der kleinen Box.

    Ich hatte jetzt mal 4 Quellen für Suricata Rules angegeben und die Leistung beim Download brach von ca. 14 MB/Sek. auf ca. 5 MB/Sek. ein. Wobei ich dachte, dass Suricata auf der kleinen CPU noch schlechter läuft (man liest ja häufig von Intel Core i5 und schneller für Suricata)


  • @fbi-student Ich kenne Suricata nicht, habe nur mal eben reingelesen.

    Du meinst bei Download deinen Download wenn Suricata alles "mitliest" !?


  • @frankm Genau.
    Je mehr Regeln pro Paket geprüft werden müssen, desto langsamer wird es.
    Suricata arbeitet ja auf application layer (osi layer 7) und kann inhaltlich die Pakete einzeln prüfen.

    Es gibt halt einige sehr große Regelsets (z.B. von Abuse CH), die viele Malware URLs usw. prüfen.
    Das waren dann mal schnell einige tausend Regeln pro Paket. Irgendwann fehlt dann einfach die CPU Power.

    Das schöne ist halt, dass man das Paket bei IPS (Intrusion Prevention) schon direkt rauskicken kann, bevor es ins eigene Netz kommt.
    Damit kann man evtl. das Home-Office etwas sicherer machen. Für privat hätte ich sonst auch "nur" OpenWRT oder sogar nur die Fritzbox als "Firewall" genutzt.


  • @fbi-student Danke für die Infos. Ich hatte mich schon gewundert, wofür man als "privater" Anwender den Aufwand betreibt.