SSL/TLS-Keywords
Mehrere Regel-Keywords, die Vergleiche mit verschiedenen Eigenschaften des TLS/SSL-Handshake durchführen. Alle unterstützen Felder sind Sticky Buffer und können mit fast_pattern
verwendet werden.
tls.cert_subject
Trifft das Betrefffeld des TLS/SSL-Zertifikats.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls subject field"; \
tls.cert_subject; content:"Test Certificate ECDSA"; sid:1; rev:1;)
cognitix Threat Defender unterstützt auch das veraltete Keyword tls_cert_subject
, allerdings sollte es nicht mehr verwendet werden.
tls.cert_issuer
Trifft das Ausstellerfeld des TLS/SSL-Zertifikats.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls issuer field"; \
tls.cert_issuer; content:"Let's Encrypt"; sid:2; rev:1;)
cognitix Threat Defender unterstützt auch das veraltete Keyword tls_cert_issuer
, allerdings sollte es nicht mehr verwendet werden.
tls.cert_fingerprint
Trifft den Fingerprint des TLS/SSL-Zertifikats. Dieser Fingerprint ist eine SHA1-Prüfsumme, die über das komplette Zertifikat berechnet ist.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls fingerprint"; \
tls.cert_fingerprint; \
content:"54:4c:7e:23:4d:df:84:5f:75:39:42:45:5e:5f:1a:42:75:80:b3:d3"; \
sid:2; rev:1;)
tls.cert_fingerprint
kann nur mit einem negierbaren content
-Feld verwendet werden. Dieses content
-Feld muss eine Prüfsumme darstellen, die aus 20 zweistelligen Gruppen besteht, die durch Doppelpunkt (:
) getrennt sind.
cognitix Threat Defender unterstützt auch das veraltete Keyword tls_cert_fingerprint
, allerdings sollte es nicht mehr verwendet werden.
tls.fingerprint
Trifft den Fingerprint des TLS/SSL-Zertifikats. Dieser Fingerprint ist eine SHA1-Prüfsumme, die über das komplette Zertifikat berechnet ist.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls fingerprint"; \
tls.fingerprint:"54:4c:7e:23:4d:df:84:5f:75:39:42:45:5e:5f:1a:42:75:80:b3:d3"; \
sid:3; rev:1;)
Dieses tls.fingerpint
-Feld muss eine Prüfsumme darstellen, die aus 20 zweistelligen Gruppen besteht, die durch Doppelpunkt (:
) getrennt sind. Dieses Feld kann negiert werden.
tls.sni
Trifft das Namensfeld des TLS/SSL-Servers.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in tls sni field"; \
tls.sni; content:"example.org"; sid:3; rev:1;)
cognitix Threat Defender unterstützt auch das veraltete Keyword tls_sni
, allerdings sollte es nicht mehr verwendet werden.
tls.certs
Führt einen „raw“-Vergleich mit jedem Zertifikat in der TLS-Zertifikatskette durch.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching Algorithm Id sha256WithRSAEncryption"; \
tls.certs; content:"|2a 86 48 86 f7 0d 01 01 0b|"; sid:4; rev:1;)
tls.cert_serial
Trifft das Seriennummernfeld des TLS/SSL-Zertifikats.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching on certificate serial number"; \
tls.cert_serial; content:"7A:8C:A6:5F:B1:AA:FC:8A:8F:96:D4:BA"; sid:5; rev:1;)
Dieses Feld muss eine Reihe Bytes darstellen, die aus zweistelligen Gruppen besteht, die durch Doppelpunkt (:
) getrennt sind.
cognitix Threat Defender unterstützt auch das veraltete Keyword tls_cert_serial
, allerdings sollte es nicht mehr verwendet werden.