Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: skaalian on June 20, 2024, 08:10:51 PM

Title: [solved] Suricata IDS/ IPS erstellt keine Alerts
Post by: skaalian on June 20, 2024, 08:10:51 PM
Hallo zusammen,

leider erstellt Suricata IDS / IPS bei mir keine Alerts.
Ich habe ausschliesslich auf dem LAN Interface die Zenarmor aktiv und auf dem WAN Interface ausschliesslich Suricata IDS / IPS.

Zenarmor und Suricata koennen sich meiner Meinung nach eigentlich nicht stoeren, da diese ja auf unterschiedlichen Interfaces horchen. Laut Zenarmor ist die Konfiguration auch so empfohlen.

Habt ihr einen Rat, woran es liegen kann?

Vielen Dank.
Title: Re: Suricata IDS/ IPS erstellt keine Alerts
Post by: skaalian on June 20, 2024, 08:11:55 PM
Folgend noch die Einstellungen vom Alert.
Title: Re: Suricata IDS/ IPS erstellt keine Alerts
Post by: skaalian on June 21, 2024, 08:10:02 AM
Hat denn wirklich niemand eine Idee, woran das liegen kann? :-(

Ich habe schon alles mögliche versucht:
-> Regeln alle deaktiviert und wieder aktiviert
-> Dienst reinstalliert
-> Alert Einstellungen komplett entfernt und neu gesetzt
-> Schnittstelle rausgeworfen und neu definiert

Als ich Suricata noch auf dem LAN Interface definiert hatte, haben die Mitteilungen funktioniert.
Da ich dort aber nun Zenarmor habe, habe ich Suricata auf das WAN gelegt (ist ja so von Zenarmor empfohlen)

Alles ohne Erfolg.

Vielleicht kann mir ja jemand helfen!? Danke!
Title: Re: Suricata IDS/ IPS erstellt keine Alerts
Post by: Patrick M. Hausen on June 21, 2024, 08:39:10 AM
Hast du PPPoE WAN? Wenn ich mich recht erinnere, funktioniert das schlicht nicht.
Title: Re: Suricata IDS/ IPS erstellt keine Alerts
Post by: skaalian on June 21, 2024, 09:18:27 AM
Quote from: Patrick M. Hausen on June 21, 2024, 08:39:10 AM
Hast du PPPoE WAN? Wenn ich mich recht erinnere, funktioniert das schlicht nicht.

Ja, ich habe die opnsense mit dem WAN Interface direkt am Vigor hängen und betreibe somit das WAN auch per PPPoE.
Ok, schade :-(...

Das würde aber doch bedeuten, dass ich auf Suricata IDS / IPS komplett verzichten müsste, da ich Zenarmor bereits auf dem LAN Interface horchen habe. Korrekt?
Title: Re: Suricata IDS/ IPS erstellt keine Alerts
Post by: chemlud on June 21, 2024, 09:23:54 AM
IPS auf WAN (wenn man nicht gerade jede Menge Ports/Services nach aussen öffnet) -> Eine Menge Noise (ALARM!) ohne Mehrwert, da das meiste über die (fehlenden) WAN-Rules sowieso nie dein Netzwerk erreicht.
Title: [solved] Re: Suricata IDS/ IPS erstellt keine Alerts
Post by: skaalian on June 21, 2024, 11:43:22 AM
Quote from: chemlud on June 21, 2024, 09:23:54 AM
IPS auf WAN (wenn man nicht gerade jede Menge Ports/Services nach aussen öffnet) -> Eine Menge Noise (ALARM!) ohne Mehrwert, da das meiste über die (fehlenden) WAN-Rules sowieso nie dein Netzwerk erreicht.

Ich habe nach außen hin gar nichts offen. Dann werde ich Suricata für den Port ebenfalls deaktivieren.
Vielen Dank.
Text only | Text with Images