Sehr geehrtes OPnsense-Team,
ich möchte einen dringenden Praxiswunsch äußern, der sich aus dem täglichen Einsatz von Suricata (z. B. in Kombination mit OPNsense) ergibt:
Die aktuelle Regelverwaltung ist für Administratoren im Alltag kaum praktikabel.
Aktuelle Herausforderungen:
Die Oberfläche zeigt lediglich SID-Nummern oder kryptische Regeltexte.
Es fehlen Klartextbeschreibungen, Angaben zu betroffenen Systemen, Schweregrad oder Aktualität.
Veraltete Regeln sind nicht erkennbar – es gibt keinerlei Hinweise.
Es ist nicht möglich, nach aktuellen Bedrohungen oder CVEs zu filtern oder zu priorisieren.
Ein Beispiel aus meiner Installation (Kategorie "exploit") zeigt das Problem deutlich:
2000048 ET EXPLOIT CVS server heap overflow attempt (target Linux)
2003378 ET EXPLOIT Mobile Backup Service Stack Overflow
2010375 ET EXPLOIT Oracle ctxsys.drvxtabc.create_tables SQL Injection
Ob diese Regeln kritisch, veraltet oder überhaupt relevant für mein Netzwerk sind, bleibt völlig unklar – selbst für erfahrene Nutzer ist das ohne externe Recherche unbrauchbar.
Mein Vorschlag:
Bitte gestalten Sie die Regelverwaltung benutzerfreundlich – nach dem Vorbild von Zenarmor, wo Regeln intuitiv über eine übersichtliche Oberfläche aktiviert/deaktiviert werden können – per einfachem Klick.
Konkret wünsche ich mir:
Klartextbeschreibung (msg) direkt sichtbar
Verlinkung zu relevanten CVEs / Exploit-DB / MITRE
Veröffentlichungsdatum und Aktualität der Regel
Einstufung nach Schweregrad (High / Medium / Low)
Angabe betroffener Systeme (Windows, Linux, Netzwerk etc.)
Sortier- und Filtermöglichkeiten (z. B. ,,nur aktuelle Exploits anzeigen")
Ziel:
Ein Administrator sollte auf einen Blick erkennen können:
Was wird blockiert?
Wie gefährlich ist die Regel?
Betrifft sie mein Netzwerk?
Ist sie veraltet oder noch relevant?
Suricata ist technisch hervorragend – aber die Benutzeroberfläche ist aktuell ein großer Schwachpunkt.
Ich hoffe sehr, dass Sie hier nachbessern und die Regelverwaltung so intuitiv gestalten wie Zenarmor.
Vielen Dank für Ihre wertvolle Arbeit an Suricata!
Mit freundlichen Grüßen
Kein schlechter Vorschlag.
Mache doch dazu am besten ein Feature Request auf Github, da ist das denke ich am besten aufgehoben.
Ich würde mich ja an den Hersteller von Suricata wenden. Dieser ist nicht Deciso/OPNsense. Suricata ist ein 3rd Party Produkt.
Quote from: Patrick M. Hausen on July 14, 2025, 08:37:10 PMIch würde mich ja an den Hersteller von Suricata wenden. Dieser ist nicht Deciso/OPNsense. Suricata ist ein 3rd Party Produkt.
Vielen Dank für den Hinweis.
Ich habe mich bereits direkt an die OISF (Suricata-Entwickler) gewendet. Dort wurde mir mitgeteilt, dass ich mich in diesem konkreten Fall an das OPNsense-Team wenden soll, da es um die Integration und Darstellung der Regeln innerhalb der OPNsense-Oberfläche geht – also um etwas, das von OPNsense selbst umgesetzt wird.
Daher richte ich meine Anfrage bewusst an Sie, in der Hoffnung, dass Sie die Benutzerfreundlichkeit der Regelverwaltung künftig verbessern können.
Wenn das im Fall dieses Plugins so ist, wäre der beste Platz dafür aber tatsächlich ein Issue auf Github.