Hallo Forum!
Zunächst möchte mich wieder einmal für die grandiose Arbeit der Entwickler bedanken! Der Umstieg auf OPNsense 26.1.1 gelang problemlos, wie auch die Umstellung auf die neuen Regeln.
Auch beim Forum möchte ich mich für die vielen interessanten und lehrreichen Beiträge bedanken.
Ich nutze Crowdsec, q-feeds und suricata (netmap, Überwachung auf den LAN Schnittstellen) und bin mir nicht sicher, ob all diese Tools sich sinnvoll ergänzen oder, ob es im Bestreben eine höhere Sicherheit in meinem Netzwerk zu gewährleisten z.B. durch Überschneidungen zu nachteiligen Effekten führen kann. Vielleicht macht es ein Tool überflüssig.
Jetzt mit OPNsense Version 26.1.1 gibt es noch die Möglichkeit suricata auf ,,divert-to" umzustellen. Macht das Sinn, wenn netmap stabil läuft auch in Hinblick auf die Zukunft?
Wo sollte eine entsprechende Regel sinnvollerweise platziert werden, welche Schnittstelle, vor q-feeds oder danach?
Ich verwende suricata im netmap modus (ist am einfachsten), qfeeds as IP Blockliste, und Unbound mit DNS Blockliste.
Die Kombination reicht völlig für den ganzen Kleinkram, wenn man nichts hostet. Wenn man was hosted kann Crowdsec auch noch hilfreich sein wenn man die logs von Webservern damit crawled, außerdem eine Web Application Firewall mit OWASP Top 10 support.
Ansonsten ist auch eine Endpoint protection auf Geräten selber wichtig, ein Virus kommt meistens über eine verschlüsselte Verbindung, und die kann nichts auf der Firewall blockieren (wenn die IP, DNS name etc schon erlaubt wurden). Bei Windows etc ist das ja schon eingebaut.
Das Konzept wird glaube ich Layered Security bezeichnet, ob man jetzt einen Layer mehr oder weniger hat kommt drauf an was man erfüllen will. Man kann es auch übertreiben, weil am Ende ist es eh der Email Anhang der verschlüsselten Email (Transportverschlüsselung durch SMTPS oder IMAPS z.b.) oder social engineering xD
Vielen Dank!