OPNsense Forum

International Forums => German - Deutsch => Topic started by: WingCommander on October 19, 2021, 02:54:33 pm

Title: IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
Post by: WingCommander on October 19, 2021, 02:54:33 pm

Hallo zusammen

Ich habe eine OPNSense in Cloudumgebung und dahinterliegen Fernwartungsystemen (SSH-Proxy, Monitoring, etc). Diese möchte ich mithilfe von Regelwerken und IDS so weit wie irgendwie möglich abdichten.
In der Praxis bedeutet das, das diese im Zweifel nach einem Update lieber Overblocken, als undicht werden sollen.
Patchmanagement, Portregeln etc. sind soweit entsprechend Konfiguriert, nur das IDS-System, insbesondere das neue Policymenü verwirrt mich "ein wenig", da ich nicht ganz genau erkenne was eine Wildcard Einstellung, ist was manuell ausgewählt werden muss, und was einfach auf default gelassen werden kann.

BSP.: IDS>Policy>Details>CVE ... muss ich da alles auswählen damit die auch berücksichtigt werden, oder ist hier "nichts ausgewählt" = Alle
gleiches für first_seen, malware_family etc...

Bei affected_product und attack_target gibt es die Option ANY, die hier für mich die Idealoption ist, da ich mich hier darauf verlassen kann, das diese auch nach einem Update kraftvoll zubeißen sollte... Hoffe ich.. 0.o

Aus den Anleitung im Netz konnte ich das nicht so wirklich rauslesen, weil die entweder für das alte System waren, oder da nicht weiter drauf eingegangen sind. Im Forum habe ich jetzt auch nur primär Meinungsaustausch über Performancegeschichten gefunden, was jetzt zwar nicht zu vernachlässig ist, aber bei diesem Projekt zum. für uns nur die zweite Geige spielt.

Für Informationen, Rat, Links, Videos die mich in dem Untermodul erhellen wäre ich äußerst dankbar.

Herzliche Grüße

Thomas :)

   

Title: Re: IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
Post by: abulafia on October 20, 2021, 12:40:50 pm

Für IDS brauchst Du keine einzige Policy. Du musst die gewünschten Rules "enable"n und dann "Download"en. Danach gelten die automatisch (so wie halt von Emerging Threats, snort o.ä. eingestellt).

Für IPS brauchst Du ggfs. Policies, um Regeln von alert zu drop umzustellen.

Generell wären IP blocklists in der Firewall performanter und wichtiger als IDS/IPS. Also dshield, Spamhaus drop/edrop, botcc
 Etc pp nicht über IDS/IPS tracken sondern direkt durch die Firewall blocken lassen.

Title: Re: IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
Post by: WingCommander on October 27, 2021, 05:01:08 pm

Hallo abulafia

Dank dir schonmal für die Antwort

Geoblock und Firehol  habe ich bereits eingepflegt, werde mir aber auf jeden Fall die anderen Listen mal anschauen.

@IPS:
UPS habe natürlich IPS gemeint... Zuschauen und ALARM schreien kann ich selber  ;) .
Aber wenn ich das richtig verstehe ist scheinbar Suricata dann doch nicht so das gelbe vom Ei.
na ok werde mal das weiter beobachten.

schonmal Danke