OPNsense Forum

International Forums => German - Deutsch => Topic started by: lfirewall1243 on April 07, 2022, 08:37:29 am

Title: IDS/IPS Blockieren greift nicht
Post by: lfirewall1243 on April 07, 2022, 08:37:29 am

Hallo zusammen,

ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.

Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der  Aktion "allowed" auf.

Habe ich da noch was übersehen?

Danke euch

Title: Re: IDS/IPS Blockieren greift nicht
Post by: bimbar on April 07, 2022, 10:23:27 am

In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.

Title: Re: IDS/IPS Blockieren greift nicht
Post by: lfirewall1243 on April 07, 2022, 11:29:56 am

Quote from: bimbar on April 07, 2022, 10:23:27 am

In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.

Danke dir.

Also reicht es nicht die jeweilige Regel im Alert Tab auf "Drop" zu stellen.
Man muss zusätzlich noch eine vorher greifende Policy anlegen.

Werde ich mal testen

Title: Re: IDS/IPS Blockieren greift nicht
Post by: lfirewall1243 on April 07, 2022, 11:35:47 am

So wie ich das sehe kann ich damit aber nur die gesamte Suricata Rule von Alert auf Drop setzen?

Beispielsweise soll folgende ET-SCAN Rule blockiert werden, die anderen ET Scan Rules weiterhin auf Alert
ET SCAN Mirai Variant User-Agent (Inbound)