Messages

Hallo abulafia

Dank dir schonmal für die Antwort

Geoblock und Firehol  habe ich bereits eingepflegt, werde mir aber auf jeden Fall die anderen Listen mal anschauen.

@IPS:
UPS habe natürlich IPS gemeint... Zuschauen und ALARM schreien kann ich selber  ;) .
Aber wenn ich das richtig verstehe ist scheinbar Suricata dann doch nicht so das gelbe vom Ei.
na ok werde mal das weiter beobachten.

schonmal Danke

Hallo zusammen

Ich habe eine OPNSense in Cloudumgebung und dahinterliegen Fernwartungsystemen (SSH-Proxy, Monitoring, etc). Diese möchte ich mithilfe von Regelwerken und IDS so weit wie irgendwie möglich abdichten.
In der Praxis bedeutet das, das diese im Zweifel nach einem Update lieber Overblocken, als undicht werden sollen.
Patchmanagement, Portregeln etc. sind soweit entsprechend Konfiguriert, nur das IDS-System, insbesondere das neue Policymenü verwirrt mich "ein wenig", da ich nicht ganz genau erkenne was eine Wildcard Einstellung, ist was manuell ausgewählt werden muss, und was einfach auf default gelassen werden kann.

BSP.: IDS>Policy>Details>CVE ... muss ich da alles auswählen damit die auch berücksichtigt werden, oder ist hier "nichts ausgewählt" = Alle
gleiches für first_seen, malware_family etc...

Bei affected_product und attack_target gibt es die Option ANY, die hier für mich die Idealoption ist, da ich mich hier darauf verlassen kann, das diese auch nach einem Update kraftvoll zubeißen sollte... Hoffe ich.. 0.o

Aus den Anleitung im Netz konnte ich das nicht so wirklich rauslesen, weil die entweder für das alte System waren, oder da nicht weiter drauf eingegangen sind. Im Forum habe ich jetzt auch nur primär Meinungsaustausch über Performancegeschichten gefunden, was jetzt zwar nicht zu vernachlässig ist, aber bei diesem Projekt zum. für uns nur die zweite Geige spielt.

Für Informationen, Rat, Links, Videos die mich in dem Untermodul erhellen wäre ich äußerst dankbar.

Herzliche Grüße

Thomas :)