Messages

1

German - Deutsch / [solved] Re: Suricata IDS/ IPS erstellt keine Alerts

« on: June 21, 2024, 11:43:22 am »

IPS auf WAN (wenn man nicht gerade jede Menge Ports/Services nach aussen öffnet) -> Eine Menge Noise (ALARM!) ohne Mehrwert, da das meiste über die (fehlenden) WAN-Rules sowieso nie dein Netzwerk erreicht.

Ich habe nach außen hin gar nichts offen. Dann werde ich Suricata für den Port ebenfalls deaktivieren.
Vielen Dank.

2

German - Deutsch / Re: Suricata IDS/ IPS erstellt keine Alerts

« on: June 21, 2024, 09:18:27 am »

Hast du PPPoE WAN? Wenn ich mich recht erinnere, funktioniert das schlicht nicht.

Ja, ich habe die opnsense mit dem WAN Interface direkt am Vigor hängen und betreibe somit das WAN auch per PPPoE.
Ok, schade :-(...

Das würde aber doch bedeuten, dass ich auf Suricata IDS / IPS komplett verzichten müsste, da ich Zenarmor bereits auf dem LAN Interface horchen habe. Korrekt?

3

German - Deutsch / Re: Suricata IDS/ IPS erstellt keine Alerts

« on: June 21, 2024, 08:10:02 am »

Hat denn wirklich niemand eine Idee, woran das liegen kann? :-(

Ich habe schon alles mögliche versucht:
-> Regeln alle deaktiviert und wieder aktiviert
-> Dienst reinstalliert
-> Alert Einstellungen komplett entfernt und neu gesetzt
-> Schnittstelle rausgeworfen und neu definiert

Als ich Suricata noch auf dem LAN Interface definiert hatte, haben die Mitteilungen funktioniert.
Da ich dort aber nun Zenarmor habe, habe ich Suricata auf das WAN gelegt (ist ja so von Zenarmor empfohlen)

Alles ohne Erfolg.

Vielleicht kann mir ja jemand helfen!? Danke!

4

German - Deutsch / Re: OPNSense - Fritzbox - VOIP Telekom (Pistole auf der Brust)

« on: June 20, 2024, 08:38:20 pm »

Moin,

ich bin auch bei der Telekom und habe auch die Konstellation Vigor 167 -> opnsense -> fritzbox (Client für VoIP).
Ich habe unter Outbound die Regel aktiviert, die ich als Screenshot angehangen habe.
Zudem habe ich unter LAN folgende UDP Ports für die Fritzbox freigegeben:
3478, 3479, 5060, 7070:7089, 5061

Die Fritzbox habe ich wie folgt konfiguriert (siehe Anhang).
Seitdem habe ich keinerlei Probleme mehr und es funktioniert einwandfrei.

5

German - Deutsch / Re: Suricata IDS/ IPS erstellt keine Alerts

« on: June 20, 2024, 08:11:55 pm »

Folgend noch die Einstellungen vom Alert.

6

German - Deutsch / [solved] Suricata IDS/ IPS erstellt keine Alerts

« on: June 20, 2024, 08:10:51 pm »

Hallo zusammen,

leider erstellt Suricata IDS / IPS bei mir keine Alerts.
Ich habe ausschliesslich auf dem LAN Interface die Zenarmor aktiv und auf dem WAN Interface ausschliesslich Suricata IDS / IPS.

Zenarmor und Suricata koennen sich meiner Meinung nach eigentlich nicht stoeren, da diese ja auf unterschiedlichen Interfaces horchen. Laut Zenarmor ist die Konfiguration auch so empfohlen.

Habt ihr einen Rat, woran es liegen kann?

Vielen Dank.

7

German - Deutsch / -

« on: June 11, 2024, 11:34:10 pm »

-

8

German - Deutsch / Re: Liveansicht zeigt lokale Clients IMMER als Quelle an / keinen externen Verkehr

« on: September 17, 2023, 10:33:14 pm »

Okay, werde ich mal einmal ansehen. Vielen Dank nochmals und noch einen schönen Abend :-)

LG

9

German - Deutsch / Re: Liveansicht zeigt lokale Clients IMMER als Quelle an / keinen externen Verkehr

« on: September 17, 2023, 09:03:37 pm »

Hallo Patrick,

zunächst vielen Dank für deine Antwort!

Das würde also zugleich bedeuten, dass ich auf meinem Server beispielsweise mit termshark mitsniffen müsste, wenn ich Verbindungen analysieren will? Weil ich sehe ja dann per default bei der Sense nicht, ob eingehend oder ausgehend etwas geblockt ist. Oder habe ich dich falsch verstanden?

Besten Dank!

10

German - Deutsch / [gelöst] Liveansicht zeigt lokale Clients IMMER als Quelle an

« on: September 17, 2023, 08:47:50 pm »

Hallo zusammen,

ich bekomme leider in meiner Firewall Livelog Anzeige der opensense keine einkommenden Datenpakete für meine Clients angezeigt. Es werden lediglich ausgehende Pakete angezeigt. Filter habe ich dazu keine aktiv. Ich habe inzwischen sogar mal alles freigeschaltet. Trotzdem sehe ich keine ankommenden Pakete. Zudem steht bei Quelle grundsätzlich die LAN IP. Ich habe dazu ein Bild (Name Protokoll) angehangen. Ich habe meinen Netzplan auch einmal angehangen.

Die opensense, sowie der DNS-Server adguard, sind beide auf einer gemeinsamen Proxmox Basis installiert.
Ich habe ansonsten im Internet keinerlei Probleme. Sämtliche Verbindungen passen. Die Fritzbox dient zur Einwahl ins Internet und für meine Telefone.

Vielleicht könnt ihr mir ja sagen, wo das Haare in der Suppe ist. Ich finde es aktuell nicht. IPV6 nutze ich nicht.
Habe ich vielleicht etwas falsch konfiguriert? Ich habe vorher nie eine opensense installiert und es ist somit die erste für mich.

Folgend die benötigen Bilder:
Netzplan: https://www.directupload.net/file/d/7042/n2mlbzq9_jpg.htm
Protokoll: https://www.directupload.net/file/d/7042/743npj4j_jpg.htm
Konfiguration Schnittstelle LAN: https://www.directupload.net/file/d/7042/rgz296ce_jpg.htm
Konfiguration Schnittstelle WAN:https://www.directupload.net/file/d/7042/8l5iwrl3_jpg.htm
DHCP IPv4 Konfiguration für LAN: https://www.directupload.net/file/d/7042/czhiqjmx_jpg.htm
DHCP IPv4 Konfiguration für WAN: https://www.directupload.net/file/d/7042/ljm9wbw9_jpg.htm
Regeln für LAN: https://www.directupload.net/file/d/7042/wno9yeg2_jpg.htm
Regeln für WAN: https://www.directupload.net/file/d/7042/3k86c45s_jpg.htm


Vielen Dank!

LG