Messages

Ich würde mich ja an den Hersteller von Suricata wenden. Dieser ist nicht Deciso/OPNsense. Suricata ist ein 3rd Party Produkt.

Vielen Dank für den Hinweis.

Ich habe mich bereits direkt an die OISF (Suricata-Entwickler) gewendet. Dort wurde mir mitgeteilt, dass ich mich in diesem konkreten Fall an das OPNsense-Team wenden soll, da es um die Integration und Darstellung der Regeln innerhalb der OPNsense-Oberfläche geht – also um etwas, das von OPNsense selbst umgesetzt wird.

Daher richte ich meine Anfrage bewusst an Sie, in der Hoffnung, dass Sie die Benutzerfreundlichkeit der Regelverwaltung künftig verbessern können.

Sehr geehrtes OPnsense-Team,

ich möchte einen dringenden Praxiswunsch äußern, der sich aus dem täglichen Einsatz von Suricata (z. B. in Kombination mit OPNsense) ergibt:
Die aktuelle Regelverwaltung ist für Administratoren im Alltag kaum praktikabel.

Aktuelle Herausforderungen:
Die Oberfläche zeigt lediglich SID-Nummern oder kryptische Regeltexte.

Es fehlen Klartextbeschreibungen, Angaben zu betroffenen Systemen, Schweregrad oder Aktualität.

Veraltete Regeln sind nicht erkennbar – es gibt keinerlei Hinweise.

Es ist nicht möglich, nach aktuellen Bedrohungen oder CVEs zu filtern oder zu priorisieren.

Ein Beispiel aus meiner Installation (Kategorie "exploit") zeigt das Problem deutlich:


2000048    ET EXPLOIT CVS server heap overflow attempt (target Linux) 
2003378    ET EXPLOIT Mobile Backup Service Stack Overflow 
2010375    ET EXPLOIT Oracle ctxsys.drvxtabc.create_tables SQL Injection 

Ob diese Regeln kritisch, veraltet oder überhaupt relevant für mein Netzwerk sind, bleibt völlig unklar – selbst für erfahrene Nutzer ist das ohne externe Recherche unbrauchbar.

Mein Vorschlag:
Bitte gestalten Sie die Regelverwaltung benutzerfreundlich – nach dem Vorbild von Zenarmor, wo Regeln intuitiv über eine übersichtliche Oberfläche aktiviert/deaktiviert werden können – per einfachem Klick.

Konkret wünsche ich mir:

Klartextbeschreibung (msg) direkt sichtbar

Verlinkung zu relevanten CVEs / Exploit-DB / MITRE

Veröffentlichungsdatum und Aktualität der Regel

Einstufung nach Schweregrad (High / Medium / Low)

Angabe betroffener Systeme (Windows, Linux, Netzwerk etc.)

Sortier- und Filtermöglichkeiten (z. B. ,,nur aktuelle Exploits anzeigen")

Ziel:
Ein Administrator sollte auf einen Blick erkennen können:

Was wird blockiert?

Wie gefährlich ist die Regel?

Betrifft sie mein Netzwerk?

Ist sie veraltet oder noch relevant?

Suricata ist technisch hervorragend – aber die Benutzeroberfläche ist aktuell ein großer Schwachpunkt.
Ich hoffe sehr, dass Sie hier nachbessern und die Regelverwaltung so intuitiv gestalten wie Zenarmor.

Vielen Dank für Ihre wertvolle Arbeit an Suricata!

Mit freundlichen Grüßen

Neben der Vergrößerung gibt es auch noch die Möglichkeit, das dynamisch abzufragen, z.B. mittels DNSBL - dann sind die Daten ggf. auch aktueller.

Welche Liste benutzt Du denn?

firehol_anonymous da sind 1,3mio IP drin. Danke für dem Tipp

Hallo zusammen,

ich nutze in OPNsense eine IP-Blockliste, die aktuell über 1,3 Millionen IP-Adressen enthält. Seit Kurzem erhalte ich jedoch eine Meldung, dass maximal nur 1 Million IPs gespeichert werden dürfen.

Meine Fragen dazu:

Gibt es wirklich ein festes Limit von 1 Million IPs in einer Blockliste?

Falls ja, gibt es eine Möglichkeit, dieses Limit zu erhöhen?

Oder gibt es eine bessere Methode, große IP-Listen in OPNsense zu verwalten?

Gibt es bekannte Workarounds oder alternative Ansätze (z.B. mehrere Listen, IP-Range-Kürzungen etc.)?

Vielen Dank für eure Hilfe!

Beste Grüße