Messages

Titel: Suricata blockiert trotz Drop-Policy nicht – Alarmmeldung zeigt ,,allowed" (OPNsense 27.7)

Beitrag:

Hallo zusammen,

ich habe ein Problem mit Suricata unter OPNsense 27.7, das ich nicht nachvollziehen kann.

Folgendes ist eingerichtet:

IDS/IPS ist aktiviert

Die richtige Netzwerkschnittstelle ist ausgewählt

Die Suricata-Policy ist gesetzt.

Die Standardaktion ist ,,Alert"

Ich habe bei mehreren Regeln die Aktion manuell auf ,,Verwerfen (Drop)" gestellt

Die Regeln sind aktiv

Außerdem habe ich folgende Regelwerke aktiviert (siehe Screenshot):

botcc.portgrouped.rules

botcc.rules

ciarmy.rules

compromised.rules

drop.rules

emerging-* (mehrere)


Trotz dieser Einstellungen zeigt Suricata bei einem auslösenden Ereignis nur einen Alert an – aber keine Blockierung. In den Logs unter Protokolle → Suricata → Alerts steht nur allowed. Die Verbindung wird also nicht unterbrochen.

Meine Fragen:

Warum greift die Drop-Regel nicht, obwohl sie aktiv und richtig gesetzt ist?

Muss man zusätzlich noch etwas global aktivieren, damit ,,Drop" überhaupt angewendet wird?

Funktionieren Drops nur auf bestimmten Schnittstellen (z. B. nur WAN oder nur intern)?

Gibt es irgendwo Logs oder eine Debug-Ansicht, die zeigt, ob Suricata versucht zu blockieren?

Ich wäre sehr dankbar für Hinweise oder eine kurze Erklärung, falls ich etwas übersehen habe.

Viele Grüße

💡 Verbesserungsvorschlag: Benutzerfreundlichere Oberfläche für Suricata-Regeln
Hallo zusammen,

ich arbeite aktuell viel mit dem Intrusion Detection System in OPNsense (Suricata) und finde die Verwaltung der Regeln über die sid-basierte Liste leider recht unübersichtlich – besonders wenn man viele Regeln prüfen, anpassen oder gruppieren möchte.

👉 Deshalb habe ich ein neues UI-Konzept entwickelt, das auf der bestehenden OPNsense-Oberfläche basiert, aber deutlich benutzerfreundlicher ist.

🔧 Ziel:
Kein Umgang mehr mit sid-Nummern

Regelverwaltung per Klick (Aktivieren/Deaktivieren über Schalter)

Übersichtliche Darstellung mit Kategorien, Quellen und Beschreibung

Filter & Gruppierung direkt im Interface

Konform mit dem bestehenden UI-Stil von OPNsense

📷 Vorschau (Mockup):


🧠 Features des Vorschlags:
Schieberegler zum schnellen Aktivieren/Deaktivieren von Regeln

Filter nach Kategorie, Quelle, Status (aktiv/inaktiv) etc.

Tooltips und Spalte "Beschreibung" für mehr Kontext zu jeder Regel

Gruppieren nach Regelquelle oder Klassentyp

Details-Button für mehr Infos und evtl. Notizen

💬 Was haltet ihr von dieser Idee?
Gibt es bereits Projekte/Plugins, die in diese Richtung gehen?
Würde es Sinn machen, sowas als Plugin oder offizielles Feature vorzuschlagen?

Ich freue mich auf euer Feedback!

Viele Grüße

Ich würde mich ja an den Hersteller von Suricata wenden. Dieser ist nicht Deciso/OPNsense. Suricata ist ein 3rd Party Produkt.

Vielen Dank für den Hinweis.

Ich habe mich bereits direkt an die OISF (Suricata-Entwickler) gewendet. Dort wurde mir mitgeteilt, dass ich mich in diesem konkreten Fall an das OPNsense-Team wenden soll, da es um die Integration und Darstellung der Regeln innerhalb der OPNsense-Oberfläche geht – also um etwas, das von OPNsense selbst umgesetzt wird.

Daher richte ich meine Anfrage bewusst an Sie, in der Hoffnung, dass Sie die Benutzerfreundlichkeit der Regelverwaltung künftig verbessern können.

Sehr geehrtes OPnsense-Team,

ich möchte einen dringenden Praxiswunsch äußern, der sich aus dem täglichen Einsatz von Suricata (z. B. in Kombination mit OPNsense) ergibt:
Die aktuelle Regelverwaltung ist für Administratoren im Alltag kaum praktikabel.

Aktuelle Herausforderungen:
Die Oberfläche zeigt lediglich SID-Nummern oder kryptische Regeltexte.

Es fehlen Klartextbeschreibungen, Angaben zu betroffenen Systemen, Schweregrad oder Aktualität.

Veraltete Regeln sind nicht erkennbar – es gibt keinerlei Hinweise.

Es ist nicht möglich, nach aktuellen Bedrohungen oder CVEs zu filtern oder zu priorisieren.

Ein Beispiel aus meiner Installation (Kategorie "exploit") zeigt das Problem deutlich:


2000048    ET EXPLOIT CVS server heap overflow attempt (target Linux) 
2003378    ET EXPLOIT Mobile Backup Service Stack Overflow 
2010375    ET EXPLOIT Oracle ctxsys.drvxtabc.create_tables SQL Injection 

Ob diese Regeln kritisch, veraltet oder überhaupt relevant für mein Netzwerk sind, bleibt völlig unklar – selbst für erfahrene Nutzer ist das ohne externe Recherche unbrauchbar.

Mein Vorschlag:
Bitte gestalten Sie die Regelverwaltung benutzerfreundlich – nach dem Vorbild von Zenarmor, wo Regeln intuitiv über eine übersichtliche Oberfläche aktiviert/deaktiviert werden können – per einfachem Klick.

Konkret wünsche ich mir:

Klartextbeschreibung (msg) direkt sichtbar

Verlinkung zu relevanten CVEs / Exploit-DB / MITRE

Veröffentlichungsdatum und Aktualität der Regel

Einstufung nach Schweregrad (High / Medium / Low)

Angabe betroffener Systeme (Windows, Linux, Netzwerk etc.)

Sortier- und Filtermöglichkeiten (z. B. ,,nur aktuelle Exploits anzeigen")

Ziel:
Ein Administrator sollte auf einen Blick erkennen können:

Was wird blockiert?

Wie gefährlich ist die Regel?

Betrifft sie mein Netzwerk?

Ist sie veraltet oder noch relevant?

Suricata ist technisch hervorragend – aber die Benutzeroberfläche ist aktuell ein großer Schwachpunkt.
Ich hoffe sehr, dass Sie hier nachbessern und die Regelverwaltung so intuitiv gestalten wie Zenarmor.

Vielen Dank für Ihre wertvolle Arbeit an Suricata!

Mit freundlichen Grüßen

Neben der Vergrößerung gibt es auch noch die Möglichkeit, das dynamisch abzufragen, z.B. mittels DNSBL - dann sind die Daten ggf. auch aktueller.

Welche Liste benutzt Du denn?

firehol_anonymous da sind 1,3mio IP drin. Danke für dem Tipp

Hallo zusammen,

ich nutze in OPNsense eine IP-Blockliste, die aktuell über 1,3 Millionen IP-Adressen enthält. Seit Kurzem erhalte ich jedoch eine Meldung, dass maximal nur 1 Million IPs gespeichert werden dürfen.

Meine Fragen dazu:

Gibt es wirklich ein festes Limit von 1 Million IPs in einer Blockliste?

Falls ja, gibt es eine Möglichkeit, dieses Limit zu erhöhen?

Oder gibt es eine bessere Methode, große IP-Listen in OPNsense zu verwalten?

Gibt es bekannte Workarounds oder alternative Ansätze (z.B. mehrere Listen, IP-Range-Kürzungen etc.)?

Vielen Dank für eure Hilfe!

Beste Grüße