"
Hallo zusammen,
ich nutze OPNsense momentan, um ein Testnetzwerk vom Intranet zu trennen.
Momentan hadere ich mit der erfolgreichen Konfiguration von IDS/IPS/Suricata, speziell scheitert es schon am Test mit Eicar in der unverschlüsselten Variante, also HTTP.
Meine Konfiguration für IDS/IPS/Suricata sieht wie folgt aus:
Die Regel "OPNsense-App-detect/test" ist enabled und heruntergeladen.
In den Rules ist die Regel opnsense.test.rules auch mit der Standard-Action "Alert" enabled.
Eine Policy für diese Regel mit Action "Alert" & "Drop" sowie New Action "Drop" ist erstellt und angewendet.
Mache ich aus dem Testnetzwerk einen "curl http://pkg.opnsense.org/test/eicar.com.txt", geht das problemlos durch und ich sehe das unter den Alerts, leider mit "Action: Allowed" - trotz der aktiven Policy, die aus "Alert" ein "Drop" machen sollte.
Ändere ich per Hand die Testregel auf "Drop", dann wird auch sofort gedropt - selbst ohne Policy.
Bin ich irgendwo falsch abgebogen, übersehe ich die ganze Zeit etwas?
Vielen Dank für jeden Denkanstoß.
ich nutze OPNsense momentan, um ein Testnetzwerk vom Intranet zu trennen.
Momentan hadere ich mit der erfolgreichen Konfiguration von IDS/IPS/Suricata, speziell scheitert es schon am Test mit Eicar in der unverschlüsselten Variante, also HTTP.
Meine Konfiguration für IDS/IPS/Suricata sieht wie folgt aus:
- Enabled √
- IPS mode √
- Interfaces LAN & WAN
- in Home networks sind WAN und LAN erfasst
Die Regel "OPNsense-App-detect/test" ist enabled und heruntergeladen.
In den Rules ist die Regel opnsense.test.rules auch mit der Standard-Action "Alert" enabled.
Eine Policy für diese Regel mit Action "Alert" & "Drop" sowie New Action "Drop" ist erstellt und angewendet.
Mache ich aus dem Testnetzwerk einen "curl http://pkg.opnsense.org/test/eicar.com.txt", geht das problemlos durch und ich sehe das unter den Alerts, leider mit "Action: Allowed" - trotz der aktiven Policy, die aus "Alert" ein "Drop" machen sollte.
Ändere ich per Hand die Testregel auf "Drop", dann wird auch sofort gedropt - selbst ohne Policy.
Bin ich irgendwo falsch abgebogen, übersehe ich die ganze Zeit etwas?
Vielen Dank für jeden Denkanstoß.
