1
German - Deutsch / IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
« on: October 19, 2021, 02:54:33 pm »
Hallo zusammen
Ich habe eine OPNSense in Cloudumgebung und dahinterliegen Fernwartungsystemen (SSH-Proxy, Monitoring, etc). Diese möchte ich mithilfe von Regelwerken und IDS so weit wie irgendwie möglich abdichten.
In der Praxis bedeutet das, das diese im Zweifel nach einem Update lieber Overblocken, als undicht werden sollen.
Patchmanagement, Portregeln etc. sind soweit entsprechend Konfiguriert, nur das IDS-System, insbesondere das neue Policymenü verwirrt mich "ein wenig", da ich nicht ganz genau erkenne was eine Wildcard Einstellung, ist was manuell ausgewählt werden muss, und was einfach auf default gelassen werden kann.
BSP.: IDS>Policy>Details>CVE ... muss ich da alles auswählen damit die auch berücksichtigt werden, oder ist hier "nichts ausgewählt" = Alle
gleiches für first_seen, malware_family etc...
Bei affected_product und attack_target gibt es die Option ANY, die hier für mich die Idealoption ist, da ich mich hier darauf verlassen kann, das diese auch nach einem Update kraftvoll zubeißen sollte... Hoffe ich.. 0.o
Aus den Anleitung im Netz konnte ich das nicht so wirklich rauslesen, weil die entweder für das alte System waren, oder da nicht weiter drauf eingegangen sind. Im Forum habe ich jetzt auch nur primär Meinungsaustausch über Performancegeschichten gefunden, was jetzt zwar nicht zu vernachlässig ist, aber bei diesem Projekt zum. für uns nur die zweite Geige spielt.
Für Informationen, Rat, Links, Videos die mich in dem Untermodul erhellen wäre ich äußerst dankbar.
Herzliche Grüße
Thomas
Ich habe eine OPNSense in Cloudumgebung und dahinterliegen Fernwartungsystemen (SSH-Proxy, Monitoring, etc). Diese möchte ich mithilfe von Regelwerken und IDS so weit wie irgendwie möglich abdichten.
In der Praxis bedeutet das, das diese im Zweifel nach einem Update lieber Overblocken, als undicht werden sollen.
Patchmanagement, Portregeln etc. sind soweit entsprechend Konfiguriert, nur das IDS-System, insbesondere das neue Policymenü verwirrt mich "ein wenig", da ich nicht ganz genau erkenne was eine Wildcard Einstellung, ist was manuell ausgewählt werden muss, und was einfach auf default gelassen werden kann.
BSP.: IDS>Policy>Details>CVE ... muss ich da alles auswählen damit die auch berücksichtigt werden, oder ist hier "nichts ausgewählt" = Alle
gleiches für first_seen, malware_family etc...
Bei affected_product und attack_target gibt es die Option ANY, die hier für mich die Idealoption ist, da ich mich hier darauf verlassen kann, das diese auch nach einem Update kraftvoll zubeißen sollte... Hoffe ich.. 0.o
Aus den Anleitung im Netz konnte ich das nicht so wirklich rauslesen, weil die entweder für das alte System waren, oder da nicht weiter drauf eingegangen sind. Im Forum habe ich jetzt auch nur primär Meinungsaustausch über Performancegeschichten gefunden, was jetzt zwar nicht zu vernachlässig ist, aber bei diesem Projekt zum. für uns nur die zweite Geige spielt.
Für Informationen, Rat, Links, Videos die mich in dem Untermodul erhellen wäre ich äußerst dankbar.
Herzliche Grüße
Thomas