IDS mit aktiviertem IPS blockiert Docker ohne Alert/Log-Eintrag

[florian-b]

Hallo,

wir setzen OpnSense als Edge-Router und Firewall ein. Bislang setzen wir die Intrusion-Detection ohne IPS ein, möchten das allerdings ändern.

Beim aktivieren des IPS kommt es jedoch zu dem Problem, dass die Docker-basierten Hosts keinerlei Images mehr ziehen können, mit der folgenden Fehlermeldung:

Code Select Expand

net/http: request canceled (Client.Timeout exceeded while awaiting headers)

Im Normalbetrieb funktioniert alles tadellos, bei aktiviertem IPS funktioniert (nur) Docker nicht mehr. Ich hätte erwartet, dass im Falle eines Drops zumindest ein Alert oder Log-Eintrag generiert wird. Leider entsteht keins von beidem, die Firewall meldet auch keine Drops.

Wie lässt sich der Grund für die Blockade herausfinden? Oder habe ich einen grundlegenen Fehler bei der Konfiguration vorgenommen?

Vielen Dank für die investierte Zeit!



Unser derzeitiges Setup sieht wie folgt aus:

Code Select Expand


       WWW
        +
        |
+-------+--------+
|      WAN       |
|     (LAGG)     |
+----------------+  OpnSense
|      LAN       |
|     (LAGG)     |
++--------------++
|              |
+              +
LAN            VIP1
10.0.0.0/24    10.1.0.1/24


• Enabled: True
• IPS mode: True
• Promiscuous mode: True
• Enable syslog alerts: True
• Enable eve syslog output: True
• Pattern matcher: Hyperscan
• Interfaces: LAN, WAN
• Home networks: [Private Netzwerkadressen], [WAN-IP Range]

Wir haben alle freien Regelwerke installiert, enabled und auf Alert gesetzt.
      

[micneu]

Bitte beschreibe mal bitte genau auf welcher Hardware deine OPNsense läuft.
und ob auf dem Blech oder als VM?
Bitte so viel informationen wie möglich, das macht es uns einfacher zu helfen.

[florian-b]

Klar, gern:

1 Blech, 1 HE:
Intel Xeon E3-1220 v6 4-Core 3,0GHz 8MB 8GT/s
8 GB (2x 4GB) ECC DDR4 2666 RAM
Supermicro Mainboard X11SSH-LN4F
mit Quad GbE LAN (Intel i210-AT)

Welche Informationen sind noch interessant?