Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Suricata - welche Regeln sind sinnvoll
« previous
next »
Print
Pages: [
1
]
Author
Topic: Suricata - welche Regeln sind sinnvoll (Read 2573 times)
c-mu
Full Member
Posts: 210
Karma: 5
Suricata - welche Regeln sind sinnvoll
«
on:
September 25, 2020, 12:17:58 pm »
Hallo,
ich befasse mich gerade mit dem IDS Thema. IPS will noch nicht aktivieren, erstmal schauen was so alertet wird.
Gibt es eine Empfehlung, welche Regeln man aktiv haben sollte für eine solide "Grundabsicherung"?
Aktuell habe ich nur abuse.ch/URLhaus aktiv, aber (vielleicht auch zum Glück) noch keine Alerts. Je nach angeforderter Bandbreite (1GBit ins WAN) wird die CPU bis zu 20% ausgelastet (Intel(R) Xeon(R) E-2226G CPU @ 3.40GHz (6 cores) 32GB RAM), ich denke das ist okay!
Ich lasse zur Zeit auf dem WAN und Intranet Interface horchen. Bei Home Net habe ich sämtliche Public IPs und Intranetze (20+ VLANs) eingetragen.
An das Thema muss ich mich langsam rantasten und freue mich auf wertvolle tipps! Ich frage mich z.B. ob es überhaupt sinnvoll ist die abuse.ch/URLhaus zu prüfen, da ja eigentlich immer mehr via SSL Verschlüsselt wird.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Suricata - welche Regeln sind sinnvoll
«
Reply #1 on:
September 25, 2020, 02:31:29 pm »
URLHaus hat das Problem dass es allein schon 160k Regeln sind.
Aber an sich ist das eine interessante Sache.
Manchmal sind auch die Policy Regeln cool, letztens hatte ich den Fall dass eine Anwendung über Port 443 unverschlüsselten Traffic geschickt hat, das ist natürlich nogo und wäre nie aufgefallen.
Ergo, im IDS erst mal alles aktivieren und nach und nach rantasten.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Suricata - welche Regeln sind sinnvoll
«
Reply #2 on:
September 25, 2020, 02:32:37 pm »
https://www.youtube.com/watch?v=lgL20apoJ2U
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
c-mu
Full Member
Posts: 210
Karma: 5
Re: Suricata - welche Regeln sind sinnvoll
«
Reply #3 on:
September 28, 2020, 08:55:03 am »
Danke für das Teilen des Webinars - schön mal eine Stimme hinter dem Nickname zu hören!
Ich denke, ich habe da schon vieles richtig gemacht, z.B. indem ich alle meine Netze und auch Public IP's bei "home net" eingetragen habe.
Was mich allerdings irritiert: es sind 176449 Regeln aktiv und ich lausche auf WAN + Intranet: und es gibt seit Freitag nicht einen einzigen alert? Also entweder mein Netz ist tatsächlich so clean, oder ich mache noch einen Fehler bei der Anwendung. Ich hätte mindestens auf dem WAN Interface dutzende Alerts erwartet.
Meine Settings (screenshot upload
https://prnt.sc/up2yt2
https://prnt.sc/up2z7r
Logged
lfirewall1243
Hero Member
Posts: 1386
Karma: 45
Re: Suricata - welche Regeln sind sinnvoll
«
Reply #4 on:
September 28, 2020, 09:12:25 am »
Erstell dir doch eine "Benutzerdefinierte" Regel und löse die mal aus.
Wenn dann ein Alert kommt, weißt du es läuft
Logged
(Unoffial Community) OPNsense Telegram Group:
https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
c-mu
Full Member
Posts: 210
Karma: 5
Re: Suricata - welche Regeln sind sinnvoll
«
Reply #5 on:
September 28, 2020, 09:24:05 am »
Danke für den Tipp. Eigene Regeln funktionieren und werden auch Alertet (schönes Denglisch). Dann sieht ja alles in Ordnung aus!
Logged
lfirewall1243
Hero Member
Posts: 1386
Karma: 45
Re: Suricata - welche Regeln sind sinnvoll
«
Reply #6 on:
September 28, 2020, 09:36:05 am »
Für den Anfang würde ich, wie von @mimugmail alle aktivieren und auf "Alert" setzen.
Dann nach und nach die wichtigsten auf Drop
Logged
(Unoffial Community) OPNsense Telegram Group:
https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Suricata - welche Regeln sind sinnvoll