Unterschied Suricata und sensei

[greeno]

hi zusammen,

Frage mag doof sein ... aber vielleicht hilft es nicht nur mir...

man kann ja in Firewall Rules direkt mit Blocklists arbeiten wieso soll ich dann ein IPS Sysstem oder Proxy verwenden? Wenn doch diese Rules das Zeugs direkt blocken.

und was ist der Unterschied von z.B. Suricata und sensei?

danke jetzt schon für helfende Feedbacks :-)

[monstermania]

man kann ja in Firewall Rules direkt mit Blocklists arbeiten wieso soll ich dann ein IPS Sysstem oder Proxy verwenden? Wenn doch diese Rules das Zeugs direkt blocken.

Einfach mal google fragen!? ;)
Generell wirfst Du hier unterschiedliche Dinge in einen Topf. Ich schreib jetzt mal mein Halbwissen dazu.
Ein Proxy dient(e) ursprünglich dazu Zugriffe/Dateien  aus dem LAN ins Internet zu cachen um die schmalen Internetleitungen zu entlasten. Statische Inhalte wurden im Proxy gecacht und bei einem erneuten Zugriff aus dem LAN nicht neu aus dem Internet geladen. Später kamen dann Virenscan und Sperrlisten zur Proxy-Funktion dazu. Im Zeitalter von schnellen Internetanbindungen, dynamischen Webseiten und https-Verschlüsselung muss man halt prüfen, ob ein Proxy noch sinnvoll ist. Ein Proxy schaut z.B. nicht in einzelne IP-Pakete, daher ist es möglich, dass potentiell unerwünschte Anwendungen Ihre Daten durch den Proxy tunneln können.
Wenn es Dir nur um Blocklisten geht, macht ein DNS-Blocker m.E. mehr Sinn als ein Proxy.

IPS/IDS ist wiederum ein ganz Anderes Ding. Hier wird durch die Engine jedes IP-Paket analysiert (z.B. auf der WAN Schnittstelle). Durch Mustererkennung der Paketanalyse ist es z.B. möglich unerwünschte Zugriffe vom LAN ins Internet zu blocken. So ist es z.B. möglich Fernwartungstools wie TeamViewer, NetViewer, u.a. die problemlos durch einen Proxy funktionieren, gezielt zu erkennen und zu blocken.
Auch Trojaner die sich z.B. auf einem PC eingenistet haben, weisen bestimmte Zugriffsmuster auf und können daher von einem IDS/IPS (möglicherweise) erkannt/geblockt werden.
Generell benötigt ein IDS/IPS jedoch einen recht großen Aufwand. Zum einen ist die Konfiguration und Pflege eines IDS/IPS in größeren Netzen aufwändig und da jedes IP-Paket analysiert wird, wird auch eine entsprechende Rechenleistung benötigt.

und was ist der Unterschied von z.B. Suricata und sensei?

Eine Firewall arbeitet nach Regeln und eine IDS/IPS nutzt Mustererkennung. Gebe ich z.B. bestimmte Ports in der FW frei, kann jede Anwendung diese Ports auch nutzen.
Wäre es nicht toll, wenn man gezielt einzelne Applikationen die sogar die selben FW-Ports nutzen im LAN freigeben/sperren könnte!? Also, wenn man z.B. definieren könnte, dass z.B. WhatsApp im Unternehmen nicht genutzt werden kann, ein Threema jedoch schon!? Und das auch noch nur für bestimmte Nutzer/Nutzergruppen!?
Sensei erweitert die OPNsense zu einer solchen "Application-Based-Firewall" (und wohl noch viel mehr!).
Aber auch hier gilt, dass Sensei die Anforderungen an die genutzte HW nochmals deutlich in die Höhe treibt.

[greeno]

hi good to know :-) thanks.

soweit gut erklärt ...

sensei ist also sehr interessant... kann aber kein Virenscan resp. Mailprüfung oder?
was würde dann dies abdecken? nur der Proxy mit Virenschutz?

weil das würde dann ja als letztes Stück im Puzzle noch fehlen oder?

[ArminF]

Mailfilter hab ich eben was gelesen.

https://forum.opnsense.org/index.php?topic=6369.15

Die benötigten Plugins für einen vollständigen Mail Gateway sind:
* ClamAV (bereits Verfügbar)
https://docs.opnsense.org/manual/how-tos/clamav.html

* Postfix (Vorabversion verfügbar)
* Redis (Pull Request via GitHub vorhanden)
* Rspamd (Vorabversion verfügbar)

Da müsste man vielleicht mal weitersuchen.
A