Suricata - welche Regeln sind sinnvoll

Started by c-mu, September 25, 2020, 12:17:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 25, 2020, 12:17:58 PM
Hallo,
ich befasse mich gerade mit dem IDS Thema. IPS will noch nicht aktivieren, erstmal schauen was so alertet wird.
Gibt es eine Empfehlung, welche Regeln man aktiv haben sollte für eine solide "Grundabsicherung"?

Aktuell habe ich nur abuse.ch/URLhaus aktiv, aber (vielleicht auch zum Glück) noch keine Alerts. Je nach angeforderter Bandbreite (1GBit ins WAN) wird die CPU bis zu 20% ausgelastet (Intel(R) Xeon(R) E-2226G CPU @ 3.40GHz (6 cores) 32GB RAM), ich denke das ist okay!

Ich lasse zur Zeit auf dem WAN und Intranet Interface horchen. Bei Home Net habe ich sämtliche Public IPs und Intranetze (20+ VLANs) eingetragen.

An das Thema muss ich mich langsam rantasten und freue mich auf wertvolle tipps! Ich frage mich z.B. ob es überhaupt sinnvoll ist die abuse.ch/URLhaus zu prüfen, da ja eigentlich immer mehr via SSL Verschlüsselt wird.
September 25, 2020, 02:31:29 PM #1
URLHaus hat das Problem dass es allein schon 160k Regeln sind.
Aber an sich ist das eine interessante Sache.

Manchmal sind auch die Policy Regeln cool, letztens hatte ich den Fall dass eine Anwendung über Port 443 unverschlüsselten Traffic geschickt hat, das ist natürlich nogo und wäre nie aufgefallen.

Ergo, im IDS erst mal alles aktivieren und nach und nach rantasten.
September 25, 2020, 02:32:37 PM #2
September 28, 2020, 08:55:03 AM #3
Danke für das Teilen des Webinars - schön mal eine Stimme hinter dem Nickname zu hören!

Ich denke, ich habe da schon vieles richtig gemacht, z.B. indem ich alle meine Netze und auch Public IP's bei "home net" eingetragen habe.

Was mich allerdings irritiert: es sind 176449 Regeln aktiv und ich lausche auf WAN + Intranet: und es gibt seit Freitag nicht einen einzigen alert? Also entweder mein Netz ist tatsächlich so clean, oder ich mache noch einen Fehler bei der Anwendung. Ich hätte mindestens auf dem WAN Interface dutzende Alerts erwartet.
Meine Settings (screenshot upload
https://prnt.sc/up2yt2
https://prnt.sc/up2z7r
September 28, 2020, 09:12:25 AM #4
Erstell dir doch eine "Benutzerdefinierte" Regel und löse die mal aus.

Wenn dann ein Alert kommt, weißt du es läuft
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
September 28, 2020, 09:24:05 AM #5
Danke für den Tipp. Eigene Regeln funktionieren und werden auch Alertet (schönes Denglisch). Dann sieht ja alles in Ordnung aus!
September 28, 2020, 09:36:05 AM #6
Für den Anfang würde ich, wie von  @mimugmail alle aktivieren und auf "Alert" setzen.

Dann nach und nach die wichtigsten auf Drop
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions