Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
« previous
next »
Print
Pages: [
1
]
Author
Topic: IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig) (Read 1558 times)
WingCommander
Newbie
Posts: 2
Karma: 0
IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
«
on:
October 19, 2021, 02:54:33 pm »
Hallo zusammen
Ich habe eine OPNSense in Cloudumgebung und dahinterliegen Fernwartungsystemen (SSH-Proxy, Monitoring, etc). Diese möchte ich mithilfe von Regelwerken und IDS so weit wie irgendwie möglich abdichten.
In der Praxis bedeutet das, das diese im Zweifel nach einem Update lieber Overblocken, als undicht werden sollen.
Patchmanagement, Portregeln etc. sind soweit entsprechend Konfiguriert, nur das IDS-System, insbesondere das neue Policymenü verwirrt mich "ein wenig", da ich nicht ganz genau erkenne was eine Wildcard Einstellung, ist was manuell ausgewählt werden muss, und was einfach auf default gelassen werden kann.
BSP.: IDS>Policy>Details>CVE ... muss ich da alles auswählen damit die auch berücksichtigt werden, oder ist hier "nichts ausgewählt" = Alle
gleiches für first_seen, malware_family etc...
Bei affected_product und attack_target gibt es die Option ANY, die hier für mich die Idealoption ist, da ich mich hier darauf verlassen kann, das diese auch nach einem Update kraftvoll zubeißen sollte... Hoffe ich.. 0.o
Aus den Anleitung im Netz konnte ich das nicht so wirklich rauslesen, weil die entweder für das alte System waren, oder da nicht weiter drauf eingegangen sind. Im Forum habe ich jetzt auch nur primär Meinungsaustausch über Performancegeschichten gefunden, was jetzt zwar nicht zu vernachlässig ist, aber bei diesem Projekt zum. für uns nur die zweite Geige spielt.
Für Informationen, Rat, Links, Videos die mich in dem Untermodul erhellen wäre ich äußerst dankbar.
Herzliche Grüße
Thomas
Logged
abulafia
Full Member
Posts: 156
Karma: 8
Re: IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
«
Reply #1 on:
October 20, 2021, 12:40:50 pm »
Für IDS brauchst Du keine einzige Policy. Du musst die gewünschten Rules "enable"n und dann "Download"en. Danach gelten die automatisch (so wie halt von Emerging Threats, snort o.ä. eingestellt).
Für IPS brauchst Du ggfs. Policies, um Regeln von alert zu drop umzustellen.
Generell wären IP blocklists in der Firewall performanter und wichtiger als IDS/IPS. Also dshield, Spamhaus drop/edrop, botcc
Etc pp nicht über IDS/IPS tracken sondern direkt durch die Firewall blocken lassen.
Logged
WingCommander
Newbie
Posts: 2
Karma: 0
Re: IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)
«
Reply #2 on:
October 27, 2021, 05:01:08 pm »
Hallo abulafia
Dank dir schonmal für die Antwort
Geoblock und Firehol habe ich bereits eingepflegt, werde mir aber auf jeden Fall die anderen Listen mal anschauen.
@IPS:
UPS habe natürlich IPS gemeint... Zuschauen und ALARM schreien kann ich selber
.
Aber wenn ich das richtig verstehe ist scheinbar Suricata dann doch nicht so das gelbe vom Ei.
na ok werde mal das weiter beobachten.
schonmal Danke
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IDS-Policys / Richtlinie kompromisslos auf Sicherheit konfigurieren (nachhaltig)