[solved] Suricata IDS/ IPS erstellt keine Alerts

Started by skaalian, June 20, 2024, 08:10:51 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 20, 2024, 08:10:51 PM Last Edit: June 21, 2024, 11:43:42 AM by skaalian
Hallo zusammen,

leider erstellt Suricata IDS / IPS bei mir keine Alerts.
Ich habe ausschliesslich auf dem LAN Interface die Zenarmor aktiv und auf dem WAN Interface ausschliesslich Suricata IDS / IPS.

Zenarmor und Suricata koennen sich meiner Meinung nach eigentlich nicht stoeren, da diese ja auf unterschiedlichen Interfaces horchen. Laut Zenarmor ist die Konfiguration auch so empfohlen.

Habt ihr einen Rat, woran es liegen kann?

Vielen Dank.
June 20, 2024, 08:11:55 PM #1
Folgend noch die Einstellungen vom Alert.
June 21, 2024, 08:10:02 AM #2
Hat denn wirklich niemand eine Idee, woran das liegen kann? :-(

Ich habe schon alles mögliche versucht:
-> Regeln alle deaktiviert und wieder aktiviert
-> Dienst reinstalliert
-> Alert Einstellungen komplett entfernt und neu gesetzt
-> Schnittstelle rausgeworfen und neu definiert

Als ich Suricata noch auf dem LAN Interface definiert hatte, haben die Mitteilungen funktioniert.
Da ich dort aber nun Zenarmor habe, habe ich Suricata auf das WAN gelegt (ist ja so von Zenarmor empfohlen)

Alles ohne Erfolg.

Vielleicht kann mir ja jemand helfen!? Danke!
June 21, 2024, 08:39:10 AM #3
Hast du PPPoE WAN? Wenn ich mich recht erinnere, funktioniert das schlicht nicht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 21, 2024, 09:18:27 AM #4
Quote from: Patrick M. Hausen on June 21, 2024, 08:39:10 AM
Hast du PPPoE WAN? Wenn ich mich recht erinnere, funktioniert das schlicht nicht.

Ja, ich habe die opnsense mit dem WAN Interface direkt am Vigor hängen und betreibe somit das WAN auch per PPPoE.
Ok, schade :-(...

Das würde aber doch bedeuten, dass ich auf Suricata IDS / IPS komplett verzichten müsste, da ich Zenarmor bereits auf dem LAN Interface horchen habe. Korrekt?
June 21, 2024, 09:23:54 AM #5
IPS auf WAN (wenn man nicht gerade jede Menge Ports/Services nach aussen öffnet) -> Eine Menge Noise (ALARM!) ohne Mehrwert, da das meiste über die (fehlenden) WAN-Rules sowieso nie dein Netzwerk erreicht.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
June 21, 2024, 11:43:22 AM #6
Quote from: chemlud on June 21, 2024, 09:23:54 AM
IPS auf WAN (wenn man nicht gerade jede Menge Ports/Services nach aussen öffnet) -> Eine Menge Noise (ALARM!) ohne Mehrwert, da das meiste über die (fehlenden) WAN-Rules sowieso nie dein Netzwerk erreicht.

Ich habe nach außen hin gar nichts offen. Dann werde ich Suricata für den Port ebenfalls deaktivieren.
Vielen Dank.
Print
Go Up Pages1
User actions