IDS /IPS Einrichtung

[superwinni2]

Hallo zusammen

mich würde interessieren, ob ich das IDS / IPS System bei mir auf der FW richtig konfiguriert habe...
Hoffe hier kann mir jemand weiter helfen und wichtige Tipps und Tricks geben.

Zu meiner FW:
Die FW hängt mit WAN direkt am Internet. Insgesamt 14 öffentliche IPs (/28 Netz).
LAN ist ein LAGG aus 2 Netzwerkkarten, die einzelnen bereiche sind über VLANs getrennt.
DMZ hat ein eigenes physikalisches Interface.
Sync hat ein eigenes physikalisches Interface.

Intrusion Deteciton:
Enabled: Aktiviert
IPS mode: Aktiviert
Promiscuous mode: Aktiviert
Enable syslog alerts: Nicht aktiviert
Enable eve syslog output: Nicht aktiviert
Pattern matcher: Hyperscan
Interfaces: WAN
Home networks: 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 1.2.3.4/29, 6.7.8.9/28 (Vorletzte ist unsere ehemalige öffentliche IP welche nur noch Intern im einsatz ist [Möchten das System nicht umkonfigurieren wegen Folgefehlern]. Letzte ist die Öffentliche IPs.)
Default packet size: leer
Rotate log: Weekly
Save logs: 4

Unter Download habe ich mal div. Downloads angestoßen, aktiviert und als "Drop" Filter aktiviert.
Vorallem die abuse.ch und ET open Regeln.
Bei Rules sind dementsprechend diverse Regeln aktiv und mit Drop Action.

Stimmt dies so wie ich dies gemacht habe? Oder ist hier irgendwo ein Denkfehler?


Danke und Gruß

[mweis]

Hi,

wie sind deine Erfahrungen damit? läuft das so? Bist zufrieden? Wie wird dadurch die Performance beeinträchtigt?