Activeren IPS mode lukt niet

tomdiks · March 12, 2021, 07:20:13 PM

Sinds kort overgestapt van pfSense op OPNsense. Bevalt prima, ik krijg alleen IDS met IPS niet aan de praat.
Ik was een webinar aan het volgen en kwam niet verder dan https://youtu.be/_yIq3GM4gjA?t=1150 met het instellen.
Een alert genereren zoals in de video lukt wel (IDS).
Zodra ik IPS mode inschakel, start Suricata niet meer op.
OPNsense draait niet op een VM, maar op een mini PC i5-7200U met Intel I210-AT netwerk interfaces.
Hardware offloading staat allemaal uit.
Interface is LAN.
Logfile geeft aan [ERRCODE: SC_ERR_NETMAP_CREATE(263)] - opening devname netmap:igb1/R failed: Device busy

tomdiks · March 13, 2021, 12:00:15 PM

Het probleem heb ik kunnen traceren. IDS/IPS en Sensei gaan niet samen. Ze maken op vergelijkbare manier denk ik aanspraak op dezelfde netwerk interfaces. Sensei had die al in gebruik voor packet inspectie.

dinguz · April 30, 2021, 10:31:20 AM

De gebruikelijke setup is volgens mij om IDS (Suricata) op de WAN interface te draaien, en Sensei op de LAN, dan zit het elkaar niet in de weg.

tomdiks · April 30, 2021, 04:14:38 PM

Dat heb ik overwogen, maar de documentatie geeft aan dat het meestal geen zin heeft om IPS te activeren op de WAN interface
https://docs.opnsense.org/manual/ips.html#choosing-an-interface

dinguz · May 01, 2021, 11:16:32 AM

Ik draai OpnSense thuis, daarbij gebruik ik Sensei voor het 'interne netwerk' (gebruikers, dus pc's en telefoons en dergelijke), en Suricata voor diensten die op de FW zelf draaien en vanaf internet toegankelijk zijn. Sensei draait op de LAN interface, dus die beschermt de rest niet.
Maar goed, in de tijd dat het draait heb ik nog nooit 1 hit gehad, dus misschien heb ik het niet helemaal begrepen en/of correct ingesteld ;-)

Activeren IPS mode lukt niet

tomdiks

March 12, 2021, 07:20:13 PM

tomdiks

March 13, 2021, 12:00:15 PM #1

dinguz

April 30, 2021, 10:31:20 AM #2

tomdiks

April 30, 2021, 04:14:38 PM #3

dinguz

May 01, 2021, 11:16:32 AM #4