Author Topic: IDS/IPS Blockieren greift nicht (Read 677 times)

lfirewall1243 · « **on:** April 07, 2022, 08:37:29 am »

Hallo zusammen,

ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.

Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der Aktion "allowed" auf.

Habe ich da noch was übersehen?

Danke euch

bimbar · « **Reply #1 on:** April 07, 2022, 10:23:27 am »

In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.

lfirewall1243 · « **Reply #2 on:** April 07, 2022, 11:29:56 am »

Quote from: bimbar on April 07, 2022, 10:23:27 am

In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.

Danke dir.

Also reicht es nicht die jeweilige Regel im Alert Tab auf "Drop" zu stellen.
Man muss zusätzlich noch eine vorher greifende Policy anlegen.

Werde ich mal testen

lfirewall1243 · « **Reply #3 on:** April 07, 2022, 11:35:47 am »

So wie ich das sehe kann ich damit aber nur die gesamte Suricata Rule von Alert auf Drop setzen?

Beispielsweise soll folgende ET-SCAN Rule blockiert werden, die anderen ET Scan Rules weiterhin auf Alert
ET SCAN Mirai Variant User-Agent (Inbound)

Author Topic: IDS/IPS Blockieren greift nicht (Read 677 times)

lfirewall1243

IDS/IPS Blockieren greift nicht

bimbar

Re: IDS/IPS Blockieren greift nicht

lfirewall1243

Re: IDS/IPS Blockieren greift nicht

lfirewall1243

Re: IDS/IPS Blockieren greift nicht