OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • IDS/IPS Blockieren greift nicht
« previous next »
  • Print
Pages: [1]

Author Topic: IDS/IPS Blockieren greift nicht  (Read 677 times)

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
IDS/IPS Blockieren greift nicht
« on: April 07, 2022, 08:37:29 am »
Hallo zusammen,

ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.

Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der  Aktion "allowed" auf.

Habe ich da noch was übersehen?

Danke euch
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

bimbar

  • Full Member
  • ***
  • Posts: 195
  • Karma: 11
    • View Profile
Re: IDS/IPS Blockieren greift nicht
« Reply #1 on: April 07, 2022, 10:23:27 am »
In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: IDS/IPS Blockieren greift nicht
« Reply #2 on: April 07, 2022, 11:29:56 am »
Quote from: bimbar on April 07, 2022, 10:23:27 am
In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.

Danke dir.

Also reicht es nicht die jeweilige Regel im Alert Tab auf "Drop" zu stellen.
Man muss zusätzlich noch eine vorher greifende Policy anlegen.

Werde ich mal testen
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: IDS/IPS Blockieren greift nicht
« Reply #3 on: April 07, 2022, 11:35:47 am »
So wie ich das sehe kann ich damit aber nur die gesamte Suricata Rule von Alert auf Drop setzen?

Beispielsweise soll folgende ET-SCAN Rule blockiert werden, die anderen ET Scan Rules weiterhin auf Alert
ET SCAN Mirai Variant User-Agent (Inbound)
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • IDS/IPS Blockieren greift nicht
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2