IDS/IPS Blockieren greift nicht

Started by lfirewall1243, April 07, 2022, 08:37:29 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 07, 2022, 08:37:29 AM
Hallo zusammen,

ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.

Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der  Aktion "allowed" auf.

Habe ich da noch was übersehen?

Danke euch
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
April 07, 2022, 10:23:27 AM #1
In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.
April 07, 2022, 11:29:56 AM #2
Quote from: bimbar on April 07, 2022, 10:23:27 AM
In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.

Danke dir.

Also reicht es nicht die jeweilige Regel im Alert Tab auf "Drop" zu stellen.
Man muss zusätzlich noch eine vorher greifende Policy anlegen.

Werde ich mal testen
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
April 07, 2022, 11:35:47 AM #3
So wie ich das sehe kann ich damit aber nur die gesamte Suricata Rule von Alert auf Drop setzen?

Beispielsweise soll folgende ET-SCAN Rule blockiert werden, die anderen ET Scan Rules weiterhin auf Alert
ET SCAN Mirai Variant User-Agent (Inbound)
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions