Welche IDS Blocklist?

[August8828]

Nabend,

da ich auf meinem WAN Interface mittlerweile eine Policy habe, die WireGuard erlaubt, wächst das Gefühl, dass ich mein WAN Interface weiter absichern muss. Ich habe mich entschieden, die IDS Option ohne IPS zu aktivieren, damit ich Einsicht bekomme.

Könnt ihr mir eine gute Rulelist in Bezug auf IP-Adressen, bad IPs empfehlen? Fühlt sich blöd an, wenn man im Traffic Monitor ständig Zugriffsversuche sieht (ja, ich weiß, dass diese blockiert werden, aber ja). Ich möchte außerhalb, dass known bad ip addresses blockiert oder schnellstmöglich blockiert werden. Das geschieht standardmäßig ja nicht.

[Zapad]

ich glaube du bist da ein bisschen falsch wenn du dein Wireguard Port absichern willst.
IDS ist eher auf SSH, HTTP/HTTPS oder Exploits ausgerichtet.

[August8828]

Ich habe mich jetzt auch erstmal dagegen entschieden, weil das zu viel CPU zieht. Ich gehe jetzt den Ansatz einer GeoIP Sperre und einer known bad ip Sperre.

Habt ihr zusätzlich Tipps um WireGuard bzw. den Open Port abzusichern?

[Patrick M. Hausen]

Was gibts da abzusichern? Pass auf deine private Keys auf. Was sichereres als die Kryptographie in WireGuard existiert nach derzeitigem Stand der Technik nicht. Gut, zusätzliche 2FA könnte das Teil irgendwann nochmal lernen, aber generell? SSH und/oder ordentliches VPN ist so sicher wie irgendwas nur sein kann - abgesehen von gar keinem Remote-Zugriff.

[Zapad]

Was gibts da abzusichern?

Cool