Verbesserungsvorschlag für die Regelverwaltung in Suricata – bitte wie bei Zenar

Started by juergen2025, July 14, 2025, 05:26:00 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 14, 2025, 05:26:00 PM
Sehr geehrtes OPnsense-Team,

ich möchte einen dringenden Praxiswunsch äußern, der sich aus dem täglichen Einsatz von Suricata (z. B. in Kombination mit OPNsense) ergibt:
Die aktuelle Regelverwaltung ist für Administratoren im Alltag kaum praktikabel.

Aktuelle Herausforderungen:
Die Oberfläche zeigt lediglich SID-Nummern oder kryptische Regeltexte.

Es fehlen Klartextbeschreibungen, Angaben zu betroffenen Systemen, Schweregrad oder Aktualität.

Veraltete Regeln sind nicht erkennbar – es gibt keinerlei Hinweise.

Es ist nicht möglich, nach aktuellen Bedrohungen oder CVEs zu filtern oder zu priorisieren.

Ein Beispiel aus meiner Installation (Kategorie "exploit") zeigt das Problem deutlich:


2000048    ET EXPLOIT CVS server heap overflow attempt (target Linux) 
2003378    ET EXPLOIT Mobile Backup Service Stack Overflow 
2010375    ET EXPLOIT Oracle ctxsys.drvxtabc.create_tables SQL Injection 

Ob diese Regeln kritisch, veraltet oder überhaupt relevant für mein Netzwerk sind, bleibt völlig unklar – selbst für erfahrene Nutzer ist das ohne externe Recherche unbrauchbar.

Mein Vorschlag:
Bitte gestalten Sie die Regelverwaltung benutzerfreundlich – nach dem Vorbild von Zenarmor, wo Regeln intuitiv über eine übersichtliche Oberfläche aktiviert/deaktiviert werden können – per einfachem Klick.

Konkret wünsche ich mir:

Klartextbeschreibung (msg) direkt sichtbar

Verlinkung zu relevanten CVEs / Exploit-DB / MITRE

Veröffentlichungsdatum und Aktualität der Regel

Einstufung nach Schweregrad (High / Medium / Low)

Angabe betroffener Systeme (Windows, Linux, Netzwerk etc.)

Sortier- und Filtermöglichkeiten (z. B. ,,nur aktuelle Exploits anzeigen")

Ziel:
Ein Administrator sollte auf einen Blick erkennen können:

Was wird blockiert?

Wie gefährlich ist die Regel?

Betrifft sie mein Netzwerk?

Ist sie veraltet oder noch relevant?

Suricata ist technisch hervorragend – aber die Benutzeroberfläche ist aktuell ein großer Schwachpunkt.
Ich hoffe sehr, dass Sie hier nachbessern und die Regelverwaltung so intuitiv gestalten wie Zenarmor.

Vielen Dank für Ihre wertvolle Arbeit an Suricata!

Mit freundlichen Grüßen
July 14, 2025, 06:38:46 PM #1
Kein schlechter Vorschlag.
Mache doch dazu am besten ein Feature Request auf Github, da ist das denke ich am besten aufgehoben.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
July 14, 2025, 08:37:10 PM #2
Ich würde mich ja an den Hersteller von Suricata wenden. Dieser ist nicht Deciso/OPNsense. Suricata ist ein 3rd Party Produkt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 14, 2025, 09:09:45 PM #3
Quote from: Patrick M. Hausen on July 14, 2025, 08:37:10 PMIch würde mich ja an den Hersteller von Suricata wenden. Dieser ist nicht Deciso/OPNsense. Suricata ist ein 3rd Party Produkt.
Vielen Dank für den Hinweis.

Ich habe mich bereits direkt an die OISF (Suricata-Entwickler) gewendet. Dort wurde mir mitgeteilt, dass ich mich in diesem konkreten Fall an das OPNsense-Team wenden soll, da es um die Integration und Darstellung der Regeln innerhalb der OPNsense-Oberfläche geht – also um etwas, das von OPNsense selbst umgesetzt wird.

Daher richte ich meine Anfrage bewusst an Sie, in der Hoffnung, dass Sie die Benutzerfreundlichkeit der Regelverwaltung künftig verbessern können.
July 14, 2025, 09:25:46 PM #4
Wenn das im Fall dieses Plugins so ist, wäre der beste Platz dafür aber tatsächlich ein Issue auf Github.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions