Suricata Richtlinie

[juergen2025]

Ich habe kürzlich meine Suricata-IDS-Regeln in OPNsense angepasst und möchte wissen, ob diese Konfiguration die neuesten Bedrohungen effektiv blockiert und ob sichergestellt ist, dass die Blockierung tatsächlich aktiv erfolgt. In der aktuellen Konfiguration habe ich folgende Regelwerke verwendet: 3coresec.rules, abuse.ch.feodotracker.rules, und andere. Als Aktion habe ich 'Deaktiviert, Alarm' festgelegt, und die neue Aktion ist 'Verwerfen'.

Außerdem sind die spezifischen Regelkriterien für Produkte wie 2wcom, 3CX, ABB, ASMAX und Adobe festgelegt, und die Angriffsziele reichen von Client-Endpunkten über Server bis zu DNS-Servern. Die Bedrohungsstufen wie 'High', 'Medium' und 'Low' sowie CVE-Daten aus den Jahren 1999 bis 2025 wurden integriert. Die neue Richtlinie wurde mit der Beschreibung 'IDS Neu Eingestellt 11/2025' hinzugefügt.

Ich möchte wissen, ob diese Konfiguration in Suricata in OPNsense sicherstellt, dass die Bedrohungen tatsächlich aktiv blockiert und nicht nur alarmiert werden. Werden die aktuellsten Bedrohungen wie APTs und Malware-Familien (z.B. ACR_Stealer) ausreichend blockiert, oder sind noch Anpassungen erforderlich, um eine vollständige Sicherheitsabdeckung zu gewährleisten?

[fastboot]

Ob deine Suricata-Konfiguration tatsächlich aktiv blockiert, lässt sich nicht anhand der Regelwerke oder der gesetzten Aktion allein beurteilen. Entscheidend ist, dass Suricata in OPNsense im IPS-Modus (Inline/Netmap) läuft und auf den relevanten Interfaces aktiv ist. Andernfalls werden auch Regeln mit Aktion ,,Verwerfen" nur alarmieren, aber keinen Traffic blockieren.

Am sinnvollsten testest du das mit einer gezielten Testsignatur oder einem reproduzierbaren Testtraffic, bei dem du erwartest, dass die Verbindung aktiv abbricht. Wenn der Traffic weiterhin durchgeht und nur Alerts erzeugt werden, greift die Blockierung nicht. Erst wenn du in den Suricata-Logs eindeutig ,,drop" siehst und die Verbindung tatsächlich scheitert, ist sichergestellt, dass IPS aktiv arbeitet.