OPNsense/IDS/Richtlinie

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Installation

Anwendungen

Problembehebung

Aufruf

Optionen

Parameter

Umgebung

Rückgabewert

Konfiguration

Dateien

Sicherheit

Siehe auch

Dokumentation

RFC

Man-Page

Info-Pages

Links

Projekt

Weblinks

TMP

Richtlinien

Der Menüpunkt Richtlinie enthält ein Raster, in dem Sie Richtlinien definieren können, die auf installierte Regeln angewandt werden.

  • Hier können Sie Richtlinien hinzufügen, aktualisieren oder entfernen und auch deaktivieren.
  • Mit Hilfe von Richtlinien können Sie steuern, welche Regeln Sie auf welche Weise verwenden wollen, und sie sind die bevorzugte Methode, um das Verhalten zu ändern.
  • Sie können zwar immer noch einzelne Regeln auf der Registerkarte "Regeln" aktualisieren, aber das Hinzufügen vieler benutzerdefinierter Überschreibungen ist anfälliger für Änderungen und birgt das Risiko, die Benutzeroberfläche zu verlangsamen.

Ein Richtlinieneintrag enthält 3 verschiedene Abschnitte.

  • Zunächst einige allgemeine Informationen, wie die Beschreibung und ob die Regel aktiviert ist, sowie eine Priorität.
  • Überschneidende Richtlinien werden der Reihe nach behandelt, wobei die erste Übereinstimmung mit der niedrigsten Prioritätsnummer verwendet wird.

Zweitens gibt es die Übereinstimmungskriterien, diese enthalten die Regelsätze, auf die eine Richtlinie angewandt wird, sowie die für eine Regel konfigurierte Aktion (standardmäßig deaktiviert, Alarm oder Drop), schließlich gibt es den Abschnitt Regeln, der die von den installierten Regeln gesammelten Metadaten enthält, diese enthalten Optionen wie betroffenes Produkt (Android, Adobe Flash, ...) und Einsatz (Rechenzentrum, Perimeter).

Die letzte Option, die Sie auswählen können, ist die neue Aktion, die verwendet werden soll: Entweder deaktivieren Sie die ausgewählten Regeln, geben Sie nur eine Warnung aus oder lassen Sie den Datenverkehr fallen, wenn er übereinstimmt.

Hinweis
Die Optionen im Abschnitt Regeln hängen vom Hersteller ab. Wenn in der Quellregel keine Metadaten angegeben sind, können wir keine verwenden.

TMP

Erstellen einer Richtlinie

In OPNsense 21.1 wurde die Funktionalität der Richtlinien hinzugefügt.
  • Damit können Sie den gleichen Satz an Konfigurationen auf einen oder mehrere Regelsätze anwenden und eine effizientere Verarbeitung von großen Regelsätzen ermöglichen.
  • Policies helfen auch dabei, die Regeln granularer zu verwalten, da Sie verschiedene Filter auf die Regelsätze anwenden können.
  • Bevor es Richtlinien gab, mussten Sie ganze Regelsätze aktivieren und dann manuell Hunderte oder Tausende von Regeln durchgehen, die Sie aktivieren/deaktivieren wollten.
  • Mit dem Kontrollkästchen "Alle auswählen" konnten Sie zwar blind mehrere Regeln auf einmal aktivieren oder deaktivieren, aber das war immer noch keine effiziente Methode zur Verwaltung der Regeln.
Nachdem Sie die gewünschten Regelsätze ausgewählt und heruntergeladen haben, können Sie nun Richtlinien erstellen.
  • Mindestens eine Richtlinie ist erforderlich, damit die Intrusion Detection richtig konfiguriert werden kann.
  • Gehen Sie auf die Seite "Dienste > Intrusion Detection > Richtlinie".
  • Klicken Sie auf das "+"-Symbol in der unteren rechten Ecke der Richtlinienliste (die beim ersten Einrichten der Intrusion Detection leer ist).
Wählen Sie in der Dropdown-Box "Regelsätze" alle Regelsätze aus, die Sie in der aktuellen Richtlinie verwenden möchten.
  • Wenn Sie es sich einfacher machen wollen, können Sie alle Regelsätze in einer einzigen Richtlinie auswählen, aber Sie haben die Möglichkeit, mehrere Filter unter dem Dropdown-Feld "Regelsätze" hinzuzufügen.

"OPNsense intrusion detection"

Das Dropdown-Feld "Aktion" ermöglicht es Ihnen, die Regeln im Regelsatz auszuwählen, die die Standardaktion "Alarm", "Verwerfen" oder "Deaktiviert" haben.
  • Beim Herunterladen der Regelsätze wird die Aktion für alle Regeln auf einen Standardwert gesetzt.
  • Mit dieser Option können Sie daher wählen, welche dieser Regeln Sie anwenden möchten.
  • Ich habe meine auf "Alert" und "Drop" eingestellt.
  • Ich bin mir nicht sicher, wie viele Regeln standardmäßig deaktiviert sind, aber es ist möglich, dass es sich um alte oder nicht sehr nützliche Regeln handelt.
  • Sie können selbst entscheiden, welche Regeln Sie auswählen möchten.
Sie können zusätzliche Filter unterhalb des Dropdown-Menüs "Aktion" anwenden, aber diese Filter können die Anzahl der Regeln, auf die Ihre Richtlinie angewandt wird, stark reduzieren.
  • Die Filter eignen sich hervorragend für granulare Richtlinien, aber Sie möchten vielleicht mindestens eine übergreifende Standardrichtlinie haben, die für die meisten Regeln gilt.
  • Dann können Sie später, wenn Sie es wünschen, detailliertere Richtlinien erstellen.
Bei der Option "Neue Aktion" handelt es sich um die Aktion, die Sie für alle Regeln festlegen möchten, die unter diese Richtlinie fallen.
  • Wenn Sie nur warnen und nicht blockieren wollen, setzen Sie den Wert auf "Warnen".
  • Andernfalls setzen Sie ihn auf "Blockieren".
  • Ich vermute, dass die meisten Benutzer die Intrusion Detection nutzen möchten, um potenziell bösartigen Datenverkehr zu blockieren, bevor er in ihr Netzwerk eindringt oder es verlässt, anstatt nur zu melden, dass möglicherweise etwas Schlimmes passiert.

Klicken Sie auf "Speichern", wenn Sie fertig sind.

"OPNsense intrusion detection"

Sie sehen Ihre neue Richtlinie in der Liste auf der Seite "Richtlinie".

  • Sie werden eine Registerkarte "Regelanpassungen" bemerken.
  • Hier haben Sie die Möglichkeit, manuelle Anpassungen an bestimmten Regeln vorzunehmen.
  • OPNsense empfiehlt, die manuellen Anpassungen auf ein Minimum zu beschränken, da sie die Benutzeroberfläche verlangsamen können, aber ich könnte mir vorstellen, dass sie auch die Regelverarbeitung verlangsamen, was Ihren Gesamtdurchsatz verringern könnte.

"OPNsense intrusion detection"

TMP

In diesem Abschnitt finden Sie eine Liste der Regelsätze, die von verschiedenen Parteien zur Verfügung gestellt werden, und wann (falls installiert) sie zuletzt auf das System heruntergeladen wurden.
  • In früheren Versionen (vor 21.1) konnten Sie hier einen "Filter" auswählen, um das Standardverhalten der installierten Regeln von Warnung auf Blockierung zu ändern.
  • Ab 21.1 wird diese Funktionalität von Policies abgedeckt, einer separaten Funktion innerhalb des IDS/IPS-Moduls, die eine feinere Kontrolle über die Regelsätze bietet.
Anmerkung
Bei der Migration von einer Version vor 21.1 werden die Filter von der Seite Regelsätze herunterladen automatisch in Richtlinien migriert.