|
|
(63 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| == Herunterladen == | | == Download von Regelwerken == |
| ; Regelwerke
| | [[Datei:OPNsenseIdsVerwaltungHerunterladen.png|alternativtext=OPNsenseIdsVerwaltungHerunterladen|mini|500px]] |
| [[File:opnSenseEinbruchserkennungVerwaltungHerunterladen.png|mini|500px]] | |
| {| class="wikitable sortable options"
| |
| |-
| |
| ! Regelwerk !! Beschreibung
| |
| |-
| |
| | abuse.ch/Feodo Tracker || https://feodotracker.abuse.ch/blocklist/
| |
| |-
| |
| | abuse.ch/SSL Fingerprint Blacklist ||
| |
| |-
| |
| | abuse.ch/SSL IP Blacklist ||
| |
| |-
| |
| | abuse.ch/ThreatFox ||
| |
| |-
| |
| | abuse.ch/URLhaus ||
| |
| |-
| |
| | ET open/botcc || https://doc.emergingthreats.net/bin/view/Main/EmergingFAQ
| |
| |-
| |
| | ET open/botcc.portgrouped ||
| |
| |-
| |
| | ET open/ciarmy ||
| |
| |-
| |
| | ET open/compromised ||
| |
| |-
| |
| | ET open/drop ||
| |
| |-
| |
| | ET open/dshield ||
| |
| |-
| |
| | ET open/emerging-activex ||
| |
| |-
| |
| | ET open/emerging-adware_pup ||
| |
| |-
| |
| | ET open/emerging-attack_response ||
| |
| |-
| |
| | ET open/emerging-chat ||
| |
| |-
| |
| | ET open/emerging-coinminer ||
| |
| |-
| |
| | ET open/emerging-current_events ||
| |
| |-
| |
| | ET open/emerging-deleted ||
| |
| |-
| |
| | ET open/emerging-dns ||
| |
| |-
| |
| | ET open/emerging-dos ||
| |
| |-
| |
| | ET open/emerging-exploit ||
| |
| |-
| |
| | ET open/emerging-exploit_kit ||
| |
| |-
| |
| | ET open/emerging-ftp ||
| |
| |-
| |
| | ET open/emerging-games ||
| |
| |-
| |
| | ET open/emerging-hunting ||
| |
| |-
| |
| | ET open/emerging-icmp ||
| |
| |-
| |
| | ET open/emerging-icmp_info ||
| |
| |-
| |
| | ET open/emerging-imap ||
| |
| |-
| |
| | ET open/emerging-inappropriate ||
| |
| |-
| |
| | ET open/emerging-info ||
| |
| |-
| |
| | ET open/emerging-ja3 ||
| |
| |-
| |
| | ET open/emerging-malware ||
| |
| |-
| |
| | ET open/emerging-misc ||
| |
| |-
| |
| | ET open/emerging-mobile_malware ||
| |
| |-
| |
| | ET open/emerging-netbios ||
| |
| |-
| |
| | ET open/emerging-p2p ||
| |
| |-
| |
| | ET open/emerging-phishing ||
| |
| |-
| |
| | ET open/emerging-policy ||
| |
| |-
| |
| | ET open/emerging-pop3 ||
| |
| |-
| |
| | ET open/emerging-rpc ||
| |
| |-
| |
| | ET open/emerging-scada ||
| |
| |-
| |
| | ET open/emerging-scan ||
| |
| |-
| |
| | ET open/emerging-shellcode ||
| |
| |-
| |
| | ET open/emerging-smtp ||
| |
| |-
| |
| | ET open/emerging-snmp ||
| |
| |-
| |
| | ET open/emerging-sql ||
| |
| |-
| |
| | ET open/emerging-telnet ||
| |
| |-
| |
| | ET open/emerging-tftp ||
| |
| |-
| |
| | ET open/emerging-user_agents ||
| |
| |-
| |
| | ET open/emerging-voip ||
| |
| |-
| |
| | ET open/emerging-web_client ||
| |
| |-
| |
| | ET open/emerging-web_server ||
| |
| |-
| |
| | ET open/emerging-web_specific_apps ||
| |
| |-
| |
| | ET open/emerging-worm ||
| |
| |-
| |
| | ET open/tor ||
| |
| |-
| |
| | OPNsense-App-detect/file-transfer || https://github.com/opnsense/rules
| |
| |-
| |
| | OPNsense-App-detect/mail ||
| |
| |-
| |
| | OPNsense-App-detect/media-streaming ||
| |
| |-
| |
| | OPNsense-App-detect/messaging ||
| |
| |-
| |
| | OPNsense-App-detect/social-networking ||
| |
| |-
| |
| | OPNsense-App-detect/test ||
| |
| |-
| |
| | OPNsense-App-detect/uncategorized ||
| |
| |}
| |
|
| |
|
| === Download der Rulesets ===
| | ; Beschreibung |
| ; Mit den oben durchgeführten Einstellungen ist das IPS bereits aktiv, allerdings fehlen nun noch die Pattern („Muster“), mit denen das IPS die Angriffe erkennen soll.
| | * Es fehlen noch die Muster (Pattern), mit denen das IPS die Angriffe erkennen kann |
| * Diese sind in Rulesets angeordnet. | | * Diese sind in Regelwerken angeordnet |
| * Ein Ruleset enthält mehrere Rules, die auf Pattern basieren. | | * Ein Regelwerken enthält mehrere Regeln, die auf Mustern basieren |
|
| |
|
| ; Grundsätzlich sucht man sich seine gewünschten Rulesets aus (Pkt. 1), klickt auf „enable selected“ (Pkt. 2) und dann auf „download & update rules“ (Pkt. 3). | | ; Regelsätze, die von verschiedenen Parteien zur Verfügung gestellt werden |
| | * und wann (falls installiert) sie zuletzt auf das System heruntergeladen wurden |
|
| |
|
| [[Image:Bild4.png|top]]
| | ; Gehen Sie auf die Registerkarte "Download" und klicken Sie auf die Kontrollkästchen neben den einzelnen Regelsätzen, die Sie aktivieren möchten |
| | * Wenn Sie alle Regelsätze ausgewählt haben, klicken Sie auf die Schaltfläche "Ausgewählte aktivieren", um die Regelsätze zu aktivieren |
| | * Sie sollten ein Häkchen neben den aktivierten Regelsätzen sehen |
|
| |
|
| ; Die Rulesets unterscheiden sich zum einen in kostenpflichtige und kostenlose Rulesets. | | ; Klicken Sie dann auf die Schaltfläche "Regeln herunterladen und aktualisieren", um die Regeln abzurufen |
| * Die „guten“ Patterns sind deshalb kostenpflichtig, weil sie kuratiert und aktuell gehalten werden, bspw.
| | * Neben den installierten Regeln sehen Sie das Datum des letzten Downloads |
| * IP-Adressen, von denen Angriffe, Portscans oder Exploits aus gestartet wurden. | |
|
| |
|
| ; Die kostenlosen Rulesets dagegen enthalten zum einen allgemeine Muster, bereits bekannte Schwachstellen oder IP-Adressen-Listen, die bereits älter sind.
| | ; Nachdem die Regelwerke herunterladen wurden, erscheint das Download-Datum unter „last updated“ |
| * In der Regel haben die kostenlosen Rulesets eine Verzögerung von 30 Tage.
| | * Die nicht ausgewählten Regelwerke führen zu einem das „x“ und weisen auch „not installed“ als Download-Datum aus |
| * Wer damit leben kann, darf gerne zugreifen.
| |
| | |
| ; Die zweite Unterscheidung besteht im Inhalt der Rulesets.
| |
| * Sie sind entweder thematisch (IPs), Service-bezogen (SSH, FTP, HTTP) oder Anwendung-bezogen (OpenSSH-Server, WordPress, MariaDB).
| |
| | |
| ; Wir empfehlen dringend, nur die benötigten Rulesets zu aktivieren.
| |
| * Das schont den RAM, die CPU sowie die Performance.
| |
| * Wer also FTP und Telnet gar nicht mehr im Netzwerk verwendet, muss diese Rulesets gar nicht herunterladen.
| |
| * Diese Patterns müssen daher auch nicht mit Traffic abgeglichen werden, was der Performance zugute kommt.
| |
| | |
| [[Image:Bild5.png|top]]
| |
| | |
| ; Nachdem die Rulesets herunterladen wurden, erscheint das Download-Datum unter „last updated“ (Pkt. 1).
| |
| * Die nicht ausgewählten Rulesets führen zu einem das „x“ und weisen auch „not installed“ als Download-Datum aus (Pkt. 2).
| |
| | |
| [[Image:Bild6.png|top]]
| |
| | |
| = TMP =
| |
| == Download der Rulesets ==
| |
| ; Mit den oben durchgeführten Einstellungen ist das IPS bereits aktiv, allerdings fehlen nun noch die Pattern („Muster“), mit denen das IPS die Angriffe erkennen soll.
| |
| * Diese sind in Rulesets angeordnet.
| |
| * Ein Ruleset enthält mehrere Rules, die auf Pattern basieren.
| |
| | |
| ; Grundsätzlich sucht man sich seine gewünschten Rulesets aus (Pkt. 1), klickt auf „enable selected“ (Pkt. 2) und dann auf „download & update rules“ (Pkt. 3).
| |
| | |
| [[Image:Bild4.png|top]]
| |
| | |
| ; Die Rulesets unterscheiden sich zum einen in kostenpflichtige und kostenlose Rulesets.
| |
| * Die „guten“ Patterns sind deshalb kostenpflichtig, weil sie kuratiert und aktuell gehalten werden, bspw.
| |
| * IP-Adressen, von denen Angriffe, Portscans oder Exploits aus gestartet wurden.
| |
| | |
| ; Die kostenlosen Rulesets dagegen enthalten zum einen allgemeine Muster, bereits bekannte Schwachstellen oder IP-Adressen-Listen, die bereits älter sind.
| |
| * In der Regel haben die kostenlosen Rulesets eine Verzögerung von 30 Tage.
| |
| * Wer damit leben kann, darf gerne zugreifen.
| |
| | |
| ; Die zweite Unterscheidung besteht im Inhalt der Rulesets.
| |
| * Sie sind entweder thematisch (IPs), Service-bezogen (SSH, FTP, HTTP) oder Anwendung-bezogen (OpenSSH-Server, WordPress, MariaDB).
| |
| | |
| ; Wir empfehlen dringend, nur die benötigten Rulesets zu aktivieren.
| |
| * Das schont den RAM, die CPU sowie die Performance.
| |
| * Wer also FTP und Telnet gar nicht mehr im Netzwerk verwendet, muss diese Rulesets gar nicht herunterladen.
| |
| * Diese Patterns müssen daher auch nicht mit Traffic abgeglichen werden, was der Performance zugute kommt.
| |
| | |
| [[Image:Bild5.png|top]]
| |
| | |
| ; Nachdem die Rulesets herunterladen wurden, erscheint das Download-Datum unter „last updated“ (Pkt. 1). | |
| * Die nicht ausgewählten Rulesets führen zu einem das „x“ und weisen auch „not installed“ als Download-Datum aus (Pkt. 2). | |
| | |
| [[Image:Bild6.png|top]]
| |
|
| |
|
| | ; Nur notwendige Regelwerke aktivieren |
| | * Das schont den RAM, die CPU sowie die Performance |
| | * Wer also FTP und Telnet gar nicht mehr im Netzwerk verwendet, muss diese Regelwerke gar nicht herunterladen |
| | * Diese Patterns müssen daher auch nicht mit Traffic abgeglichen werden, was der Performance zugutekommt |
|
| |
|
| | == Verfügbare Regelsätze == |
| | [[OPNsense/IDS/Verwaltung/Regelwerke]] |
|
| |
|
| [[Kategorie:OPNsense/IDS]] | | [[Kategorie:OPNsense/IDS]] |
|
| |
| = TMP =
| |
| == Regelsätze herunterladen ==
| |
| Wenn IDS/IPS zum ersten Mal aktiviert wird, ist das System ohne Regeln zur Erkennung oder Blockierung von bösartigem Datenverkehr aktiv.
| |
| * Die Registerkarte "Download" enthält alle auf dem System verfügbaren Regelsätze (die durch Plugins erweitert werden können).
| |
|
| |
| In diesem Abschnitt finden Sie eine Liste der Regelsätze, die von verschiedenen Parteien zur Verfügung gestellt werden, und wann (falls installiert) sie zuletzt auf das System heruntergeladen wurden.
| |
| * In früheren Versionen (vor 21.1) konnten Sie hier einen "Filter" auswählen, um das Standardverhalten der installierten Regeln von Warnung auf Blockierung zu ändern.
| |
| * Ab 21.1 wird diese Funktionalität von '''Policies''' abgedeckt, einer separaten Funktion innerhalb des IDS/IPS-Moduls, die eine feinere Kontrolle über die Regelsätze bietet.
| |
|
| |
| ; Anmerkung
| |
| : Bei der Migration von einer Version vor 21.1 werden die Filter von der Seite '''Regelsätze herunterladen''' automatisch in Richtlinien migriert.
| |