OPNsense/IDS/Verwaltung/Einstellungen: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== Einstellungen == mini|500px {| class="wikitable sortable options" |- ! Option !! Beschreibung |- | Aktiviert || Einbruchserkennungssystem aktivieren |- | IPS-Modus || Schutzmodus aktivieren (Verkehr blockieren) * Vor der Aktivierung deaktivieren Sie bitte zuerst alle Hardware-Auslagerungen im erweiterten Netzwerk |- | Promiscuous-Modus || Aktiviere den promiscuous-Modus * Dies ist für manc…“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 66: | Zeile 66: | ||
[[Image:Bild3.png|top]] | [[Image:Bild3.png|top]] | ||
[[Kategorie:OPNsense/IDS]] | |||
Version vom 5. März 2023, 10:28 Uhr
Einstellungen
| Option | Beschreibung |
|---|---|
| Aktiviert | Einbruchserkennungssystem aktivieren |
| IPS-Modus | Schutzmodus aktivieren (Verkehr blockieren)
|
| Promiscuous-Modus | Aktiviere den promiscuous-Modus
|
| Enable syslog alerts | Warnmeldungen im Schnellprotokollformat an das Systemprotokoll senden
|
| Enable eve syslog output | Senden von Warnmeldungen im Vorabendformat an syslog, unter Verwendung von Loglevel-Informationen
|
| Musterprüfer | Mehrmustervergleichsalgorithmus, der verwendet werden soll |
| Schnittstellen | Wählen Sie die zu verwendende Schittstelle(n) aus
|
| Protokoll rotieren | Alarmprotokolle zum angegebenen Intervall rotieren |
| Protokolle speichern | Anzahl an Protokollen, die behalten werden |
Grundkonfiguration
- „Services > Intrusion Detection > Administration“
- OPNsense/IDS/Verwaltung/Einstellungen
- Als Erstes aktivieren wir den „Advanced Mode“ (1), um die erweiterten Optionen zu haben
- Anschließend aktivieren wir den Dienst Suricata überhaupt (2)
- Zu Beginn des Artikels haben wir ja den Unterschied zwischen IDS und IPS beschrieben
- soll die OPNsense den Traffic aktiv unterbrechen, dann müssen wir den „IPS mode“ aktivieren (3)
- Übrigens: das IPS Suricata wird auch von kommerziellen Security-Produkten wie FireEye eingesetzt
- Promiscuouse mode
Für den Fall, dass wir einen VLAN-Trunk an die OPNsense heranführen, müssen wir den „Promiscuouse mode“ aktivieren,
- da dann das zugrundeliegende physikalische Interface überwacht wird und
- OPNsense auch die Pakete anfassen soll, die eigentlich nicht für das Interface gedacht sind (4)
- Hinweis
- es ist auch möglich, die VLAN-Interfaces zu überwachen.
- Die Möglichkeiten dazu sind abhängig von der Schnittstellen-Hardware und letztlich von den Treibern.
- Bei einigen Systemen führt das Überwachen von VLAN-Interfaces zum Verlust der Konnektivität.
- Wenn wir die Alarme und Blocks des IPS verwerten wollen (Dashboards, Korrelationen, SIEM, SOAR), dann können wir die Daten per Syslog weiterleiten (z.B. an Graylog oder Splunk) (5)
- Im Gegensatz zu einem normalen Paketfilter, dessen IP-Adressberechnungen rein nummerisch erfolgen, nimmt ein IPS eine große Menge an Mustern und vergleicht sie mit dem tatsächlichen Traffic.
- Die Software zum Abgleich kann unterschiedlich ressourcenhungrig und effizient gestalten werden.
- Wir haben bislang gute Erfahrungen mit dem „Pattern matcher“ Hyperscan gemacht (6).
- Unter (7) legen wir fest, an welchen Interfaces ein IPS aktiviert werden soll.
- Es gibt Stimmen, die ein IPS am WAN-Interface für unnötig halten, wenn NAT durchgeführt wird.
- Wir konnten das bislang nicht nachvollziehen.
- Anschließend wird unter „Home networks“ noch festgelegt, welche IPs im internen Netzwerk genutzt werden.
- Diese Information wird auch dynamisch in Mustern verwendet (8).
- Zum Schluss einmal auf „Apply“ klicken, um die Einstellungen zu übernehmen und zu speichern (9).
