OPNsense/IDS/Verwaltung/Herunterladen: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 56: Zeile 56:
== Verfügbare Regelsätze ==
== Verfügbare Regelsätze ==
[[OPNsense/IDS/Verwaltung/Rulesets]]
[[OPNsense/IDS/Verwaltung/Rulesets]]
== Weblinks ==
# https://docs.opnsense.org/manual/how-tos/ips-feodo.html
# https://docs.opnsense.org/manual/how-tos/ips-sslfingerprint.html

Version vom 11. März 2023, 09:13 Uhr

Download von Regelwerken

OPNsenseIdsVerwaltungHerunterladen
Mit den in [[]] durchgeführten Einstellungen ist das IPS bereits aktiv
  • allerdings fehlen nun noch die Muster (Pattern), mit denen das IPS die Angriffe erkennen kann
  • Diese sind in Regelwerken angeordnet
  • Ein Regelwerken enthält mehrere Regeln, die auf Mustern basieren
Grundsätzlich sucht man sich seine gewünschten Regelwerke aus, klickt auf „enable selected“ und dann auf „download & update rules“

Datei:Bild4.png

Nur notwendige Regelwerke benötigten Rulesets zu aktivieren
Wir empfehlen dringend, nur die benötigten Rulesets zu aktivieren.
  • Das schont den RAM, die CPU sowie die Performance.
  • Wer also FTP und Telnet gar nicht mehr im Netzwerk verwendet, muss diese Rulesets gar nicht herunterladen.
  • Diese Patterns müssen daher auch nicht mit Traffic abgeglichen werden, was der Performance zugute kommt.

Datei:Bild5.png

Nachdem die Rulesets herunterladen wurden, erscheint das Download-Datum unter „last updated“
  • Die nicht ausgewählten Rulesets führen zu einem das „x“ und weisen auch „not installed“ als Download-Datum aus

Datei:Bild6.png


Regelsätze herunterladen

Wenn IDS/IPS zum ersten Mal aktiviert wird, ist das System ohne Regeln zur Erkennung oder Blockierung von bösartigem Datenverkehr aktiv.
  • Die Registerkarte "Download" enthält alle auf dem System verfügbaren Regelsätze (die durch Plugins erweitert werden können).
In diesem Abschnitt finden Sie eine Liste der Regelsätze, die von verschiedenen Parteien zur Verfügung gestellt werden, und wann (falls installiert) sie zuletzt auf das System heruntergeladen wurden.
  • In früheren Versionen (vor 21.1) konnten Sie hier einen "Filter" auswählen, um das Standardverhalten der installierten Regeln von Warnung auf Blockierung zu ändern.
  • Ab 21.1 wird diese Funktionalität von Policies abgedeckt, einer separaten Funktion innerhalb des IDS/IPS-Moduls, die eine feinere Kontrolle über die Regelsätze bietet.
Anmerkung
Bei der Migration von einer Version vor 21.1 werden die Filter von der Seite Regelsätze herunterladen automatisch in Richtlinien migriert.

Herunterladen und Aktivieren von Regelsätzen

Gehen Sie auf die Registerkarte "Download" und klicken Sie auf die Kontrollkästchen neben den einzelnen Regelsätzen, die Sie aktivieren möchten.
  • In diesem Beispiel habe ich mehrere Regelsätze ausgewählt.

"OPNsense intrusion detection"

Wenn Sie alle Regelsätze ausgewählt haben, klicken Sie auf die Schaltfläche "Ausgewählte aktivieren", um die Regelsätze zu aktivieren.
  • Sie sollten ein Häkchen neben den aktivierten Regelsätzen sehen.

"OPNsense intrusion detection"

Klicken Sie dann auf die Schaltfläche "Regeln herunterladen und aktualisieren", um die Regeln abzurufen.
  • Neben den installierten Regeln sehen Sie das Datum des letzten Downloads.

"OPNsense intrusion detection"

Verfügbare Regelsätze

OPNsense/IDS/Verwaltung/Rulesets