OPNsense/IDS/Verwaltung/Einstellungen: Unterschied zwischen den Versionen
Zeile 136: | Zeile 136: | ||
|} | |} | ||
== Allgemeine Einstellungen == | == Allgemeine Einstellungen == | ||
Die Einstellungsseite enthält die Standardoptionen, um Ihr IDS/IPS-System zum Laufen zu bringen. | Die Einstellungsseite enthält die Standardoptionen, um Ihr IDS/IPS-System zum Laufen zu bringen. |
Version vom 5. März 2023, 10:54 Uhr
Einstellungen
Option | Beschreibung |
---|---|
Aktiviert | Einbruchserkennungssystem aktivieren |
IPS-Modus | Schutzmodus aktivieren (Verkehr blockieren)
|
Promiscuous-Modus | Aktiviere den promiscuous-Modus
|
Enable syslog alerts | Warnmeldungen im Schnellprotokollformat an das Systemprotokoll senden
|
Enable eve syslog output | Senden von Warnmeldungen im Vorabendformat an syslog, unter Verwendung von Loglevel-Informationen
|
Musterprüfer | Mehrmustervergleichsalgorithmus, der verwendet werden soll |
Schnittstellen | Wählen Sie die zu verwendende Schittstelle(n) aus
|
Protokoll rotieren | Alarmprotokolle zum angegebenen Intervall rotieren |
Protokolle speichern | Anzahl an Protokollen, die behalten werden |
Grundkonfiguration
- „Services > Intrusion Detection > Administration“
- OPNsense/IDS/Verwaltung/Einstellungen
- Als Erstes aktivieren wir den „Advanced Mode“ (1), um die erweiterten Optionen zu haben
- Anschließend aktivieren wir den Dienst Suricata überhaupt (2)
- Zu Beginn des Artikels haben wir ja den Unterschied zwischen IDS und IPS beschrieben
- soll die OPNsense den Traffic aktiv unterbrechen, dann müssen wir den „IPS mode“ aktivieren (3)
- Übrigens: das IPS Suricata wird auch von kommerziellen Security-Produkten wie FireEye eingesetzt
- Promiscuouse mode
Für den Fall, dass wir einen VLAN-Trunk an die OPNsense heranführen, müssen wir den „Promiscuouse mode“ aktivieren,
- da dann das zugrundeliegende physikalische Interface überwacht wird und
- OPNsense auch die Pakete anfassen soll, die eigentlich nicht für das Interface gedacht sind (4)
- Hinweis
- es ist auch möglich, die VLAN-Interfaces zu überwachen.
- Die Möglichkeiten dazu sind abhängig von der Schnittstellen-Hardware und letztlich von den Treibern.
- Bei einigen Systemen führt das Überwachen von VLAN-Interfaces zum Verlust der Konnektivität.
- Wenn wir die Alarme und Blocks des IPS verwerten wollen (Dashboards, Korrelationen, SIEM, SOAR), dann können wir die Daten per Syslog weiterleiten (z.B. an Graylog oder Splunk) (5)
- Im Gegensatz zu einem normalen Paketfilter, dessen IP-Adressberechnungen rein nummerisch erfolgen, nimmt ein IPS eine große Menge an Mustern und vergleicht sie mit dem tatsächlichen Traffic.
- Die Software zum Abgleich kann unterschiedlich ressourcenhungrig und effizient gestalten werden.
- Wir haben bislang gute Erfahrungen mit dem „Pattern matcher“ Hyperscan gemacht (6).
- Unter (7) legen wir fest, an welchen Interfaces ein IPS aktiviert werden soll.
- Es gibt Stimmen, die ein IPS am WAN-Interface für unnötig halten, wenn NAT durchgeführt wird.
- Wir konnten das bislang nicht nachvollziehen.
- Anschließend wird unter „Home networks“ noch festgelegt, welche IPs im internen Netzwerk genutzt werden.
- Diese Information wird auch dynamisch in Mustern verwendet (8).
- Zum Schluss einmal auf „Apply“ klicken, um die Einstellungen zu übernehmen und zu speichern (9).
Einstellungen
Aktiviert | Einbruchserkennungssystem aktivieren. | |
IPS-Modus | Enable protection mode (block traffic).Before enabling, please disable all hardware offloading first in advanced network. | |
Promiscuous-Modus | Aktiviere den promiscuous-Modus.
|
|
Enable syslog alerts | Send alerts to system log in fast log format.
|
|
Enable eve syslog output | Send alerts in eve format to syslog, using log level info.
|
|
Musterprüfer |
Geben Sie den Mehrmustervergleichsalgorithmus an, der verwendet werden soll. | |
Schnittstellen |
Alles entfernen
Wählen Sie die zu verwendende Schittstelle(n) aus.
|
|
Protokoll rotieren |
Alarmprotokolle zum angegebenen Intervall rotieren. | |
Protokolle speichern | Anzahl an Protokollen, die behalten werden. |
Allgemeine Einstellungen
Die Einstellungsseite enthält die Standardoptionen, um Ihr IDS/IPS-System zum Laufen zu bringen.
Aktiviert | Suricata einschalten |
IPS-Modus | Wenn aktiviert, kann das System verdächtige Pakete verwerfen.
|
Promiskuitiver Modus | Mithören von Verkehr im Promiscuous-Modus. (alle Pakete anstelle von nur den an diese Netzwerkschnittstelle adressierten) |
Aktiviere Syslog-Warnungen | Alarme an Syslog senden, unter Verwendung des Fast-Log-Formats |
Aktiviere eve syslog Ausgabe | Alarme im EVE Format an Syslog senden, unter Verwendung von Log Level Info.
|
Mustervergleicher | Steuert den Algorithmus für die Mustererkennung.
|
Schnittstellen | Zu schützende Schnittstellen.
|
Protokoll rotieren | Rotationshäufigkeit des Protokolls, wird auch für die interne Ereignisprotokollierung verwendet (siehe Registerkarte "Alert") |
Logs speichern | Anzahl der zu speichernden Protokolle |
- Tipp
- Wenn Sie ein externes Berichtstool verwenden, können Sie Ihr EVE-Protokoll ganz einfach per Syslog versenden.
- Aktivieren Sie einfach "Enable EVE syslog output" und erstellen Sie ein Ziel in System ‣ Settings ‣ Logging / Targets. (Filter Anwendung "suricata" und Level "info")
- Hinweis
- Wenn Sie den IPS-Modus verwenden, stellen Sie sicher, dass alle Hardware-Offloading-Funktionen in den Schnittstelleneinstellungen deaktiviert sind (Schnittstellen ‣ Einstellungen).
- Vor Version 20.7 war "VLAN Hardware Filtering" nicht deaktiviert, was bei einigen Netzwerkkarten zu Problemen führen kann.
TMP
Auswahl einer Schnittstelle
- Sie können das System über verschiedene Schnittstellen konfigurieren
- Eine der am häufigsten gestellten Fragen ist, welche Schnittstelle man wählen soll.
- In Anbetracht der fortgesetzten Verwendung von IPv4, in der Regel in Kombination mit Network Address Translation, ist es sehr wichtig, die richtige Schnittstelle zu verwenden.
- Wenn Sie den Verkehr über eine WAN-Schnittstelle erfassen, sehen Sie nur den Verkehr nach der Adressübersetzung.
- This means all the traffic is originating from your firewall and not from the actual machine behind it that is likely triggering the alert.
- Regeln für ein IDS/IPS-System müssen in der Regel ein klares Verständnis des internen Netzwerks haben; diese Informationen gehen verloren, wenn Pakete hinter NAT erfasst werden.
Ohne zu versuchen, alle Details einer IDS-Regel zu erklären (das können die Leute von Suricata viel besser [1]), hilft ein kleines Beispiel für eine der ET-Open-Regeln, die Bedeutung Ihres Heimnetzwerks zu verstehen.
alert tls $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN Observed Glupteba CnC Domain in TLS SNI"; flow:established,to_server; tls_sni; content:"myinfoart.xyz"; depth:13; isdataat:!1,relative; metadata: former_category MALWARE; reference:md5,4cc43c345aa4d6e8fd2d0b6747c3d996; classtype:trojan-activity; sid:2029751; rev:2; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, deployment Perimeter, signature_severity Major, created_at 2020_03_30, updated_at 2020_03_30;)
- Das $HOME_NET kann konfiguriert werden, aber normalerweise ist es ein statisches Netz, das in RFC 1918.
- Im erweiterten Modus können Sie eine externe Adresse wählen, aber bedenken Sie, dass Sie nicht wissen, welcher Rechner wirklich an dem Angriff beteiligt war, und dass es sich um eine statische Adresse oder ein Netzwerk handeln sollte.
- $EXTERNAL_NET wird als nicht das Heimatnetz definiert, was erklärt, warum Sie nicht den gesamten Verkehr als Heimatnetz auswählen sollten, da wahrscheinlich keine der Regeln passen wird.
- Hinweis
- Der IDS-Modus ist für fast alle (virtuellen) Netzwerktypen verfügbar.
- Der IPS-Modus ist nur mit unterstützten physischen Adaptern verfügbar.
TMP
Erweiterte Optionen
- Einige weniger häufig verwendete Optionen sind unter dem Schalter "Erweitert" versteckt
Heimnetzwerke | Definieren Sie benutzerdefinierte Heimnetzwerke, wenn sie sich von einem RFC1918-Netzwerk unterscheiden.
|
Standard-Paketgröße | Mit dieser Option können Sie die Größe der Pakete in Ihrem Netzwerk einstellen.
|