OPNsense/IDS/Verwaltung/Regelwerke

Aus Foxwiki

Abuse.ch

Blacklists zum Schutz vor betrügerischen Netzwerken
Regelwerk Beschreibung
abuse.ch/Feodo Tracker https://feodotracker.abuse.ch/blocklist/
abuse.ch/SSL Fingerprint Blacklist
abuse.ch/SSL IP Blacklist
abuse.ch/ThreatFox
abuse.ch/URLhaus

Feodo Tracker

Feodo ist ein Trojaner
  • auch bekannt als Cridex oder Bugat
  • Bankbetrug und Diebstahl von Informationen
    • z. B. Kreditkartendaten oder Anmeldeinformationen
Versionen
Version Beschreibung
Version A Wird auf kompromittierten Webservern gehostet
  • auf denen ein nginx-Proxy an Port 8080 TCP läuft
  • der den gesamten Botnet-Verkehr an einen Tier-2-Proxy-Knoten weiterleitet
  • Der Botnet-Verkehr trifft in der Regel direkt auf diese Hosts an Port 8080 TCP, ohne einen Domänennamen zu verwenden
Version B Wird auf Servern gehostet, die von Cyberkriminellen ausschließlich zum Hosten eines Feodo-Botnet-Controllers betrieben werden
  • Nutzt in der Regel einen Domänennamen innerhalb der ccTLD .ru
  • Der Botnet-Verkehr erfolgt in der Regel über den TCP-Port 80
Version C Nachfolger von Feodo, völlig anderer Code
  • wird auf derselben Botnet-Infrastruktur wie Version A gehostet, verwendet aber eine andere URL-Struktur
  • Diese Version ist auch unter den Namen Geodo und Emotet bekannt
Version D Nachfolger von Cridex
  • Diese Version ist auch als Dridex bekannt

Siehe https://feodotracker.abuse.ch/

SSL Blacklist

Liste von "schlechten" SSL-Zertifikaten
  • Die von abuse.ch mit Malware oder Botnetz-Aktivitäten in Verbindung gebracht werden
  • Stützt sich auf SHA1-Fingerprints von bösartigen SSL-Zertifikaten und bietet verschiedene Blacklists an

Siehe https://sslbl.abuse.ch

URLHaus

Sammelt kompromittierte Seiten, die Malware verbreiten
Weitere Informationen

Emerging Threats

Vielzahl von IDS/IPS-Regelsätzen

siehe https://doc.emergingthreats.net/bin/view/Main/AboutEmergingThreats

Versionen

Version Beschreibung
ET Open frei, BSD-lizenziert
ET Pro Telemetrie kostenpflichtig

ET Open

OPNsense hat eine integrierte Unterstützung für ETOpen-Regeln
  • Kann in Machen Umgebungen nicht ausreichend sein
Details und Richtlinien
Dokumentation der Regeln

ET Pro Telemetrie

App-Erkennung

Blockieren von Webdiensten
  • und entsprechenden URLs
  • 80 Prozent des Datenverkehrs sind Webanwendungen
Weitere Informationen
Regelwerk Beschreibung
OPNsense-App-detect/file-transfer
OPNsense-App-detect/mail
OPNsense-App-detect/media-streaming
OPNsense-App-detect/messaging
OPNsense-App-detect/social-networking
OPNsense-App-detect/test
OPNsense-App-detect/uncategorized