OPNsense/IDS/Verwaltung/Einstellungen

Einstellungen

Option	Beschreibung
Aktiviert	Einbruchserkennungssystem aktivieren
IPS-Modus	Schutzmodus aktivieren (Verkehr blockieren) Vor der Aktivierung deaktivieren Sie bitte zuerst alle Hardware-Auslagerungen im erweiterten Netzwerk
Promiscuous-Modus	Aktiviere den promiscuous-Modus Dies ist für manche Fälle wie IPS mit VLANS eforderlich, um auf Daten auf der physischen Schnittstelle zuzugreifen
Enable syslog alerts	Warnmeldungen im Schnellprotokollformat an das Systemprotokoll senden Dies ändert nichts an der vom Produkt selbst verwendeten Warnmeldungsprotokollierung
Enable eve syslog output	Senden von Warnmeldungen im Vorabendformat an syslog, unter Verwendung von Loglevel-Informationen Dies ändert nichts an der vom Produkt selbst verwendeten Protokollierung von Warnmeldungen Drop Logs werden aufgrund von Einschränkungen in Suricata nur an den internen Logger gesendet
Musterprüfer	Mehrmustervergleichsalgorithmus, der verwendet werden soll
Schnittstellen	Wählen Sie die zu verwendende Schittstelle(n) aus Verwenden Sie hier nur physische Schnittstellen, wenn das IPS aktiviert wird (keine VLANs etc.)
Protokoll rotieren	Alarmprotokolle zum angegebenen Intervall rotieren
Protokolle speichern	Anzahl an Protokollen, die behalten werden

„Services > Intrusion Detection > Administration“

Als Erstes aktivieren wir den „Advanced Mode“ (1), um die erweiterten Optionen zu haben

Zu Beginn des Artikels haben wir ja den Unterschied zwischen IDS und IPS beschrieben

soll die OPNsense den Traffic aktiv unterbrechen, dann müssen wir den „IPS mode“ aktivieren (3)
Übrigens: das IPS Suricata wird auch von kommerziellen Security-Produkten wie FireEye eingesetzt

Für den Fall, dass wir einen VLAN-Trunk an die OPNsense heranführen, müssen wir den „Promiscuouse mode“ aktivieren,

da dann das zugrundeliegende physikalische Interface überwacht wird und
OPNsense auch die Pakete anfassen soll, die eigentlich nicht für das Interface gedacht sind (4)

Die Möglichkeiten dazu sind abhängig von der Schnittstellen-Hardware und letztlich von den Treibern.
Bei einigen Systemen führt das Überwachen von VLAN-Interfaces zum Verlust der Konnektivität.

Wenn wir die Alarme und Blocks des IPS verwerten wollen (Dashboards, Korrelationen, SIEM, SOAR), dann können wir die Daten per Syslog weiterleiten (z.B. an Graylog oder Splunk) (5)

Im Gegensatz zu einem normalen Paketfilter, dessen IP-Adressberechnungen rein nummerisch erfolgen, nimmt ein IPS eine große Menge an Mustern und vergleicht sie mit dem tatsächlichen Traffic.

Die Software zum Abgleich kann unterschiedlich ressourcenhungrig und effizient gestalten werden.
Wir haben bislang gute Erfahrungen mit dem „Pattern matcher“ Hyperscan gemacht (6).

Unter (7) legen wir fest, an welchen Interfaces ein IPS aktiviert werden soll.

Es gibt Stimmen, die ein IPS am WAN-Interface für unnötig halten, wenn NAT durchgeführt wird.
Wir konnten das bislang nicht nachvollziehen.

Anschließend wird unter „Home networks“ noch festgelegt, welche IPs im internen Netzwerk genutzt werden.

Zum Schluss einmal auf „Apply“ klicken, um die Einstellungen zu übernehmen und zu speichern (9).