OPNsense: IPS - Domains statt IPs

Mitglied: ludaku
Hallo Zusammen

Ich habe diese Woche bemerkt, dass unter gewissen Umständen ab und zu gewisse Windows Updates vom IPS in der OPNsense geblockt werden. Ich wollte nun eigentlich für die Adressen, bei denen sich Windows seine Updates holt in der IPS eine Ausnahme erstellen. Allerding stehe ich dabei vor zwei Problemen:
1.) Anscheinend kann man in den User defined rules nur IPs, bzw. Subnetze eintragen. Bin ich hier zu blöd und das stimmt nicht, oder kann man wirklich keine Domains bzw. URLs als Regeln hinzufügen?
2.) Selbst wenn ich mir die idiotische Arbeit machen würde, und jede einzelne Adresse zu ihrer IP auflösen würde, so ist es anscheinend nicht möglich mehrere IPs oder ein Alias mit mehreren IPs für eine Regel zu hinterlegen. Ich müsste also für jede IP eine eigene Regel machen?

Hoffe ich bin gerade einfach nur zu blöde...

LG ludaku

Content-Key: 667458

Url: https://administrator.de/contentid/667458

Ausgedruckt am: 28.07.2021 um 05:07 Uhr

Mitglied: the-buccaneer
the-buccaneer 09.06.2021 um 20:09:22 Uhr
Goto Top
Moinsen!

Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht. ;-) face-wink

Da ich nur die PfSense und Snort halbwegs gut kenne muss ich raten, aber:

Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist. Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.

Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.

Musst du dich etwas einarbeiten. Dokumentation der Regeln ist grottig.

VG
Buc
Mitglied: lcer00
lcer00 09.06.2021 um 20:20:34 Uhr
Goto Top
Mitglied: ludaku
ludaku 09.06.2021 aktualisiert um 21:15:05 Uhr
Goto Top
Zitat von @the-buccaneer:
Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht. ;-) face-wink
Das ist mir klar, sonst hätte ich auch kein IPS eingerichtet ;-) face-wink Wollte damit nur sagen, dass dies sehr schwer reproduzierbar ist.

Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist.
Jein, z.B. ein Filtern nach Ports ist nicht möglich. Und ich müsste rein theoretisch jede URL, bei der Windows Updates zieht manuell zu einer IP auflösen und nach dieser IP in den Alerts suchen. Daher dachte ich auch daran gleich für die MS-Server eine Ausnahme zu erstellen.

Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.
Ja genau das wollte ich machen mir den sogenannten "User defined rules". Aber daran scheitere ich ja, siehe Punkt 1) und Punkt 2) im Startpost.

Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.
Nein, es sind nicht alle Rulesets von ET-Open aktiviert, nur einige. Aber das ist auch nicht das Thema, sondern die Ausnahmen :-) face-smile

... Dokumentation der Regeln ist grottig.
Das habe ich hingegen schon lange gemerkt :D
Mitglied: ludaku
ludaku 09.06.2021 um 21:14:35 Uhr
Goto Top
Ich nehme dass mal so, das aus "ab Werk" also nicht möglich ist eigene Regelwerke bzw. eigene Regeln mit URLs bzw. Domains hinzuzufügen, korrekt?
Dann schaue ich mir mal den Link an und werde es so versuchen wenn es anders nicht geht. :-/ face-confused
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 22 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 21 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 15 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...