balivorinsky
Goto Top

Ids ips und webproxy Filter - wie richtig einsetzen mit opensense

Hallo,

bei der opnsense habe ich ein webporxy der ja auch IPs Filtern kann. Nehmen wir das Beispiel:

sslbl.abuse.ch/blacklist

Diese habe ich im Proxy als Blacklsite gespeichert. Jetzt gibt es im IDS/IPS aber auch diese Quelle Regelwerk, bei der ich
dann auch den Filter auf Drop gesetzt habe.
Jetzt frage ich mich ob das gut ist, wenn ich das zweimal blocke, oder ist es besser so, oder sollte man eines bevorzugen, oder ist es eventuell kontraproduktiv.
oder werdem mit dem IPS alle Ports die von der Blacklist Quelle kommen geblockt und vom Webproxy nur Port80?

Und was haltet Ihr von den Voreingestellten Regelwerken in opnsense, sollte man alle mal auf drop setzen?

Content-ID: 417099

Url: https://administrator.de/forum/ids-ips-und-webproxy-filter-wie-richtig-einsetzen-mit-opensense-417099.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 14.02.2019 um 08:10:53 Uhr
Goto Top
Moin,

das wie bei einer PfSense.
Viele Wege führen nach Rom. Nur macht doppelt das trouble shooting schwer.

Im genauen gilt auch hier die first match Regel und daher wirst du, zum Beispiel bei der perfmance, keine Nachteile haben.

Gruß
Spirit
Balivorinsky
Balivorinsky 14.02.2019 um 21:40:54 Uhr
Goto Top
Im genauen gilt auch hier die first match Regel und daher wirst du, zum Beispiel bei der perfmance, keine Nachteile haben.

Hi,
gut wenn es keine Performance Nachteile gibt, lasse ich es so.

Und was haltet Ihr von den Voreingestellten Regelwerken in opnsense, sollte man alle mal auf drop setzen, und bei Bedarf erst dann etwas nicht dropen, oder zulassen?
Balivorinsky
Balivorinsky 05.03.2019 um 16:15:55 Uhr
Goto Top
Zum Webproxy, den ich hauptsächlich deswegen nutze, weil man damit den Virenscann einbauen kann, aber der Verwaltungsaufwand stört mich.
Wenn ich z.b. der Firewall sage LAN1 darf nicht auf RFC1918 zugreifen nur Internet, dann klappt das ohne Proxy wunderbar, mit Proxy muss dann noch mal zusätzlich Filterregeln im Proxy setzen, usw. Dann will ich z.b. youtube erlauben, das reicht nicht weil youtube noch andere Seiten mit ladet. Selber habe ich es nicht geblockt, aber die ACL Listen, da ist der irgendwo dabei.

Ich würde deswegen eher auf den Proxy verzichten, aber würde dann zusätzlich noch was gegen DNS Angriffe etc. machen.
Was gibt es da für Lösungen, Plugins etc. um dies zu realisieren in der opensense?