3
Ids ips und webproxy Filter - wie richtig einsetzen mit opensense
Hallo,
bei der opnsense habe ich ein webporxy der ja auch IPs Filtern kann. Nehmen wir das Beispiel:
sslbl.abuse.ch/blacklist
Diese habe ich im Proxy als Blacklsite gespeichert. Jetzt gibt es im IDS/IPS aber auch diese Quelle Regelwerk, bei der ich
dann auch den Filter auf Drop gesetzt habe.
Jetzt frage ich mich ob das gut ist, wenn ich das zweimal blocke, oder ist es besser so, oder sollte man eines bevorzugen, oder ist es eventuell kontraproduktiv.
oder werdem mit dem IPS alle Ports die von der Blacklist Quelle kommen geblockt und vom Webproxy nur Port80?
Und was haltet Ihr von den Voreingestellten Regelwerken in opnsense, sollte man alle mal auf drop setzen?
bei der opnsense habe ich ein webporxy der ja auch IPs Filtern kann. Nehmen wir das Beispiel:
sslbl.abuse.ch/blacklist
Diese habe ich im Proxy als Blacklsite gespeichert. Jetzt gibt es im IDS/IPS aber auch diese Quelle Regelwerk, bei der ich
dann auch den Filter auf Drop gesetzt habe.
Jetzt frage ich mich ob das gut ist, wenn ich das zweimal blocke, oder ist es besser so, oder sollte man eines bevorzugen, oder ist es eventuell kontraproduktiv.
oder werdem mit dem IPS alle Ports die von der Blacklist Quelle kommen geblockt und vom Webproxy nur Port80?
Und was haltet Ihr von den Voreingestellten Regelwerken in opnsense, sollte man alle mal auf drop setzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 417099
Url: https://administrator.de/contentid/417099
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
das wie bei einer PfSense.
Viele Wege führen nach Rom. Nur macht doppelt das trouble shooting schwer.
Im genauen gilt auch hier die first match Regel und daher wirst du, zum Beispiel bei der perfmance, keine Nachteile haben.
Gruß
Spirit
das wie bei einer PfSense.
Viele Wege führen nach Rom. Nur macht doppelt das trouble shooting schwer.
Im genauen gilt auch hier die first match Regel und daher wirst du, zum Beispiel bei der perfmance, keine Nachteile haben.
Gruß
Spirit
Im genauen gilt auch hier die first match Regel und daher wirst du, zum Beispiel bei der perfmance, keine Nachteile haben.
Hi,
gut wenn es keine Performance Nachteile gibt, lasse ich es so.
Und was haltet Ihr von den Voreingestellten Regelwerken in opnsense, sollte man alle mal auf drop setzen, und bei Bedarf erst dann etwas nicht dropen, oder zulassen?
Zum Webproxy, den ich hauptsächlich deswegen nutze, weil man damit den Virenscann einbauen kann, aber der Verwaltungsaufwand stört mich.
Wenn ich z.b. der Firewall sage LAN1 darf nicht auf RFC1918 zugreifen nur Internet, dann klappt das ohne Proxy wunderbar, mit Proxy muss dann noch mal zusätzlich Filterregeln im Proxy setzen, usw. Dann will ich z.b. youtube erlauben, das reicht nicht weil youtube noch andere Seiten mit ladet. Selber habe ich es nicht geblockt, aber die ACL Listen, da ist der irgendwo dabei.
Ich würde deswegen eher auf den Proxy verzichten, aber würde dann zusätzlich noch was gegen DNS Angriffe etc. machen.
Was gibt es da für Lösungen, Plugins etc. um dies zu realisieren in der opensense?
Wenn ich z.b. der Firewall sage LAN1 darf nicht auf RFC1918 zugreifen nur Internet, dann klappt das ohne Proxy wunderbar, mit Proxy muss dann noch mal zusätzlich Filterregeln im Proxy setzen, usw. Dann will ich z.b. youtube erlauben, das reicht nicht weil youtube noch andere Seiten mit ladet. Selber habe ich es nicht geblockt, aber die ACL Listen, da ist der irgendwo dabei.
Ich würde deswegen eher auf den Proxy verzichten, aber würde dann zusätzlich noch was gegen DNS Angriffe etc. machen.
Was gibt es da für Lösungen, Plugins etc. um dies zu realisieren in der opensense?
