OPNsense: IPS - Domains statt IPs

Hallo Zusammen

Ich habe diese Woche bemerkt, dass unter gewissen Umständen ab und zu gewisse Windows Updates vom IPS in der OPNsense geblockt werden. Ich wollte nun eigentlich für die Adressen, bei denen sich Windows seine Updates holt in der IPS eine Ausnahme erstellen. Allerding stehe ich dabei vor zwei Problemen:
1.) Anscheinend kann man in den User defined rules nur IPs, bzw. Subnetze eintragen. Bin ich hier zu blöd und das stimmt nicht, oder kann man wirklich keine Domains bzw. URLs als Regeln hinzufügen?
2.) Selbst wenn ich mir die idiotische Arbeit machen würde, und jede einzelne Adresse zu ihrer IP auflösen würde, so ist es anscheinend nicht möglich mehrere IPs oder ein Alias mit mehreren IPs für eine Regel zu hinterlegen. Ich müsste also für jede IP eine eigene Regel machen?

Hoffe ich bin gerade einfach nur zu blöde...

LG ludaku

Content-Key: 667458

Url: https://administrator.de/contentid/667458

Ausgedruckt am: 20.06.2021 um 02:06 Uhr

4 Kommentare
Mitglied: the-buccaneer
Moinsen!

Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht. ;-) face-wink

Da ich nur die PfSense und Snort halbwegs gut kenne muss ich raten, aber:

Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist. Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.

Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.

Musst du dich etwas einarbeiten. Dokumentation der Regeln ist grottig.

VG
Buc
Mitglied: ludaku
Zitat von @the-buccaneer:
Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht. ;-) face-wink
Das ist mir klar, sonst hätte ich auch kein IPS eingerichtet ;-) face-wink Wollte damit nur sagen, dass dies sehr schwer reproduzierbar ist.

Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist.
Jein, z.B. ein Filtern nach Ports ist nicht möglich. Und ich müsste rein theoretisch jede URL, bei der Windows Updates zieht manuell zu einer IP auflösen und nach dieser IP in den Alerts suchen. Daher dachte ich auch daran gleich für die MS-Server eine Ausnahme zu erstellen.

Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.
Ja genau das wollte ich machen mir den sogenannten "User defined rules". Aber daran scheitere ich ja, siehe Punkt 1) und Punkt 2) im Startpost.

Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.
Nein, es sind nicht alle Rulesets von ET-Open aktiviert, nur einige. Aber das ist auch nicht das Thema, sondern die Ausnahmen :-) face-smile

... Dokumentation der Regeln ist grottig.
Das habe ich hingegen schon lange gemerkt :D
Mitglied: ludaku
Ich nehme dass mal so, das aus "ab Werk" also nicht möglich ist eigene Regelwerke bzw. eigene Regeln mit URLs bzw. Domains hinzuzufügen, korrekt?
Dann schaue ich mir mal den Link an und werde es so versuchen wenn es anders nicht geht. :-/ face-confused
Heiß diskutierte Beiträge
Windows 10
Austritt Mitarbeiter - Windows- u. M365 Konto
gelöst NixVerstehenVor 1 TagFrageWindows 1011 Kommentare

Moin zusammen, ich habe hier im Kleinunternehmen tatsächlich zum ersten Mal die Situation, das eine Mitarbeiterin aus dem kaufmännischen Bereich ausscheiden wird. Die Kollegin ist ...

Netzwerke
Kassen freezen ohne ersichtlichen Grund
Ronic1Vor 17 StundenFrageNetzwerke12 Kommentare

Hallo Zusammen, ich schreibe heute zum ersten Mal in diesem Forum. Also weißt mich bitte auf etwaige Fehler meinerseits hin. Wie ich in anderen Beiträgen ...

Windows Server
Always-on-VPN mit einer Netzwerkkarte
bluelightVor 1 TagFrageWindows Server11 Kommentare

Hallo zusammen, ich bin tatsächlich einmal auf eure Hilfe angewiesen! Ich habe für unser Unternehmen ein Domänennetzwerk auf einem Rootserver von Netcup erstellt und weitestgehend ...

Microsoft
Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?
stephan.csVor 1 TagFrageMicrosoft6 Kommentare

Guten Morgen zusammen, leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage Wir haben folgende Situation: - Windows 10 Clients ...

Installation
Setup mit automatischen Klicks
akadawaVor 1 TagFrageInstallation9 Kommentare

Moin, ich habe eine Installation welche ich gerne über das Softwarecenter vom SCCM installieren lassen möchte. Leider lassen die Parameter der Setup.exe es nicht zu, ...

Windows Netzwerk
PRTG Probe erkennt Lancom Router nicht mehr
gelöst blackarchVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo zusammen, die o.g. Probe ist auf dem Server eines Standortes installiert und lief bis dato problemlos. Gestern fiel nun der Ping für den Router ...

Windows 10
PDF Datei wird falsch angezeigt
ben1300Vor 1 TagFrageWindows 107 Kommentare

Hallo zusammen, habe hier eine PDF Datei, welche auf einem Macbook (Big Sur) und einem Windows 10 Prof. x64 Client problemlos dargestellt wird. Nun kommt ...

TK-Netze & Geräte
Starface mit NGN verliert Gateway
FabezzVor 17 StundenFrageTK-Netze & Geräte9 Kommentare

Guten Morgen zusammen, ich hoffe dass ich das richtige Thema getroffen habe. In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht ...