OPNsense: IPS - Domains statt IPs

Mitglied: ludaku

ludaku (Level 1) - Jetzt verbinden

Jun 09, 2021, aktualisiert 18:58 Uhr, 585 Aufrufe, 4 Kommentare

Hallo Zusammen

Ich habe diese Woche bemerkt, dass unter gewissen Umständen ab und zu gewisse Windows Updates vom IPS in der OPNsense geblockt werden. Ich wollte nun eigentlich für die Adressen, bei denen sich Windows seine Updates holt in der IPS eine Ausnahme erstellen. Allerding stehe ich dabei vor zwei Problemen:
1.) Anscheinend kann man in den User defined rules nur IPs, bzw. Subnetze eintragen. Bin ich hier zu blöd und das stimmt nicht, oder kann man wirklich keine Domains bzw. URLs als Regeln hinzufügen?
2.) Selbst wenn ich mir die idiotische Arbeit machen würde, und jede einzelne Adresse zu ihrer IP auflösen würde, so ist es anscheinend nicht möglich mehrere IPs oder ein Alias mit mehreren IPs für eine Regel zu hinterlegen. Ich müsste also für jede IP eine eigene Regel machen?

Hoffe ich bin gerade einfach nur zu blöde...

LG ludaku
Mitglied: the-buccaneer
Jun 09, 2021 um 20:09 Uhr
Moinsen!

Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht. ;-) face-wink

Da ich nur die PfSense und Snort halbwegs gut kenne muss ich raten, aber:

Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist. Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.

Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.

Musst du dich etwas einarbeiten. Dokumentation der Regeln ist grottig.

VG
Buc
Bitte warten ..
Mitglied: ludaku
Jun 09, 2021, aktualisiert um 21:15 Uhr
Zitat von @the-buccaneer:
Unter "gewissen Umständen" greifen bei einem IPS "gewisse Regeln". Das ist so erwünscht. ;-) face-wink
Das ist mir klar, sonst hätte ich auch kein IPS eingerichtet ;-) face-wink Wollte damit nur sagen, dass dies sehr schwer reproduzierbar ist.

Auch unter Suricata sollte es irgendwie möglich sein zu erkennen welche Regel für die Blockade verantwortlich ist.
Jein, z.B. ein Filtern nach Ports ist nicht möglich. Und ich müsste rein theoretisch jede URL, bei der Windows Updates zieht manuell zu einer IP auflösen und nach dieser IP in den Alerts suchen. Daher dachte ich auch daran gleich für die MS-Server eine Ausnahme zu erstellen.

Dort müsste man diese auch ausser Kraft setzen können bzw. Ausnahmen für Quelle oder Ziel definieren können.
Ja genau das wollte ich machen mir den sogenannten "User defined rules". Aber daran scheitere ich ja, siehe Punkt 1) und Punkt 2) im Startpost.

Ich tippe auf ein komplett installiertes und aktiviertes ET-Open Ruleset. Da sind Sachen dabei, die will man meistens nicht aktivieren.
Nein, es sind nicht alle Rulesets von ET-Open aktiviert, nur einige. Aber das ist auch nicht das Thema, sondern die Ausnahmen :-) face-smile

... Dokumentation der Regeln ist grottig.
Das habe ich hingegen schon lange gemerkt :D
Bitte warten ..
Mitglied: ludaku
Jun 09, 2021 um 21:14 Uhr
Ich nehme dass mal so, das aus "ab Werk" also nicht möglich ist eigene Regelwerke bzw. eigene Regeln mit URLs bzw. Domains hinzuzufügen, korrekt?
Dann schaue ich mir mal den Link an und werde es so versuchen wenn es anders nicht geht. :-/ face-confused
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Sehr große Dateien über das Internet versenden
solved pd.edv1 day agoQuestionInternet113 Comments

Hallo, ich muss immer wieder große Daten über das Internet übertragen - da werden viele am WeTransfer & Co. denken aber mit den winzigen ...

Hardware
MiniPC Empfehlung AliExpress
winlin1 day agoGeneralHardware23 Comments

Hallo Zusammen, Hat schon mal jemand hier einen Mini pc bei AliExpress gekauft und kann einen empfehlen??? Suche etwas wo ich 2vms problemlos virtualisieren ...

Windows 10
Custom Windows-10-ISO bauen (in kontinuierlicher Verbesserung) - Ausgabe 2021
beidermachtvongreyscull1 day agoTutorialWindows 102 Comments

Editorial kleines Vorwort Ich hoffe, ich habe hier eine für den ein oder anderen Kollegen interessante Lösung zusammengestellt. Alles, was Ihr hier lest, ist ...

Microsoft
User Aktivitäten
Roadmax1 day agoQuestionMicrosoft10 Comments

Hallo Zusammen, ich möchte gerne automatisiert auf jedem Windows 10 PC im Netzwerk prüfen lassen, was der User dort live treibt. Konkret geht es ...

Cloud services
Server mieten - wo?
ZZaaiiggaa10 hours agoQuestionCloud services9 Comments

Hallo zusammen, suche einen Windows Server für SQL zum mieten, mit mindestens: 256GB SSD 32GB Ram Welche Anbieter eignen sich am besten? Und muss ...

Notebook & Accessories
Lenovo Dockingstation - Kompatibilität?
solved Visucius1 day agoQuestionNotebook & Accessories10 Comments

Guten Morgen, wir habens ja gerade mit antiquierter Technik ;-) Vor mir steht ein T440s Lenovo-Laptop, der nen frisches Windows 7 ähh Quatsch Windows ...

LAN, WAN, Wireless
Suche fuer unser Reihenmittelhaus eine "gute" WLAN-Abdeckung
homenet1 day agoQuestionLAN, WAN, Wireless3 Comments

Hallo, suche fuer unser Reihenmittelhaus eine "gute" WLAN-Abdeckung. Benoetigt fuer: Smartphones, Laptops, Radio - max. ca. 10 Geraete gleichzeitig, ueblicherweise ca. 4 Geraete dauernd ...

Windows 10
Dokumentenmanagement-System für den Heimgebrauch
Pineapple2711 hours agoQuestionWindows 104 Comments

Hallo zusammen, kennt jemand ein gutes Dokumentenmanagement-System für den Heimgebrauch und hat eventuell auch schon Erfahrungen damit gemacht? Da ich es rein privat nutzen ...