Suricata auf OPNsense mit Policy-Steuerung

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Überblick

Suricata wird in OPNsense als IDS/IPS eingesetzt. Standardmäßig stehen sehr viele Regeln (>180.000) zur Verfügung. Einzelregel-Management unter Administration → Rules ist unpraktisch und technisch begrenzt. Die empfohlene Vorgehensweise ist die Steuerung über Policies, die ganze Regelkategorien (Rulesets) mit einem einzigen Mausklick aktivieren und deren Action (Alert/Drop) definieren.

Vorgehensweise

  • Gehe zu Services → Intrusion Detection → Download.
  • Aktiviere folgende Regelquellen:
    • abuse.ch Feodo Tracker
    • abuse.ch SSL IP Blacklist
    • abuse.ch URLhaus
    • abuse.ch ThreatFox
    • ET open (Emerging Threats Open Ruleset)
  • Starte Update rulesets, um die Regeln herunterzuladen.
  • Wechsle zu Services → Intrusion Detection → Policy.
  • Lege zwei Policies an:

Policy 1: Blockieren (Drop)

  • Enabled: Haken setzen
  • Priority: 0
  • Rulesets auswählen:
    • abuse.ch.feodotracker.rules
    • abuse.ch.sslipblacklist.rules
    • abuse.ch.urlhaus.rules
    • abuse.ch.threatfox.rules
    • drop.rules
  • Action: Drop
  • Speichern und anwenden

Policy 2: Erkennen (Alert)

  • Enabled: Haken setzen
  • Priority: 1
  • Rulesets auswählen:
    • emerging-malware.rules
    • emerging-trojan.rules
    • emerging-exploit.rules
    • emerging-botcc.rules
    • emerging-botcc.portgrouped.rules
    • emerging-compromised.rules
  • Action: Alert
  • Speichern und anwenden

Best Practices

  • Administration → Rules nicht nutzen – alle Regelsteuerung erfolgt über Policies.
  • Blockiere nur bekannte IOCs und Blacklists (abuse.ch + drop.rules) direkt mit Action Drop.
  • Setze komplexere Exploit- und Malware-Regeln zunächst auf Alert. Beobachte die Ergebnisse im SIEM (z. B. Wazuh) und schalte sie bei Bedarf später auf Drop.
  • Aktualisiere die Regelquellen regelmäßig über den Download-Tab.
  • Nutze die Priorität (Priority), um Policies gezielt zu überschreiben. Niedrige Zahlen haben Vorrang.

Ergebnis

Mit zwei Policies steuerst du 20.000–40.000 Regeln effizient:

  • Sicher bösartige Hosts/Kommunikation wird direkt blockiert.
  • Verdächtige oder komplexere Muster werden erkannt und im SIEM ausgewertet.
  • Kein manuelles Aktivieren einzelner Regeln, keine GUI-Limits.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Suricata_auf_OPNsense_mit_Policy-Steuerung&oldid=64317