https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Suricata_auf_OPNsense_mit_Policy-Steuerung 2026-06-29T08:29:46Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Suricata_auf_OPNsense_mit_Policy-Steuerung&diff=64317&oldid=prev 2025-08-17T18:33:49Z

<p>Die Seite wurde neu angelegt: „ == Überblick == Suricata wird in OPNsense als IDS/IPS eingesetzt. Standardmäßig stehen sehr viele Regeln (&gt;180.000) zur Verfügung. Einzelregel-Managemen…“</p> <p><b>Neue Seite</b></p><div><br /> == Überblick ==<br /> Suricata wird in OPNsense als IDS/IPS eingesetzt. Standardmäßig stehen sehr viele Regeln (&gt;180.000) zur Verfügung. <br /> Einzelregel-Management unter ''Administration → Rules'' ist unpraktisch und technisch begrenzt. <br /> Die empfohlene Vorgehensweise ist die Steuerung über ''Policies'', die ganze Regelkategorien (Rulesets) mit einem einzigen Mausklick aktivieren und deren Action (Alert/Drop) definieren.<br /> <br /> == Vorgehensweise ==<br /> *Gehe zu ''Services → Intrusion Detection → Download''.<br /> *Aktiviere folgende Regelquellen:<br /> ** abuse.ch Feodo Tracker<br /> ** abuse.ch SSL IP Blacklist<br /> ** abuse.ch URLhaus<br /> ** abuse.ch ThreatFox<br /> ** ET open (Emerging Threats Open Ruleset)<br /> *Starte ''Update rulesets'', um die Regeln herunterzuladen.<br /> *Wechsle zu ''Services → Intrusion Detection → Policy''.<br /> *Lege zwei Policies an:<br /> <br /> === Policy 1: Blockieren (Drop) ===<br /> *Enabled: Haken setzen<br /> *Priority: 0<br /> *Rulesets auswählen:<br /> ** abuse.ch.feodotracker.rules<br /> ** abuse.ch.sslipblacklist.rules<br /> ** abuse.ch.urlhaus.rules<br /> ** abuse.ch.threatfox.rules<br /> ** drop.rules<br /> *Action: Drop<br /> *Speichern und anwenden<br /> <br /> === Policy 2: Erkennen (Alert) ===<br /> *Enabled: Haken setzen<br /> *Priority: 1<br /> *Rulesets auswählen:<br /> ** emerging-malware.rules<br /> ** emerging-trojan.rules<br /> ** emerging-exploit.rules<br /> ** emerging-botcc.rules<br /> ** emerging-botcc.portgrouped.rules<br /> ** emerging-compromised.rules<br /> *Action: Alert<br /> *Speichern und anwenden<br /> <br /> == Best Practices ==<br /> * ''Administration → Rules'' nicht nutzen – alle Regelsteuerung erfolgt über Policies.<br /> * Blockiere nur bekannte IOCs und Blacklists (abuse.ch + drop.rules) direkt mit Action ''Drop''.<br /> * Setze komplexere Exploit- und Malware-Regeln zunächst auf ''Alert''. Beobachte die Ergebnisse im SIEM (z. B. Wazuh) und schalte sie bei Bedarf später auf ''Drop''.<br /> * Aktualisiere die Regelquellen regelmäßig über den ''Download''-Tab.<br /> * Nutze die Priorität (Priority), um Policies gezielt zu überschreiben. Niedrige Zahlen haben Vorrang.<br /> <br /> == Ergebnis ==<br /> Mit zwei Policies steuerst du 20.000–40.000 Regeln effizient:<br /> * Sicher bösartige Hosts/Kommunikation wird direkt blockiert.<br /> * Verdächtige oder komplexere Muster werden erkannt und im SIEM ausgewertet.<br /> * Kein manuelles Aktivieren einzelner Regeln, keine GUI-Limits.</div>

Thomas.will