OPNsense Intrusion Detection und Intrusion Prevention konfigurieren

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Die Open Source Firewall Distribution OPNsense bietet vielfältige Möglichkeiten um das Netzwerk abzusichern. Zu diesen Funktionen gehört standardmäßig auch ein Intrusion Detection System. Es basiert auf der Software Suricata und ist bereits vorinstalliert. Sie können diese Funktion bequem im Webinterface der OPNsense Firewall aktivieren und administrieren. Dieser Artikel zeigt anhand von OPNsense 24.7, wie sie ein Intrusion Detection System aktivieren und einrichten.

Funktionsarten

Die Software Suricata, auf dieser das OPNsense Intrusion Detection System basiert, bietet verschiedene Betriebsarten:

  • IDS Modus (Intrusion Detection): Bedeutet eine Alarmierung von Angriffen
  • IPS Modus (Intrusion Prevention): Bedeutet neben der Alarmierung auch eine Blockierung von Angriffen

Konfiguration im OPNsense Webinterface

Die Konfiguration von IDS und IPS läuft wie bei OPNsense üblich gänzlich im Webinterface ab.

Intrusion Detection aktivieren

Das Intrusion Detection System ist mit wenigen Konfigurationsschritten aktiviert. Dies erfolgt im Menü Services → Intrusion Detection → Administration und dessen Tabs.

  • Gehen Sie im OPNsense Webinterface zu Services → Intrusion Detection.
    Gehen Sie im OPNsense Webinterface zu Services → Intrusion Detection.
  • Anschließend auf Administration.
    Anschließend auf Administration.
  • Der Tab Settings wird nun angezeigt.
    Der Tab Settings wird nun angezeigt.
  • Setzen Sie den Haken bei Enabled.
    Setzen Sie den Haken bei Enabled.
  • In der Zeile Pattern matcher gibt es verschiedene Auswahlmöglichkeiten, wählen Sie Hyperscan bei Intel-Systemen und Aho-Corasick, "Ken Steele" variant bei AMD Systemen.
    In der Zeile Pattern matcher gibt es verschiedene Auswahlmöglichkeiten, wählen Sie Hyperscan bei Intel-Systemen und Aho-Corasick, "Ken Steele" variant bei AMD Systemen.
  • Selektieren Sie das Interface auf dem das IDS lauschen soll aus.
    Selektieren Sie das Interface auf dem das IDS lauschen soll aus.
  • Bestätigen Sie mit Apply.
    Bestätigen Sie mit Apply.

Regeln auswählen und aktivieren

In diesem Reiter könnnen Sie die Regeln herunterladen und den Status der heruntergeladenen und aktivierten Regeln betrachten.

  • Wechseln Sie zum Reiter Download.
    Wechseln Sie zum Reiter Download.
  • Aktivieren Sie bei den gewünschten Regeln die Checkboxen und klicken Sie anschließend auf Enable selected.
    Aktivieren Sie bei den gewünschten Regeln die Checkboxen und klicken Sie anschließend auf Enable selected.
  • Dadurch werden die zuvor ausgewählten Regeln als Enabled angezeigt.
    Dadurch werden die zuvor ausgewählten Regeln als Enabled angezeigt.
  • Scrollen Sie nach unten und klicken Sie anschließend auf Download & Update Rules. Die Regeln werden nun heruntergeladen und aktualisiert.
    Scrollen Sie nach unten und klicken Sie anschließend auf Download & Update Rules. Die Regeln werden nun heruntergeladen und aktualisiert.
  • Die Regeln werden heruntergeladen.
    Die Regeln werden heruntergeladen.
  • Alle gewünschten Regeln sind nun heruntergeladen.
    Alle gewünschten Regeln sind nun heruntergeladen.

Reiter Rules

Dieser Reiter listet alle heruntergeladenen Regeln im Detail auf. Es gibt Filtermöglichkeiten zur Suche und Sie können einzelne Regeln deaktivieren.

  • Hier sehen Sie die Regeln aufgelistet.
    Hier sehen Sie die Regeln aufgelistet.

Reiter User defined

In diesem Reiter können Sie selber eigene Regeln definieren.

  • Klicken Sie dazu auf den Button +.
    Klicken Sie dazu auf den Button +.

Reiter Alerts

Dieser Reiter listet alle Alerts des IDS/IPS auf.

  • Hier werden die Alerts dann aufgelistet.
    Hier werden die Alerts dann aufgelistet.

Reiter Schedule

In diesem Reiter können Sie Cronjobs für eine periodische Aktualisierung der Regeln erstellen. Dies ist ein äußerst wichtiger Schritt, denn die Regeln müssen möglichst aktuell sein um einen Schutz vor Angriffen zu bieten.

  • Klicken Sie auf den Reiter Schedule.
    Klicken Sie auf den Reiter Schedule.
  • Das OPNsense Webinterface springt aus dem IDS Menü zu System → Settings → Cron und eine Cronjob Vorlage zur Aktualisierung der IDS Regeln wird angezeigt. Passen Sie die Einstellungen an und setzen Sie den Haken auf enabled.
    Das OPNsense Webinterface springt aus dem IDS Menü zu System → Settings → Cron und eine Cronjob Vorlage zur Aktualisierung der IDS Regeln wird angezeigt. Passen Sie die Einstellungen an und setzen Sie den Haken auf enabled.
  • In diesem Beispiel wird stündlich der Regelsatz aktualisiert. Klicken Sie auf Save.
    In diesem Beispiel wird stündlich der Regelsatz aktualisiert. Klicken Sie auf Save.
  • Klicken Sie auf Apply, der Cronjob ist nun aktiv.
    Klicken Sie auf Apply, der Cronjob ist nun aktiv.

Intrusion Prevention Modus aktivieren

Sie können den Modus von einer reinen Angriffserkennung und Alarmierung (IDS) auf eine Angriffsverhinderung (IPS) umstellen. Ein Tipp hierbei ist, zuerst den IDS Modus zu aktivieren und die Logs zu beobachten. Es treten oftmals auch False-positives auf.

  • Aktivieren Sie im Reiter Settings unter System → Services → Intrusion Detection → Administration die Checkbox bei IPS mode.
    Aktivieren Sie im Reiter Settings unter System → Services → Intrusion Detection → Administration die Checkbox bei IPS mode.
  • Klicken Sie auf Apply.
    Klicken Sie auf Apply.
  • Der Promiscuous mode ist hilfreich wenn sie IPS in Verbindung mit VLANs auf dem gewünschten Interfaces haben, das IPS lauscht dann auf dem physischen Interface.
    Der Promiscuous mode ist hilfreich wenn sie IPS in Verbindung mit VLANs auf dem gewünschten Interfaces haben, das IPS lauscht dann auf dem physischen Interface.
  • Wechseln Sie links im Menü zum Punkt Policy.
    Wechseln Sie links im Menü zum Punkt Policy.
  • Klicken Sie zum Hinzufügen einer neuen Policy auf +.
    Klicken Sie zum Hinzufügen einer neuen Policy auf +.
  • Sie können nun die Rulesets wählen und Actions setzen.
    Sie können nun die Rulesets wählen und Actions setzen.
  • Haken Sie die gewünschten Rulesets an.
    Haken Sie die gewünschten Rulesets an.
  • Legen Sie die Action fest.
    Legen Sie die Action fest.
  • Klicken Sie anschließend auf Save.
    Klicken Sie anschließend auf Save.
  • Anschließend auf Apply.
    Anschließend auf Apply.

Konfigurationsdateien

Dieser Abschnitt zeigt noch einige interessante Konfigurationsordner und Dateien zu Informationszwecken auf. Die Konfiguration erfolgt aber gänzlich im Webinterface.

Suricata Konfigurationsordner

Den Suricata Konfigurationsordner finden Sie bei OPNsense unter /usr/local/etc/suricata. 

root@lesv4:/usr/local/etc/suricata # ls -la
total 181
drwxr-xr-x   4 root wheel    17 Aug 28 09:16 .
drwxr-xr-x  44 root wheel   133 Aug 28 08:45 ..
-rw-r--r--   1 root wheel  3882 Aug 28 09:23 classification.config
-rw-r--r--   1 root wheel  3327 Jul 22 22:54 classification.config.sample
-rw-r--r--   1 root wheel    88 Aug 28 09:23 custom.yaml
-rw-r-----   1 root wheel   193 Aug 28 12:00 installed_rules.yaml
drwxr-x---   2 root wheel     8 Aug 28 09:23 opnsense.rules
-rw-r--r--   1 root wheel  1376 Aug 28 09:23 reference.config
-rw-r--r--   1 root wheel  1375 Jul 22 22:54 reference.config.sample
-rw-r--r--   1 root wheel     0 Aug 28 09:23 rule-policies.config
-rw-r--r--   1 root wheel   230 Aug 28 09:23 rule-updater.config
drwxr-x---   2 root wheel    10 Aug 28 12:00 rules
-rw-r--r--   1 root wheel   195 Aug 28 09:23 rules.config
-rw-r--r--   1 root wheel 82357 Aug 28 09:23 suricata.yaml
-rw-r--r--   1 root wheel 85797 Jul 22 22:54 suricata.yaml.sample
-rw-r--r--   1 root wheel  1643 Jul 22 22:54 threshold.config
-rw-r--r--   1 root wheel  1643 Jul 22 22:54 threshold.config.sample

root@OPNsense:/usr/local/etc/suricata/opnsense.rules #

root@lesv4:/usr/local/etc/suricata # cd opnsense.rules/ 

root@lesv4:/usr/local/etc/suricata/opnsense.rules # ls -la
total 4984
drwxr-x---  2 root wheel        8 Aug 28 09:23 .
drwxr-xr-x  4 root wheel       17 Aug 28 09:16 ..
-rw-r-----  1 root wheel       97 Aug 28 12:00 OPNsense.rules
-rw-r-----  1 root wheel      758 Aug 28 12:00 abuse.ch.feodotracker.rules
-rw-r-----  1 root wheel  1880145 Aug 28 12:00 abuse.ch.sslblacklist.rules
-rw-r-----  1 root wheel    14271 Aug 28 12:00 abuse.ch.sslipblacklist.rules
-rw-r-----  1 root wheel 17863053 Aug 28 12:00 abuse.ch.threatfox.rules
-rw-r-----  1 root wheel 26582872 Aug 28 12:00 abuse.ch.urlhaus.rules

Inhalt einer Blockliste

Nachfolgend beispielhaft der Anfang einer Blockliste. Sie finden diese Dateien unter /usr/local/etc/suricata/opnsense.rules. 

root@lesv4:/usr/local/etc/suricata/opnsense.rules # head abuse.ch.urlhaus.rules
################################################################
# abuse.ch URLhaus IDS ruleset (Suricata only)                 #
# Last updated: 2024-08-28 11:53:05 (UTC)                      #
#                                                              #
# Terms Of Use: https://urlhaus.abuse.ch/api/                  #
# For questions please contact urlhaus [at] abuse.ch           #
################################################################
#
# url
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"URLhaus Known malware download URL detected (3132684)"; flow:established,from_client; http.method; content:"GET"; http.uri; content:"/bin.sh"; depth:7; endswith; nocase; http.host; content:"115.52.23.231"; depth:13; isdataat:!1,relative; metadata:created_at 2024_08_28; reference:url, urlhaus.abuse.ch/url/3132684/; classtype:trojan-activity;sid:83995784; rev:1;)

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.

 

Das könnte Sie auch interessieren

Inbetriebnahme vorinstallierter Thomas-Krenn OPNsense Firewalls
Zum Artikel
Intel Microcode per Plugin unter OPNsense aktualisieren
Zum Artikel
OPNsense root Passwort zurücksetzen
Zum Artikel