gelöst: IPS verhindert Update von Linux Clients

Wie kann man das Konfigurieren?
Post Reply
User avatar
Pablo78
Posts: 186
Joined: June 8th, 2014, 10:27 am
Location: Berlin

gelöst: IPS verhindert Update von Linux Clients

Post by Pablo78 » June 4th, 2019, 3:00 pm

Hallo zusammen,

ich habe seit gestern IPS bei mir zu Hause aktiviert und festgestellt, das meine Linux VM`s keine Kopzeilen/Update-Pakete mehr herunterladen können.
Ist es eigentlich sinnvoll IPS im Heimnetz auf alle Schnittstellen zu aktivieren? Habe aktuell neben Rot auch Grün (hier steht meine Proxy VM) Blau (WLAN) und Orange (Nextcloud) aktiviert.
Die VM in der DMZ ist von Extern erreichbar da dort Nextcloud drauf läuft.

In den IPS-Logs sehe ich keine Meldungen die auf Blockaden hindeuten aber sobald ich das Netz von der Überprüfung herausnehme oder den Host ausschließe funktioniert das Update.

Hier ein paar Bilder dazu:
Warten auf Kopzeilen.PNG
Warten auf Kopzeilen.PNG (1.69 KiB) Viewed 866 times
Warten auf Kopzeilen - 1.PNG
IPS_1.PNG
Last edited by Pablo78 on June 4th, 2019, 7:30 pm, edited 1 time in total.
Mfg Paul

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: IPS verhindert Update von Linux Clients

Post by FischerM » June 4th, 2019, 4:22 pm

Hi,

deaktiviere mal die 'emerging-policy.rules'.

Da gibt es ein paar Regeln, die immer wieder mal für Probleme sorgen.

Ein Verdächtiger: "ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management"

Oder die IDS-Logs mal genau durchforsten. Entsprechende Einträge sollten vorhanden sein.

HTH,
Matthias

User avatar
Pablo78
Posts: 186
Joined: June 8th, 2014, 10:27 am
Location: Berlin

Re: IPS verhindert Update von Linux Clients

Post by Pablo78 » June 4th, 2019, 7:30 pm

Genau das war es gewesen - Vielen Dank :)
Mfg Paul

5p9
Mentor
Mentor
Posts: 1865
Joined: May 1st, 2011, 3:27 pm

Re: gelöst: IPS verhindert Update von Linux Clients

Post by 5p9 » June 5th, 2019, 7:45 am

Hey,

< Ist es eigentlich sinnvoll IPS im Heimnetz auf alle Schnittstellen zu aktivieren? <
generell reicht es auf RED und Orange in deinem Fall. Blue und green würde ich nur aktiv schalten, wenn du mal nach dem rechten sehen möchtest.

Deine Regeln sind, finde ich etwas zu viel, den scada Anwendungsfall wirst du in deinem Netzwerk nicht verwenden. Auch NetBios oder Icmp (was nicht böse ist) kannst du wieder heraus nehmen. FTP, na ja kommt darauf an ob du diese Regeln auch wirklich haben willst damit keiner aus deinem Netzwerk unbemerkt via FTP etwas ab- bzw. beziehen kann.

Meine Rules auch für Cloud sind in der Regel diese, davon werden die meisten nie gemeldet, aber habs sie dennoch aktiv:

Code: Select all

emerging-attack_response.rules
emerging-ciarmy.rules
emerging-compromised.rules
emerging-current_events.rules
emerging-dshield.rules
emerging-exploit.rules
emerging-malware.rules
emerging-misc.rules
emerging-mobile_malware.rules (macht eigentlich nur im WLAN Sinn)
emerging-rbn.rules
emerging-scan.rules
emerging-sql.rules
emerging-trojan.rules
emerging-web_server.rules
emerging-worm.rules
Der Rest ist natürlich eine Sache deiner Anwendungsumgebung und was du ggf. geblockt haben möchtest. Ist wirklich Ermessenssache die du abwegen musst.

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
Pablo78
Posts: 186
Joined: June 8th, 2014, 10:27 am
Location: Berlin

Re: gelöst: IPS verhindert Update von Linux Clients

Post by Pablo78 » June 5th, 2019, 7:49 am

@5p9: Vielen Dank für den Tipp und ich werde mal dies näher betrachten :)
Mfg Paul

Post Reply