Page 1 of 1

gelöst: IPS verhindert Update von Linux Clients

Posted: June 4th, 2019, 3:00 pm
by Pablo78
Hallo zusammen,

ich habe seit gestern IPS bei mir zu Hause aktiviert und festgestellt, das meine Linux VM`s keine Kopzeilen/Update-Pakete mehr herunterladen können.
Ist es eigentlich sinnvoll IPS im Heimnetz auf alle Schnittstellen zu aktivieren? Habe aktuell neben Rot auch Grün (hier steht meine Proxy VM) Blau (WLAN) und Orange (Nextcloud) aktiviert.
Die VM in der DMZ ist von Extern erreichbar da dort Nextcloud drauf läuft.

In den IPS-Logs sehe ich keine Meldungen die auf Blockaden hindeuten aber sobald ich das Netz von der Überprüfung herausnehme oder den Host ausschließe funktioniert das Update.

Hier ein paar Bilder dazu:
Warten auf Kopzeilen.PNG
Warten auf Kopzeilen.PNG (1.69 KiB) Viewed 961 times
Warten auf Kopzeilen - 1.PNG
IPS_1.PNG

Re: IPS verhindert Update von Linux Clients

Posted: June 4th, 2019, 4:22 pm
by FischerM
Hi,

deaktiviere mal die 'emerging-policy.rules'.

Da gibt es ein paar Regeln, die immer wieder mal für Probleme sorgen.

Ein Verdächtiger: "ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management"

Oder die IDS-Logs mal genau durchforsten. Entsprechende Einträge sollten vorhanden sein.

HTH,
Matthias

Re: IPS verhindert Update von Linux Clients

Posted: June 4th, 2019, 7:30 pm
by Pablo78
Genau das war es gewesen - Vielen Dank :)

Re: gelöst: IPS verhindert Update von Linux Clients

Posted: June 5th, 2019, 7:45 am
by 5p9
Hey,

< Ist es eigentlich sinnvoll IPS im Heimnetz auf alle Schnittstellen zu aktivieren? <
generell reicht es auf RED und Orange in deinem Fall. Blue und green würde ich nur aktiv schalten, wenn du mal nach dem rechten sehen möchtest.

Deine Regeln sind, finde ich etwas zu viel, den scada Anwendungsfall wirst du in deinem Netzwerk nicht verwenden. Auch NetBios oder Icmp (was nicht böse ist) kannst du wieder heraus nehmen. FTP, na ja kommt darauf an ob du diese Regeln auch wirklich haben willst damit keiner aus deinem Netzwerk unbemerkt via FTP etwas ab- bzw. beziehen kann.

Meine Rules auch für Cloud sind in der Regel diese, davon werden die meisten nie gemeldet, aber habs sie dennoch aktiv:

Code: Select all

emerging-attack_response.rules
emerging-ciarmy.rules
emerging-compromised.rules
emerging-current_events.rules
emerging-dshield.rules
emerging-exploit.rules
emerging-malware.rules
emerging-misc.rules
emerging-mobile_malware.rules (macht eigentlich nur im WLAN Sinn)
emerging-rbn.rules
emerging-scan.rules
emerging-sql.rules
emerging-trojan.rules
emerging-web_server.rules
emerging-worm.rules
Der Rest ist natürlich eine Sache deiner Anwendungsumgebung und was du ggf. geblockt haben möchtest. Ist wirklich Ermessenssache die du abwegen musst.

VG, 5p9

Re: gelöst: IPS verhindert Update von Linux Clients

Posted: June 5th, 2019, 7:49 am
by Pablo78
@5p9: Vielen Dank für den Tipp und ich werde mal dies näher betrachten :)