Neues Intrusion-Prevention-System
Neues Intrusion-Prevention-System
Hallo,
was bedeutet im neuen IPS die Option "Netzwerk-Pakete nur überprüfen"? Wir nur Kommunikation von grün nicht geblockt ode wird generell nur protokolliert und nicht geblockt?
Danke für die überarbeitung des IPS, super Arbeit!
Gruß,
Moritz
was bedeutet im neuen IPS die Option "Netzwerk-Pakete nur überprüfen"? Wir nur Kommunikation von grün nicht geblockt ode wird generell nur protokolliert und nicht geblockt?
Danke für die überarbeitung des IPS, super Arbeit!
Gruß,
Moritz
Re: Neues Intrusion-Prevention-System
Dann wird nur geprüft und geloggt aber nichts geblockt.
Arne
Support the project on the donation!



PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.
Support the project on the donation!



PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.
Re: Neues Intrusion-Prevention-System
Oder um es allgemein in "vor Core 131"-Terminologie auszudrücken:
- Option deaktiviert: suricata ist nur IDS, bisher snort
- Option deaktiert: suricata ist IPS, bisher snort+guardian
-
- Posts: 37
- Joined: July 8th, 2012, 8:09 am
- Contact:
Re: Neues Intrusion-Prevention-System
Gibt es denn dazu eine Übersicht wo ich sehe welche Hosts geblockt sind ?

Re: Neues Intrusion-Prevention-System
Es wird nicht hostbasiert geblockt daher gibts auch keine liste.
Arne
Support the project on the donation!



PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.
Support the project on the donation!



PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.
Re: Neues Intrusion-Prevention-System
Standard? Bei mir steht deamon stopped (Menü Firewall-->Intrusion Prevention).BeBiMa wrote: ↑May 17th, 2019, 9:50 amOder um es allgemein in "vor Core 131"-Terminologie auszudrücken:Unterschied 130 <-> 131: vor core 131 war IDS Standard, IPS (guardian) musste zugeschaltet werden, ab core 131 ist IPS Standard.
- Option deaktiviert: suricata ist nur IDS, bisher snort
- Option aktiviert: suricata ist IPS, bisher snort+guardian
Wie aktiviere ich IPS? Gibt es dazu schon etwas im Wiki?
Gruß, Marc
Re: Neues Intrusion-Prevention-System
Hallo,
Ist dies auch nach einem Reboot so - wenn soetwas möglich ist?
mfg
5p9
kannst du bitte schildern was du in der Suricata Einstellung aktiv hast, was sagt das Log zu deinem Problem, findet sich dort etwas?
Ist dies auch nach einem Reboot so - wenn soetwas möglich ist?
mfg
5p9
Re: Neues Intrusion-Prevention-System
Ich hatte bisher weder snort noch guardian laufen. Es gibt suricata aber auch nicht der Addon-Liste. Wird es tatsächlich als Standard immer installiert? Ich suche mal in den Logs. Gruß, Marc
Re: Neues Intrusion-Prevention-System
Hallo zusammen,
ich habe gerade auf 133 upgedated und wollte jetzt auch endlich mal IPS aktivieren - habe aber exakt das selbe Problem.
Ich kann mir unter [Firewall -> Intrusion-Prevention] lediglich den Status anschauen (Daemon angehalten). Die Settings wie im wiki beschrieben gibt es aber nicht, Regelsatzeinstellungen und Ausnahmeliste sind wieder da.
Ich hatte IPS bisher noch nie aktiviert, weder mit guardian noch mit suricata.
Ich weiß noch dass ich beim Update auf 131 IPS noch aktivieren hätte können. Ich wollte damals aber erst noch etwas abwarten und jetzt wo ich es probieren wollte gehts nicht mehr. Stelle ich mich jetzt gerade irgendwie blöd an?
Meine FW läuft übrigens auf einer APU.2C4.
Gruß, Chris
ich habe gerade auf 133 upgedated und wollte jetzt auch endlich mal IPS aktivieren - habe aber exakt das selbe Problem.
Ich kann mir unter [Firewall -> Intrusion-Prevention] lediglich den Status anschauen (Daemon angehalten). Die Settings wie im wiki beschrieben gibt es aber nicht, Regelsatzeinstellungen und Ausnahmeliste sind wieder da.
Ich hatte IPS bisher noch nie aktiviert, weder mit guardian noch mit suricata.
Ich weiß noch dass ich beim Update auf 131 IPS noch aktivieren hätte können. Ich wollte damals aber erst noch etwas abwarten und jetzt wo ich es probieren wollte gehts nicht mehr. Stelle ich mich jetzt gerade irgendwie blöd an?
Meine FW läuft übrigens auf einer APU.2C4.
Gruß, Chris
Re: Neues Intrusion-Prevention-System
Ich hatte das gleiche Problem und konnte nur den Status sehen, sowie das Regelset und das Update-Interval auswählen. Der Status war offline.
Eine Aktivierung war aber möglich, nachdem ich einfach (ohne Änderung) auf Speichern gedrückt habe.
Nach dem Reload konnte ich dann die anderen Optionen zur Aktivierung und der Auswahl der Interfaces sehen und auch erfolgreich bestätigen.
Eine Aktivierung war aber möglich, nachdem ich einfach (ohne Änderung) auf Speichern gedrückt habe.
Nach dem Reload konnte ich dann die anderen Optionen zur Aktivierung und der Auswahl der Interfaces sehen und auch erfolgreich bestätigen.
Re: Neues Intrusion-Prevention-System
Das ist ein wenig unglücklich gelöst und im Gegensatz zu anderen Funktionen, die eine zusätzliche Checkbox zum Aktivieren im GUI haben, nicht ganz durchgängig.
Re: Neues Intrusion-Prevention-System
AAhhhaa, you're the man!stevens wrote: ↑June 23rd, 2019, 9:36 pmIch hatte das gleiche Problem und konnte nur den Status sehen, sowie das Regelset und das Update-Interval auswählen. Der Status war offline.
Eine Aktivierung war aber möglich, nachdem ich einfach (ohne Änderung) auf Speichern gedrückt habe.
Nach dem Reload konnte ich dann die anderen Optionen zur Aktivierung und der Auswahl der Interfaces sehen und auch erfolgreich bestätigen.
Jetzt funktioniert das Ganze

Vielen lieben Dank für Deine Hilfe...
...da muß man erst mal drauf kommen.
Gruß, Chris