Neues Intrusion-Prevention-System

Tripwire, Guardian, Snort, Squidclamav
Post Reply
m86m
Posts: 128
Joined: September 15th, 2010, 2:47 pm

Neues Intrusion-Prevention-System

Post by m86m » May 17th, 2019, 7:33 am

Hallo,

was bedeutet im neuen IPS die Option "Netzwerk-Pakete nur überprüfen"? Wir nur Kommunikation von grün nicht geblockt ode wird generell nur protokolliert und nicht geblockt?

Danke für die überarbeitung des IPS, super Arbeit!

Gruß,
Moritz

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8233
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Neues Intrusion-Prevention-System

Post by Arne.F » May 17th, 2019, 8:54 am

Dann wird nur geprüft und geloggt aber nichts geblockt.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

BeBiMa
Posts: 2806
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: Neues Intrusion-Prevention-System

Post by BeBiMa » May 17th, 2019, 9:50 am

Oder um es allgemein in "vor Core 131"-Terminologie auszudrücken:
  • Option deaktiviert: suricata ist nur IDS, bisher snort
  • Option deaktiert: suricata ist IPS, bisher snort+guardian
Unterschied 130 <-> 131: vor core 131 war IDS Standard, IPS (guardian) musste zugeschaltet werden, ab core 131 ist IPS Standard.
Image
Unitymedia Cable Internet ( 32MBit )

angler2001
Posts: 29
Joined: July 8th, 2012, 8:09 am
Contact:

Re: Neues Intrusion-Prevention-System

Post by angler2001 » June 9th, 2019, 12:12 pm

Gibt es denn dazu eine Übersicht wo ich sehe welche Hosts geblockt sind ?
Image

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8233
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Neues Intrusion-Prevention-System

Post by Arne.F » June 11th, 2019, 5:06 am

Es wird nicht hostbasiert geblockt daher gibts auch keine liste.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

mroland
Posts: 9
Joined: March 26th, 2019, 9:25 pm

Re: Neues Intrusion-Prevention-System

Post by mroland » June 11th, 2019, 8:22 pm

BeBiMa wrote:
May 17th, 2019, 9:50 am
Oder um es allgemein in "vor Core 131"-Terminologie auszudrücken:
  • Option deaktiviert: suricata ist nur IDS, bisher snort
  • Option aktiviert: suricata ist IPS, bisher snort+guardian
Unterschied 130 <-> 131: vor core 131 war IDS Standard, IPS (guardian) musste zugeschaltet werden, ab core 131 ist IPS Standard.
Standard? Bei mir steht deamon stopped (Menü Firewall-->Intrusion Prevention).
Wie aktiviere ich IPS? Gibt es dazu schon etwas im Wiki?
Gruß, Marc
Image

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: Neues Intrusion-Prevention-System

Post by 5p9 » June 12th, 2019, 9:56 am

Hallo,
mroland wrote:
June 11th, 2019, 8:22 pm
Standard? Bei mir steht deamon stopped (Menü Firewall-->Intrusion Prevention).
Wie aktiviere ich IPS? Gibt es dazu schon etwas im Wiki?
Gruß, Marc
kannst du bitte schildern was du in der Suricata Einstellung aktiv hast, was sagt das Log zu deinem Problem, findet sich dort etwas?
Ist dies auch nach einem Reboot so - wenn soetwas möglich ist?

mfg
5p9
Mail Gateway: mail proxy

Image

Image

mroland
Posts: 9
Joined: March 26th, 2019, 9:25 pm

Re: Neues Intrusion-Prevention-System

Post by mroland » June 13th, 2019, 6:31 am

Ich hatte bisher weder snort noch guardian laufen. Es gibt suricata aber auch nicht der Addon-Liste. Wird es tatsächlich als Standard immer installiert? Ich suche mal in den Logs. Gruß, Marc
Image

Post Reply