- Offizieller Beitrag
Moin,
ich nutze ja schon länger OPNSense dort seit einiger Zeit auch IDS (Intrusion Detection System). Kann man auch bei anderen Firewalls nutzen - hab ich auch bei IPFire im Einsatz. Lohnt sich der Einrichtungsaufwand?
Ich denke klares ja. Hat es bisher einen Einbruch verhindert? Vermutlich nein, aber eher weil die Systeme dahinter alle recht sicher und wenig anfällig sind (hoffe ich).
Hier mal eine snapshot der Attacken die heute morgen geblockt wurden:
Ich habe lange nicht alle Regeln (ich nutze ET Telemetry Pro) aktiv (es gibt 100 tausende) - hauptsächlich, Scan und exploits. Welche für Euch interessant sind, müsst Ihr selber entscheiden. DNS requests (von innen) lasse ich was alle durch und konzentriere mich auf meine Webserver (port 80 & 443). D.h. einfach eine Weile mit Einstellung alert mitlaufen lassen und dann entscheiden welche Regelsätze Ihr via Policy blocked.
Bringt das also wirklich etwas?
Ich denke schon, aber nur wenn die Regeln gepflegt werden - also Datensätze die nur alle paar Wochen/Monate oder gar nicht aktualisiert werden nützen einem eher nichts. Ich bin der Meinung je weniger Unfug beim Applikationsservice (ala Webserver) ankommt desto besser. Wenn Webserver und Co dann auch regelmäßig (am besten täglich) aktualisiert werden ist man halbwegs auf der sicheren Seite.