IDS/IPS mit Suricata in OPNsense

Suricata ist ein Open-Source-Intrusion-Detection- und Prevention-System (IDS/IPS). OPNsense integriert Suricata direkt in die Web-GUI, sodass du dein Netzwerk ohne zusaetzliche Tools ueberwachen und schuetzen kannst.

IDS vs. IPS

Empfehlung: Starte im IDS-Modus, beobachte die Alerts einige Tage, und wechsle dann zu IPS, wenn du sicher bist, dass keine False Positives auftreten.

Suricata aktivieren

1. Grundkonfiguration

Unter Services > Intrusion Detection > Administration:

• Enabled: Aktivieren
• IPS Mode: Anfangs deaktiviert (nur IDS)
• Pattern Matcher: Hyperscan (schnellster Algorithmus)
• Interfaces: WAN (und optional LAN)
• Home Networks: Dein lokales Netzwerk, z.B. 192.168.1.0/24

2. Rulesets herunterladen

Unter Services > Intrusion Detection > Administration > Download:

Empfohlene Rulesets:

• ET Open Rules: Kostenlose Community-Regeln (Emerging Threats)
• Abuse.ch SSL Blacklist: Bekannte boesartige SSL-Zertifikate
• Abuse.ch Feodo Tracker: Banking-Trojaner C&C-Server

Klicke auf "Download & Update Rules" um die Regelsaetze zu laden.

3. Regeln aktivieren

Unter dem Rules-Tab kannst du einzelne Kategorien aktivieren/deaktivieren:

4. Auf IPS umschalten

Wenn du nach einigen Tagen keine problematischen False Positives siehst:

1. Gehe zu Administration
2. Aktiviere IPS Mode
3. Setze den Modus auf die gewuenschten Interfaces
4. Apply klicken

Alerts ueberwachen

Unter Services > Intrusion Detection > Alerts siehst du:

• Zeitstempel und Alert-Level
• Quell- und Ziel-IP
• Betroffene Regel (SID)
• Beschreibung des Angriffs

Performance-Tipps

• Hyperscan als Pattern Matcher verwenden
• Nur relevante Interfaces ueberwachen
• Unbenutzte Rulesets deaktivieren
• Bei schwacher Hardware: Weniger Rulesets, kein IPS auf allen Interfaces

Fazit

Suricata in OPNsense bietet professionellen Netzwerkschutz ohne Zusatzkosten. Starte im IDS-Modus, lerne die Alerts kennen, und aktiviere IPS erst, wenn du das System verstehst.