Beiträge von Alexandro1000

ja wenn dann als reiner Hypervisor nur mit 2 ENDIANs als vm HA. Ich hab mir schon einige Beiträge dazu durchgelsesen allerdings gibt es hier geteilte Meinungen dazu es überwiegt eher das Contra gegen so eine Lösung.

Ich bin eher immer noch der Fan von Native allerdings wenn hier mal schief geht auf der FW dann kannst du bei dem VM einfach auf den Snapshot oder die 2 VM umsteigen wo du recht hast ist wenn der Host physikalisch was hat aber dann ist bei der native Install auch so das du kein Netz hast.

ok hatt die Kategorie nicht eindeutig gewusst sorry fürs Doppelposting..

Ja meine Überlegung geht dahin das ja der Host physikalisch direkt im Netz steht mit einer NIC und das ist eben die Frage ob diese keine Sicherheitslücken öffnet als wie wenn direkt die UTM native installiert.

Hallo

spiele seit längerem mit dem Gedanken die Endian zu virtualisieren. Allerdings stellt sich bei mir dann die Frage das ich ja dann quasi den Hypervisor direkt ins Netz stelle was wenn jemand einbrechen würde auch aus der VM das ganze netz unter Kontrolle hätte.

Wie ist eure Meinung dazu? Und was habt ihr für VM Lösungen im Einsatz wenn ihr welche habt?

LG Alex

Hallo

spiele seit längerem mit dem Gedanken die Endian zu virtualisieren. Allerdings stellt sich bei mir dann die Frage das ich ja dann quasi den Hypervisor direkt ins Netz stelle was wenn jemand einbrechen würde auch aus der VM das ganze netz unter Kontrolle hätte.

Wie ist eure Meinung dazu? Und was habt ihr für VM Lösungen im Einsatz wenn ihr welche habt?

LG Alex

Hallo,

es gibt zwar schon den Beitrag das die FW in der Beta beim START/NEUSTART hängt abr ich hab gestern frisch die Final Version installiert und die bleibt beim neu starten einfach hängen kein Ping keine Console kein GUI nicht geht mehr wenn ich auf dem Monitor der Physk Maschine schauen dann ladet er Module sher langsam und startet langsamer als normal wie gesagt alle frisch installiert. Habe sie auch 1 Tag laufen lassen keine Probleme dann wollte ich Neu starten und siehe da nicht mehr erreichbar.

Hat jemand dieses Verhalten schon einmal gehabt ich hoffe nicht das es ein HW defekt ist da ja alles vorher mit 2.5 gelaufen ist ohne Probleme.

LG ALEX :nerv::nerv:

So weit ich bei mir gesehen habe macht Clam AV selber ein Update auf 0.98 nur dauerts ein paar Stunden bzw 1 Tag war bei mir so.

Hallo,

es geht nicht anderst wie Sabine es sagt wenn du den Porxy aktivierst ist egal welche FW regel du machst der Proxy ist immer übergeordnet der FW REGEL, Am besten die IP eintragen im Proxy und Fertig das ist bei jeder FW auch so.

Zitat von "aender"

Und bei pfSense ist mal per Default gar kein IDS dabei. Das kann man höchstens als Package nachinstallieren. Und dann gibt es eben diesen tollen Punkt um die diskutierte Lösung zu aktivieren. Siehe anbei. Und dann mag noch sein, dass pfSense auf BSD basiert und schon ganz einen anderen Filter für die Firewall-Rules verwendet als die Endian. Die verwenden p0f mit dem sich sogar sogenanntes advanced passive OS/network fingerprinting machen lässt. http://lcamtuf.coredump.cx/p0f3/

Also nicht Äpfel mit Birnen vergleichen

Was hat p0f mit IDS direkt zu tun das verstehe ich nicht? Ich habe die Parameter mal von ipfire ausgelesen config detection: search-method ac-split search-optimize max-pattern-len 20 und die vollen 150 MBIT sind da.
Das einzige was mich bei Endian überzeugt sind die Interzone Regeln und der SMTP Proxy, habe gestern bei der 2.5.1 versucht VPN zum alufen zu bringen allerdings ohne Erflg immer TLS Error undbei der 3.0 kannst du kein HOST Zertifikat ändern nach dem Speichern ist es noch da dann nimmt er wieder das Default Zert ich versteh nicht warum das nicht einfach Admin Freundlicher aufgebaut wird und man dauernd in irgendwelchen Konfigs oder Templates was ändern muss auch die route redirect das der VPN Client extern mit der IP des VPN Servers sichtbar ist muss man manuell eintragen da dies mit der Option Hakerl setzen auch nicht funktioniert ich hab schon Albträume davon. So jetzt hab ich meinen Frust abgelassen :lol:

Bei mir nicht wikrlich ich bekomme 22 Mbit hin ich kann mir vorstellen das die 3.0 noch mehr Hardware Power benötigt anders kann ich mir es nicht erklären ich werde noch weitere Tests machen bis ich das gewünschte Ergebniss bei mir habe..,

Was ich mich nur Frage warum schafft es eine ipfire und eine pfsense dies in Snort so zu programmieren das es die Volle Geschwindigkeit also alle Resourcen der Hardware ausnutzen kann und Endian nicht ????? :waiting:

Ja stimmt mein Fehler hab ich vergessen für ALLE die nicht mehr benötigen ist das richtig.

So hab jetzt probiert in der 3.0 Final alle Werte die Snort anbietet zu ändern und getestet leider funktioniert das wie von aender gesagt nicht da nur 1 Core verwendet wird und die FW über längere Zeit einen Cache Overflow produziert durch das ändern und nicht erreichbar ist ich will aber nicht mehr downgraden von 3.0 auf 2.5.1. Die 3.0 dürfte eine neue Version von SNORT nutzen oder es wurde anders implementiert das diese Option nicht richtig greift. Also Kompromiss wer mehr Sichert durch IDS haben will sollte 2.5.1 verwenden oder neueres GUI mit 3.0 (VPN User Verwaltung usw....... Bugfixes)....

Hallo,

hab gerade die 3.0 Final installiert leider funktioniert das dort nicht so wie gewollt oder es gibt einen anderen Trick den ich noch nihct herausgefunden habe.

Na Gut das es funktioniert, wie gesgat ist halt Ressourcenfressend das ganze......

Sorry mein Fehler ich bin schon zu sehr in der Console unterwegs.....

Ich meinte etc/snort/snort.conf.tmpl

Am besten verbinde dich mit Win SCP dann kannst du editieren mit Putty is es komplizierter...

LG

Hallo,

es muss unter etc/var/snort.conf.tmpl der Wert: config detection: serach-method lowmem von lowmem auf ac bzw ac-bnfa geändert werden je nachdem wie viel Performance du haben willst und wie viele Regeln aktiviert sind.

Dies machst du indem du dich auf die Endian per SSH Port 22 verbindest und dich in das Directory verbindest und die conf bearbeitest speicherst und wieder zurück spielst oder direkt aufmachst und dann speicherst - REBOOT- 20 Minuten warten dann kannst du dem RAM auf dem Dashboard zuschauen wir er sich aufbläst.

PS: Ich habe hier einen Server mit 12 GB RAM und die werden verwendet wenn ich der Anzeige vertrauen kann vlt is es ja auch ein BUG und das Balkendiagramm zeigt keine korrekten Informationen an was ich aber nicht glaube.

LG

Ja genau eines möchte ich nur sagen dazu wehnn du das in der snort.config.tmpl änderst schalte zuerst IDS aus dann mach die Konfig dann starte neu lass bitte also so wars bei mir keine Verbindungen offen also es sollten keine offenen Sessions nach außen laufen und starte neu. Nicht wundern wenn du neu startest es kann ca. 15-20 Min dauern und du kannst zuschauen wie sich der RAM aufladet also es geht bei mir jetzt 4GB bis 89 % auslastung dauerhaft rauf und es kann sein das die EFW nicht gleich über Web GUI zu erreichen ist war beim ac so ac -q hab ich nicht gestetet. Ich werde mir heute mehr RAM zukaufen um für die anderen Dienste auch eine flüssige Verfügbarkeit zu bieten.

Nur als Hinweis

LG Alex

http://manual.snort.org/node16.html

Ja ich auch allerdings muss ich ram aufrüsten 4 gb sind voll schlägt auf die performance

Update: Hab die Option auf ac geändert siehe da 150 Mbit mit IDS aktiviert also funktioniert kann ich nur jeden raten dies umzustellen.

LG Alex

Naja dann müssen wir schauen das wir nicht noch mehr Weizen zum Mahlen produzieren um die Mühlen nicht zu überlasten...

Ich werde die Lösung heute testen im Betrieb und melde mich dann was dabei herausgekommen ist wenn dies funktioniert bin ich vorerst zufrieden.

LG Alex