NetzBastion

NetzBastion.de

0%
Fortgeschritten 75 Minuten Sicherheit

OPNsense Proxy & IDS/IPS einrichten

Richte einen Squid Web-Proxy und das Intrusion Detection System (IDS/IPS) mit Suricata auf OPNsense ein. Für fortgeschrittene Anwender.

OPNsense Proxy & IDS/IPS einrichten
Fortgeschritten
💻 OPNsense

🎯 Was du lernst

Squid Web-Proxy installieren und konfigurieren
SSL Bump für HTTPS-Filterung einrichten
Suricata IDS/IPS aktivieren und Rulesets laden
Angriffe in Echtzeit erkennen und blockieren

🛒 Empfohlene Hardware

Mini-PC mit mind. 4 GB RAM - ab ca. 200€ bei Amazon → SSD mit mind. 64 GB - ab ca. 20€ bei Amazon →

🛒 Empfohlene Produkte

Mehr erfahren →

📑 Inhaltsverzeichnis

Anleitung

1. Was du lernst

2. Voraussetzungen

Hinweis: Dieses Tutorial baut auf dem OPNsense-Grundlagen-Tutorial auf.

Teil 1: Squid Web-Proxy

3. Squid-Plugin installieren

  1. Gehe zu System → Firmware → Plugins
  2. Suche nach os-squid
  3. Klicke auf + zum Installieren
  4. Warte bis die Installation abgeschlossen ist
  5. Aktualisiere die Seite (F5) – der Proxy-Menüpunkt erscheint

4. Proxy aktivieren

  1. Gehe zu Services → Web Proxy → Administration
  2. Reiter General Proxy Settings:
    • Enable proxy:
    • Proxy Listen Interfaces: LAN (und weitere VLANs falls gewünscht)
    • Proxy Port: 3128
    • Enable Access Logging:
  3. Klicke Apply

5. Cache einrichten

  1. Reiter Local Cache Settings:
    • Enable Local Cache:
    • Cache Memory: 256 MB (je nach verfügbarem RAM anpassen)
    • Cache-Größe auf Festplatte: 2000 MB
    • Cache max object size: 10 MB
  2. Klicke Save und Apply

Tipp: Der Cache beschleunigt wiederkehrende Webseiten-Aufrufe und spart Bandbreite.

6. Transparenter Proxy (Optional)

Damit alle Geräte automatisch über den Proxy gehen – ohne manuelle Konfiguration:

  1. General Proxy Settings:
    • Enable Transparent HTTP Proxy:
    • Transparent Proxy Interfaces: LAN (und VLANs)
  2. Klicke Apply

Achtung: Ein transparenter Proxy fängt nur HTTP-Verkehr (Port 80) ab. Für HTTPS brauchst du SSL Bump (nächster Schritt).

7. SSL Bump für HTTPS-Inspektion (Optional)

Wichtig: SSL Bump bricht die Ende-zu-Ende-Verschlüsselung auf! Nur in kontrollierten Umgebungen verwenden (z.B. Unternehmen).

CA-Zertifikat erstellen

  1. Gehe zu System → Trust → Authorities
  2. Klicke + (Hinzufügen):
    • Descriptive name: OPNsense Proxy CA
    • Method: Create an internal CA
    • Key Type: RSA, 2048 bit
    • Lifetime: 3650 Tage
    • Common Name: OPNsense Proxy CA
  3. Klicke Save

SSL Bump aktivieren

  1. Gehe zurück zu Services → Web Proxy → Administration
  2. Reiter Forward Proxy:
    • Enable SSL Inspection:
    • CA to use: OPNsense Proxy CA
    • Enable SSL Proxy Port:
    • SSL Proxy Port: 3129
  3. Klicke Apply

CA auf Endgeräten importieren

Damit deine Geräte keine Zertifikatswarnungen anzeigen:

  1. System → Trust → Authorities → Klicke auf den Export-Button neben deiner CA
  2. Installiere das Zertifikat auf deinen Geräten:
    • Windows: Doppelklick → In “Vertrauenswürdige Stammzertifizierungsstellen” installieren
    • macOS: In Schlüsselbund importieren → Vertrauen auf “Immer vertrauen” setzen
    • Linux: In /usr/local/share/ca-certificates/ ablegen und sudo update-ca-certificates

8. Webfilter / Blacklists

  1. Gehe zu Services → Web Proxy → Administration → Remote ACLs
  2. Klicke + und füge eine Blacklist hinzu:
    • Enabled:
    • Filename: UT1 Blacklist
    • URL: https://dsi.ut-capitole.fr/blacklists/download/blacklists_for_pfsense.tar.gz
    • Description: UT1 Webfilter
  3. Klicke Save und dann Download ACLs & Apply
  4. Unter Categories wählst du aus, welche Kategorien blockiert werden sollen (z.B. Malware, Phishing, Gambling)

Teil 2: IDS/IPS mit Suricata

9. Was ist IDS/IPS?

FunktionBeschreibung
IDS (Intrusion Detection)Erkennt Angriffe und meldet sie
IPS (Intrusion Prevention)Erkennt Angriffe und blockiert sie automatisch

Suricata ist die IDS/IPS-Engine in OPNsense – sie analysiert den gesamten Netzwerkverkehr in Echtzeit.

10. IDS aktivieren

  1. Gehe zu Services → Intrusion Detection → Administration
  2. Reiter Settings:
    • Enabled:
    • IPS mode: ✅ (wenn du Angriffe automatisch blockieren willst)
    • Pattern matcher: Hyperscan (schneller) oder Aho-Corasick
    • Interfaces: WAN, LAN (und VLANs)
    • Home networks: 192.168.0.0/16 (alle deine Netze)
  3. Klicke Apply

Hinweis: IPS-Modus blockiert verdächtigen Verkehr automatisch. Im reinen IDS-Modus wird nur geloggt.

11. Rulesets herunterladen

Rulesets sind die „Signaturen” mit denen Suricata bekannte Angriffe erkennt.

  1. Gehe zu Services → Intrusion Detection → Administration → Download
  2. Aktiviere diese empfohlenen Rulesets:
RulesetBeschreibung
ET open/emergingCommunity-Regeln (kostenlos, sehr gut)
Abuse.ch SSL BlacklistBekannte bösartige SSL-Zertifikate
Abuse.ch URL BlacklistBekannte Malware-URLs
  1. Klicke Download & Update Rules
  2. Warte bis der Download abgeschlossen ist

Tipp: Für professionellen Einsatz gibt es auch kostenpflichtige Rulesets wie ET Pro oder Snort VRT.

12. Regeln feintunen

Nach der Aktivierung können manche Regeln Fehlalarme (False Positives) auslösen.

  1. Gehe zu Services → Intrusion Detection → Rules
  2. Filtere nach Kategorie oder suche nach spezifischen SIDs
  3. Zum Deaktivieren einer Regel: Klicke auf den Schalter rechts
  4. Klicke Apply wenn du Änderungen gemacht hast

Typische False Positives

RegelProblemLösung
ET POLICYNormaler Traffic wird gemeldetEinzelne Regeln deaktivieren
GPL CHATDiscord/Chat-Apps blockiertCategory deaktivieren
ET GAMESGaming-Traffic geblocktCategory deaktivieren

Wichtig: Lass das System 1-2 Wochen im IDS-Modus (ohne IPS) laufen, um False Positives zu erkennen, bevor du auf IPS umschaltest!

13. Alerts überwachen

  1. Gehe zu Services → Intrusion Detection → Alerts
  2. Hier siehst du alle erkannten Bedrohungen:
    • Datum/Uhrzeit des Vorfalls
    • Quell-IP und Ziel-IP
    • Beschreibung der Bedrohung
    • Severity (Schweregrad)
  3. Bei Bedarf kannst du einzelne Alerts:
    • Als False Positive markieren
    • Die auslösende Regel deaktivieren

14. Automatische Updates einrichten

Damit deine Rulesets immer aktuell bleiben:

  1. Gehe zu Services → Intrusion Detection → Administration → Schedule
  2. Enable:
  3. Update Interval: Wähle z.B. Daily (täglich)
  4. Klicke Apply

15. Performance-Tipps

EinstellungEmpfehlung
RAMMindestens 4 GB, besser 8 GB für IDS/IPS
InterfacesNur relevante Interfaces überwachen
RulesetsNur benötigte Rulesets aktivieren
Hardware OffloadingUnter Interfaces → Settings ggf. deaktivieren

Achtung: IDS/IPS verbraucht CPU-Leistung! Auf schwacher Hardware kann es den Durchsatz reduzieren.

16. Zusammenfassung

KomponenteStatus
Squid Proxy✅ Installiert und konfiguriert
Cache✅ Aktiv für schnelleres Surfen
SSL Bump⚙️ Optional eingerichtet
Webfilter✅ Blacklists geladen
Suricata IDS/IPS✅ Aktiviert mit Rulesets
Auto-Updates✅ Tägliche Regelaktualisierung

Geschafft! 🎉

Dein Netzwerk wird jetzt aktiv auf Bedrohungen überwacht und dein Web-Traffic über den Proxy gefiltert. Suricata erkennt (und blockiert im IPS-Modus) bekannte Angriffsmuster in Echtzeit.

Fragen? Schreib uns auf Instagram!

Das könnte dich auch interessieren

OPNsense Installation & Ersteinrichtung
Anfänger 90 Minuten

OPNsense Installation & Ersteinrichtung

Gäste-WLAN einrichten
Anfänger 20 Minuten

Gäste-WLAN einrichten

VLAN einrichten - Netzwerk segmentieren
Fortgeschritten 60 Minuten

VLAN einrichten - Netzwerk segmentieren

✅ Geschafft!

Du hast dieses Tutorial abgeschlossen. Hast du Fragen oder Probleme?

Schreib uns auf Instagram

Alle Tutorials ansehen