内联入-侵防御系统

OPNsense的内联IPS系统基于Suricata,利用Netmap提高性能并最大限度地降低CPU利用率。这种深度数据包检测系统非常强大,可用在线缓解安全威胁。

新兴威胁ETOpen规则集

ETOpen Ruleset是一个出色的反恶意软件IDS / IPS规则集,它使成本有限的用户能够增强其现有的基于网络的恶意软件检测能力。ETOpen规则集不是完整的覆盖规则集,对于许多受监管的环境可能不够,不应将其用作独立的规则集。

OPNsense集成了对ET Open规则的支持。有关详细信息和指南,请参阅这里,对于规则文档,请参阅这里

Abuse.ch

Abuse.ch提供了几个黑名单,用于防范欺诈性网络。OPNsense支持以下黑名单:

SSL黑名单

SSL黑名单(SSLBL)是由abuse.ch维护的项目。目的是提供abuse.ch标识的“坏”SSL证书列表,这些列表与恶意软件或僵尸网络活动相关联。SSLBL依赖于恶意SSL证书的SHA1指纹,并提供各种黑名单。

有关详细信息,请参阅这里

Feodo Tracker

Feodo(也称为Cridex或Bugat)是一种用于实施电子银行欺诈并从受害者计算机窃取敏感信息的特洛伊***,例如信用卡详细信息或凭据。目前,Feodo Tracker正在跟踪Feodo的四个版本,它们被Feodo Tracker标记为版本A,版本B,版本C和版本D:

  • 版本A 托管在端口8080上运行nginx代理的受感染Web服务器上TCP将所有僵尸网络流量转发到第2层代理节点。Botnet流量通常直接在端口8080 TCP上命中这些主机,而不使用域名。

  • 版本B 托管在由网络犯罪分子租用和运营的服务器上,专门用于托管Feodo僵尸网络控制器。通常利用ccTLD .ru中的域名。僵尸网络流量通常使用端口80 TCP访问这些域名。

  • 版本C Feodo的继承者,完全不同的代码。托管在与版本A相同的僵尸网络基础架构上(受损的Web服务器,端口8080 TCP上的nginx或端口7779 TCP,没有域名),但使用不同的URL结构。此版本也称为Geodo和Emotet。

  • D版 Cridex的继承人。此版本也称为Dridex

详细情况请点击这里

URLHaus List

从OPNsense18.1.7开始,我们从abuse.ch中生成了URLHaus列表,该列表收集了泄露恶意软件的受感染站点。

详细情况请点击这里

Maxmind GeoLite2 Country

GeoLite2数据库是免费的IP地理定位数据库,与MaxMind的GeoIP2数据库相当,但不太准确。GeoLite2数据库在每个月的第一个星期二更新。

有关详细信息,请参阅:http//dev.maxmind.com/geoip/geoip2/geolite2/

OPNsense集成了GeoLite2 Country数据库支持。

指纹

OPNsense包含一个非常完善的解决方案,可以根据SSL指纹阻止受保护的站点。

应用程序检测规则

从OPNsense18.1.11开始,我们引入了应用程序检测规则集。由于大约80%的流量是Web应用程序,因此这些规则专注于阻止Web服务及其背后的URL。

如果您想参与规则集,请访问