🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:ids_ips

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:35] – [IDS vs IPS] larsit-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:50] (aktuell) – [Zusammenfassung] lars
Zeile 21: Zeile 21:
 IDS/IPS sind zentrale Bausteine von Defense-in-Depth und Zero Trust. IDS/IPS sind zentrale Bausteine von Defense-in-Depth und Zero Trust.
  
 +
 +---
 ===== IDS vs IPS ====== ===== IDS vs IPS ======
  
Zeile 43: Zeile 45:
   * CrowdSec (regelbasierte Verhaltensanalyse)   * CrowdSec (regelbasierte Verhaltensanalyse)
  
-In deinem Heimlabor nutzt du ja Suricata + CrowdSec + EveBox → perfekte Kombi.+In meinem Heimlabor nutze ich **Suricata + CrowdSec + EveBox** → perfekte Kombi (meine Meinung).
  
 ===== Wie erkennt ein IDS Angriffe? ====== ===== Wie erkennt ein IDS Angriffe? ======
Zeile 53: Zeile 55:
 Vergleich mit einer Datenbank bekannter Angriffe: Vergleich mit einer Datenbank bekannter Angriffe:
  
-  * Exploit-Muster   +  * Exploit-Muster 
-  * Malware-Domains   +  * Malware-Domains 
-  * C2-Server   +  * C2-Server 
-  * Portscan-Signaturen   +  * Portscan-Signaturen 
-  * Buffer Overflow Erkennung  +  * Buffer Overflow Erkennung
  
 Beispiel (Snort-Regel): Beispiel (Snort-Regel):
 <code> <code>
-alert tcp any any -> any 80 (msg:"Bad HTTP"; content:"evil"; sid:10001;)+ 
 + alert tcp any any -> any 80 (msg:"Bad HTTP"; content:"evil"; sid:10001;) 
 + 
 </code> </code>
  
Zeile 68: Zeile 73:
 Erkennt ungewöhnliches Verhalten: Erkennt ungewöhnliches Verhalten:
  
-  * plötzliche Traffic-Spitzen   +  * plötzliche Traffic-Spitzen 
-  * ungewöhnliche Ports   +  * ungewöhnliche Ports 
-  * DNS-Anomalien   +  * DNS-Anomalien 
-  * abweichende Protokolle  +  * abweichende Protokolle
  
 Suricata kombiniert beide Ansätze. Suricata kombiniert beide Ansätze.
Zeile 85: Zeile 90:
   * TAP   * TAP
  
-<code>+<a2s>
 Traffic → Switch → (Kopie) → IDS Traffic → Switch → (Kopie) → IDS
-</code>+</a2s>
  
 ==== IPS inline (aktiv) ==== ==== IPS inline (aktiv) ====
Zeile 93: Zeile 98:
 Der Traffic muss **durch** das IPS hindurch. Der Traffic muss **durch** das IPS hindurch.
  
-<code>+<a2s>
 Traffic → IPS → Ziel Traffic → IPS → Ziel
-</code>+</a2s>
  
 ===== Ports & Protokolle ====== ===== Ports & Protokolle ======
  
-IDS/IPS arbeiten typischerweise auf Layer 3/4/7:   +IDS/IPS arbeiten typischerweise auf Layer 3/4/7: 
-  * TCP, UDP, ICMP   +  * TCP, UDP, ICMP 
-  * HTTP, DNS, TLS, FTP, SMB usw.  +  * HTTP, DNS, TLS, FTP, SMB usw.
  
 ===== Suricata – moderne, multithreaded Engine ====== ===== Suricata – moderne, multithreaded Engine ======
  
 Merkmale: Merkmale:
-  * sehr hohe Performance   +  * sehr hohe Performance 
-  * Multi-Core-fähig   +  * Multi-Core-fähig 
-  * versteht viele Protokolle tiefgehend   +  * versteht viele Protokolle tiefgehend 
-  * Output als `eve.json`   +  * Output als `eve.json` 
-  * Unterstützt IDS & IPS  +  * Unterstützt IDS & IPS
  
 Typische Dateien: Typische Dateien:
 <code> <code>
-/etc/suricata/suricata.yaml + 
-/var/log/suricata/eve.json+ /etc/suricata/suricata.yaml 
 + /var/log/suricata/eve.json 
 + 
 </code> </code>
  
Zeile 126: Zeile 134:
 ===== Eve.json Beispiel (Suricata) ====== ===== Eve.json Beispiel (Suricata) ======
  
-<code> +<code json> 
-+ 
-  "timestamp": "2025-07-10T14:23:11", + { 
-  "event_type": "alert", +   "timestamp": "2025-07-10T14:23:11", 
-  "alert":+   "event_type": "alert", 
-    "signature": "ET TROJAN Agent Tesla", +   "alert":
-    "severity":+     "signature": "ET TROJAN Agent Tesla", 
-  }, +     "severity":
-  "src_ip": "192.168.178.96", +   }, 
-  "dest_ip": "79.254.205.77" +   "src_ip": "192.168.178.96", 
-}+   "dest_ip": "79.254.205.77" 
 + } 
 + 
 </code> </code>
  
Zeile 149: Zeile 160:
  
 Gängige Rule-Sets: Gängige Rule-Sets:
-  * Emerging Threats (ET Open & ET Pro)   +  * Emerging Threats (ET Open & ET Pro) 
-  * Snort Community Rules   +  * Snort Community Rules 
-  * Abuse.ch Feeds   +  * Abuse.ch Feeds 
-  * ThreatFox   +  * ThreatFox 
-  * Spamhaus   +  * Spamhaus 
-  * Suricata TLS Fingerprints  +  * Suricata TLS Fingerprints
  
 Eintrag in Suricata: Eintrag in Suricata:
  
 <code> <code>
-rule-files: + 
-  - emerging-threats.rules + rule-files: 
-  - local.rules+   - emerging-threats.rules 
 +   - local.rules 
 + 
 </code> </code>
  
Zeile 168: Zeile 182:
 IDS/IPS hängen stark ab von: IDS/IPS hängen stark ab von:
  
-  * CPU-Kernen   +  * CPU-Kernen 
-  * Netzwerkkarten (Offloading deaktivieren!)   +  * Netzwerkkarten (Offloading deaktivieren!) 
-  * RAM (Signaturdatenbank)   +  * RAM (Signaturdatenbank) 
-  * Traffic-Volumen   +  * Traffic-Volumen 
-  * Regelmenge  +  * Regelmenge
  
 ===== Statistiken & Monitoring ====== ===== Statistiken & Monitoring ======
Zeile 178: Zeile 192:
 Typische Metriken: Typische Metriken:
  
-  * Alerts pro Minute   +  * Alerts pro Minute 
-  * Top Source IPs   +  * Top Source IPs 
-  * Top Destinations   +  * Top Destinations 
-  * Protokollverteilung   +  * Protokollverteilung 
-  * TLS-Client-Fingerprints  +  * TLS-Client-Fingerprints
   * DNS-Anomalien   * DNS-Anomalien
  
Zeile 189: Zeile 203:
 ===== Einsatzgebiete von IDS/IPS ====== ===== Einsatzgebiete von IDS/IPS ======
  
-  * Unternehmensnetzwerke   +  * Unternehmensnetzwerke 
-  * Firewalls (OPNsense: Suricata integriert)   +  * Firewalls (OPNsense: Suricata integriert) 
-  * Heimnetzwerke (pfSense/OPNsense)   +  * Heimnetzwerke (pfSense/OPNsense) 
-  * SOC/ Blue Team   +  * SOC/ Blue Team 
-  * Zero Trust Architekturen   +  * Zero Trust Architekturen 
-  * Netzwerkforensik  +  * Netzwerkforensik
  
 ===== Vorteile von IDS ====== ===== Vorteile von IDS ======
  
-  * erkennt Angriffe   +  * erkennt Angriffe 
-  * erkennt C2-Kommunikation   +  * erkennt C2-Kommunikation 
-  * erkennt Probing/Scanning   +  * erkennt Probing/Scanning 
-  * liefert forensische Beweise   +  * liefert forensische Beweise 
-  * keine Netzwerkunterbrechung  +  * keine Netzwerkunterbrechung
  
 ===== Vorteile von IPS ====== ===== Vorteile von IPS ======
  
-  * blockiert Angriffe aktiv   +  * blockiert Angriffe aktiv 
-  * schützt Systeme automatisch   +  * schützt Systeme automatisch 
-  * im Inline-Modus sehr wirksam  +  * im Inline-Modus sehr wirksam
  
 ===== Nachteile ====== ===== Nachteile ======
  
 IDS: IDS:
-  * erkennt nur → blockiert nicht   +  * erkennt nur → blockiert nicht 
-  * sehr viele Logdaten  +  * sehr viele Logdaten
  
 IPS: IPS:
-  * kann legitimen Traffic blockieren   +  * kann legitimen Traffic blockieren 
-  * Konfiguration muss sehr sauber sein  +  * Konfiguration muss sehr sauber sein
  
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * IDS → erkennt Angriffe   +  * IDS → erkennt Angriffe 
-  * IPS → blockiert Angriffe   +  * IPS → blockiert Angriffe 
-  * Suricata & Snort sind die wichtigsten Tools   +  * Suricata & Snort sind die wichtigsten Tools 
-  * Signatur- und Anomalieerkennung   +  * Signatur- und Anomalieerkennung 
-  * zentral in Security-Strategien   +  * zentral in Security-Strategien 
-  * integriert in Firewalls wie OPNsense   +  * integriert in Firewalls wie OPNsense 
-  * liefert Alerts via eve.json, Logs, Dashboards  +  * liefert Alerts via eve.json, Logs, Dashboards
it-themen/grundlagen/netzwerkdienste/ids_ips.1764776129.txt.gz · Zuletzt geändert: von lars