Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:41] – [2. Anomaliebasiert (modern)] lars
+++ it-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:50] (aktuell) – [Zusammenfassung] lars
@@ Zeile 90: / Zeile 90: @@
   * TAP
-<code>
+<a2s>
 Traffic → Switch → (Kopie) → IDS
-</code>
+</a2s>
 ==== IPS inline (aktiv) ====
@@ Zeile 98: / Zeile 98: @@
 Der Traffic muss **durch** das IPS hindurch.
-<code>
+<a2s>
 Traffic → IPS → Ziel
-</code>
+</a2s>
 ===== Ports & Protokolle ======
 IDS/IPS arbeiten typischerweise auf Layer 3/4/7:
   * TCP, UDP, ICMP
   * HTTP, DNS, TLS, FTP, SMB usw.
 ===== Suricata – moderne, multithreaded Engine ======
 Merkmale:
   * sehr hohe Performance
   * Multi-Core-fähig
   * versteht viele Protokolle tiefgehend
   * Output als `eve.json`
   * Unterstützt IDS & IPS
 Typische Dateien:
 <code>
-/etc/suricata/suricata.yaml
-/var/log/suricata/eve.json
+ /etc/suricata/suricata.yaml
+ /var/log/suricata/eve.json
 </code>
@@ Zeile 131: / Zeile 134: @@
 ===== Eve.json Beispiel (Suricata) ======
-<code>
+<code json>
-{
-  "timestamp": "2025-07-10T14:23:11",
+ {
-  "event_type": "alert",
+   "timestamp": "2025-07-10T14:23:11",
-  "alert": {
+   "event_type": "alert",
-    "signature": "ET TROJAN Agent Tesla",
+   "alert": {
-    "severity": 1
+     "signature": "ET TROJAN Agent Tesla",
-  },
+     "severity": 1
-  "src_ip": "192.168.178.96",
+   },
-  "dest_ip": "79.254.205.77"
+   "src_ip": "192.168.178.96",
-}
+   "dest_ip": "79.254.205.77"
+ }
 </code>
@@ Zeile 154: / Zeile 160: @@
 Gängige Rule-Sets:
   * Emerging Threats (ET Open & ET Pro)
   * Snort Community Rules
   * Abuse.ch Feeds
   * ThreatFox
   * Spamhaus
   * Suricata TLS Fingerprints
 Eintrag in Suricata:
 <code>
-rule-files:
-  - emerging-threats.rules
+ rule-files:
-  - local.rules
+   - emerging-threats.rules
+   - local.rules
 </code>
@@ Zeile 173: / Zeile 182: @@
 IDS/IPS hängen stark ab von:
   * CPU-Kernen
   * Netzwerkkarten (Offloading deaktivieren!)
   * RAM (Signaturdatenbank)
   * Traffic-Volumen
   * Regelmenge
 ===== Statistiken & Monitoring ======
@@ Zeile 183: / Zeile 192: @@
 Typische Metriken:
   * Alerts pro Minute
   * Top Source IPs
   * Top Destinations
   * Protokollverteilung
   * TLS-Client-Fingerprints
   * DNS-Anomalien
@@ Zeile 194: / Zeile 203: @@
 ===== Einsatzgebiete von IDS/IPS ======
   * Unternehmensnetzwerke
   * Firewalls (OPNsense: Suricata integriert)
   * Heimnetzwerke (pfSense/OPNsense)
   * SOC/ Blue Team
   * Zero Trust Architekturen
   * Netzwerkforensik
 ===== Vorteile von IDS ======
   * erkennt Angriffe
   * erkennt C2-Kommunikation
   * erkennt Probing/Scanning
   * liefert forensische Beweise
   * keine Netzwerkunterbrechung
 ===== Vorteile von IPS ======
   * blockiert Angriffe aktiv
   * schützt Systeme automatisch
   * im Inline-Modus sehr wirksam
 ===== Nachteile ======
 IDS:
   * erkennt nur → blockiert nicht
   * sehr viele Logdaten
 IPS:
   * kann legitimen Traffic blockieren
   * Konfiguration muss sehr sauber sein
 ===== Zusammenfassung ======
   * IDS → erkennt Angriffe
   * IPS → blockiert Angriffe
   * Suricata & Snort sind die wichtigsten Tools
   * Signatur- und Anomalieerkennung
   * zentral in Security-Strategien
   * integriert in Firewalls wie OPNsense
   * liefert Alerts via eve.json, Logs, Dashboards