it-themen:grundlagen:netzwerkdienste:ids_ips
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:45] – [Eve.json Beispiel (Suricata)] lars | it-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:50] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 160: | Zeile 160: | ||
| Gängige Rule-Sets: | Gängige Rule-Sets: | ||
| - | * Emerging Threats (ET Open & ET Pro) | + | * Emerging Threats (ET Open & ET Pro) |
| - | * Snort Community Rules | + | * Snort Community Rules |
| - | * Abuse.ch Feeds | + | * Abuse.ch Feeds |
| - | * ThreatFox | + | * ThreatFox |
| - | * Spamhaus | + | * Spamhaus |
| - | * Suricata TLS Fingerprints | + | * Suricata TLS Fingerprints |
| Eintrag in Suricata: | Eintrag in Suricata: | ||
| < | < | ||
| - | rule-files: | + | |
| - | - emerging-threats.rules | + | rule-files: |
| - | - local.rules | + | |
| + | | ||
| + | |||
| </ | </ | ||
| Zeile 179: | Zeile 182: | ||
| IDS/IPS hängen stark ab von: | IDS/IPS hängen stark ab von: | ||
| - | * CPU-Kernen | + | * CPU-Kernen |
| - | * Netzwerkkarten (Offloading deaktivieren!) | + | * Netzwerkkarten (Offloading deaktivieren!) |
| - | * RAM (Signaturdatenbank) | + | * RAM (Signaturdatenbank) |
| - | * Traffic-Volumen | + | * Traffic-Volumen |
| - | * Regelmenge | + | * Regelmenge |
| ===== Statistiken & Monitoring ====== | ===== Statistiken & Monitoring ====== | ||
| Zeile 189: | Zeile 192: | ||
| Typische Metriken: | Typische Metriken: | ||
| - | * Alerts pro Minute | + | * Alerts pro Minute |
| - | * Top Source IPs | + | * Top Source IPs |
| - | * Top Destinations | + | * Top Destinations |
| - | * Protokollverteilung | + | * Protokollverteilung |
| - | * TLS-Client-Fingerprints | + | * TLS-Client-Fingerprints |
| * DNS-Anomalien | * DNS-Anomalien | ||
| Zeile 200: | Zeile 203: | ||
| ===== Einsatzgebiete von IDS/IPS ====== | ===== Einsatzgebiete von IDS/IPS ====== | ||
| - | * Unternehmensnetzwerke | + | * Unternehmensnetzwerke |
| - | * Firewalls (OPNsense: Suricata integriert) | + | * Firewalls (OPNsense: Suricata integriert) |
| - | * Heimnetzwerke (pfSense/ | + | * Heimnetzwerke (pfSense/ |
| - | * SOC/ Blue Team | + | * SOC/ Blue Team |
| - | * Zero Trust Architekturen | + | * Zero Trust Architekturen |
| - | * Netzwerkforensik | + | * Netzwerkforensik |
| ===== Vorteile von IDS ====== | ===== Vorteile von IDS ====== | ||
| - | * erkennt Angriffe | + | * erkennt Angriffe |
| - | * erkennt C2-Kommunikation | + | * erkennt C2-Kommunikation |
| - | * erkennt Probing/ | + | * erkennt Probing/ |
| - | * liefert forensische Beweise | + | * liefert forensische Beweise |
| - | * keine Netzwerkunterbrechung | + | * keine Netzwerkunterbrechung |
| ===== Vorteile von IPS ====== | ===== Vorteile von IPS ====== | ||
| - | * blockiert Angriffe aktiv | + | * blockiert Angriffe aktiv |
| - | * schützt Systeme automatisch | + | * schützt Systeme automatisch |
| - | * im Inline-Modus sehr wirksam | + | * im Inline-Modus sehr wirksam |
| ===== Nachteile ====== | ===== Nachteile ====== | ||
| IDS: | IDS: | ||
| - | * erkennt nur → blockiert nicht | + | * erkennt nur → blockiert nicht |
| - | * sehr viele Logdaten | + | * sehr viele Logdaten |
| IPS: | IPS: | ||
| - | * kann legitimen Traffic blockieren | + | * kann legitimen Traffic blockieren |
| - | * Konfiguration muss sehr sauber sein | + | * Konfiguration muss sehr sauber sein |
| ===== Zusammenfassung ====== | ===== Zusammenfassung ====== | ||
| - | * IDS → erkennt Angriffe | + | * IDS → erkennt Angriffe |
| - | * IPS → blockiert Angriffe | + | * IPS → blockiert Angriffe |
| - | * Suricata & Snort sind die wichtigsten Tools | + | * Suricata & Snort sind die wichtigsten Tools |
| - | * Signatur- und Anomalieerkennung | + | * Signatur- und Anomalieerkennung |
| - | * zentral in Security-Strategien | + | * zentral in Security-Strategien |
| - | * integriert in Firewalls wie OPNsense | + | * integriert in Firewalls wie OPNsense |
| - | * liefert Alerts via eve.json, Logs, Dashboards | + | * liefert Alerts via eve.json, Logs, Dashboards |
it-themen/grundlagen/netzwerkdienste/ids_ips.1764776707.txt.gz · Zuletzt geändert: von lars