it-themen:grundlagen:netzwerkdienste:ids_ips
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:ids_ips [03.12.2025 16:45] – [Regeln & Regelquellen] lars | it-themen:grundlagen:netzwerkdienste:ids_ips [20.12.2025 17:55] (aktuell) – [Eve.json Beispiel (Suricata)] lars | ||
|---|---|---|---|
| Zeile 134: | Zeile 134: | ||
| ===== Eve.json Beispiel (Suricata) ====== | ===== Eve.json Beispiel (Suricata) ====== | ||
| - | <code json> | + | <code:json> |
| { | { | ||
| Zeile 182: | Zeile 182: | ||
| IDS/IPS hängen stark ab von: | IDS/IPS hängen stark ab von: | ||
| - | * CPU-Kernen | + | * CPU-Kernen |
| - | * Netzwerkkarten (Offloading deaktivieren!) | + | * Netzwerkkarten (Offloading deaktivieren!)Â |
| - | * RAM (Signaturdatenbank) | + | * RAM (Signaturdatenbank)Â |
| - | * Traffic-Volumen | + | * Traffic-Volumen |
| - | * Regelmenge | + | * Regelmenge |
| ===== Statistiken & Monitoring ====== | ===== Statistiken & Monitoring ====== | ||
| Zeile 192: | Zeile 192: | ||
| Typische Metriken: | Typische Metriken: | ||
| - | * Alerts pro Minute | + | * Alerts pro Minute |
| - | * Top Source IPs  | + | * Top Source IPs |
| - | * Top Destinations | + | * Top Destinations |
| - | * Protokollverteilung | + | * Protokollverteilung |
| - | * TLS-Client-Fingerprints | + | * TLS-Client-Fingerprints |
| * DNS-Anomalien | * DNS-Anomalien | ||
| Zeile 203: | Zeile 203: | ||
| ===== Einsatzgebiete von IDS/IPS ====== | ===== Einsatzgebiete von IDS/IPS ====== | ||
| - | * Unternehmensnetzwerke | + | * Unternehmensnetzwerke |
| - | * Firewalls (OPNsense: Suricata integriert) | + | * Firewalls (OPNsense: Suricata integriert)Â |
| - | * Heimnetzwerke (pfSense/ | + | * Heimnetzwerke (pfSense/ |
| - | * SOC/ Blue Team  | + | * SOC/ Blue Team |
| - | * Zero Trust Architekturen | + | * Zero Trust Architekturen |
| - | * Netzwerkforensik | + | * Netzwerkforensik |
| ===== Vorteile von IDS ====== | ===== Vorteile von IDS ====== | ||
| - | * erkennt Angriffe | + | * erkennt Angriffe |
| - | * erkennt C2-Kommunikation | + | * erkennt C2-Kommunikation |
| - | * erkennt Probing/ | + | * erkennt Probing/ |
| - | * liefert forensische Beweise | + | * liefert forensische Beweise |
| - | * keine Netzwerkunterbrechung | + | * keine Netzwerkunterbrechung |
| ===== Vorteile von IPS ====== | ===== Vorteile von IPS ====== | ||
| - | * blockiert Angriffe aktiv  | + | * blockiert Angriffe aktiv |
| - | * schützt Systeme automatisch | + | * schützt Systeme automatisch |
| - | * im Inline-Modus sehr wirksam | + | * im Inline-Modus sehr wirksam |
| ===== Nachteile ====== | ===== Nachteile ====== | ||
| IDS: | IDS: | ||
| - | * erkennt nur → blockiert nicht  | + | * erkennt nur → blockiert nicht |
| - | * sehr viele Logdaten | + | * sehr viele Logdaten |
| IPS: | IPS: | ||
| - | * kann legitimen Traffic blockieren | + | * kann legitimen Traffic blockieren |
| - | * Konfiguration muss sehr sauber sein | + | * Konfiguration muss sehr sauber sein |
| ===== Zusammenfassung ====== | ===== Zusammenfassung ====== | ||
| - | * IDS → erkennt Angriffe | + | * IDS → erkennt Angriffe |
| - | * IPS → blockiert Angriffe | + | * IPS → blockiert Angriffe |
| - | * Suricata & Snort sind die wichtigsten Tools  | + | * Suricata & Snort sind die wichtigsten Tools |
| - | * Signatur- und Anomalieerkennung | + | * Signatur- und Anomalieerkennung |
| - | * zentral in Security-Strategien | + | * zentral in Security-Strategien |
| - | * integriert in Firewalls wie OPNsense | + | * integriert in Firewalls wie OPNsense |
| - | * liefert Alerts via eve.json, Logs, Dashboards | + | * liefert Alerts via eve.json, Logs, Dashboards |
it-themen/grundlagen/netzwerkdienste/ids_ips.1764776749.txt.gz · Zuletzt geändert: von lars