IDS & IPS – Grundlagen

Ein IDS (Intrusion Detection System) und ein IPS (Intrusion Prevention System) überwachen den Netzwerkverkehr und erkennen Angriffe, Malware-Kommunikation, verdächtige Aktivitäten und Regelverstöße.

Moderne Netzwerke müssen gegen:

• Malware
• Botnet-Kommunikation
• Exploits
• Portscans
• Brute-Force
• C2-Verbindungen
• verdächtiges HTTP-Verhalten

geschützt und beobachtet werden.

IDS/IPS sind zentrale Bausteine von Defense-in-Depth und Zero Trust.

• Suricata (modern, multi-thread, sehr verbreitet)
• Snort (klassiker, Snort3 modernisiert)
• Zeek (Netzwerk-Protokoll-Analyse)
• Wazuh (Host-IDS)
• CrowdSec (regelbasierte Verhaltensanalyse)

In meinem Heimlabor nutze ich Suricata + CrowdSec + EveBox → perfekte Kombi (meine Meinung).

Zwei Haupttypen:

Vergleich mit einer Datenbank bekannter Angriffe:

• Exploit-Muster
• Malware-Domains
• C2-Server
• Portscan-Signaturen
• Buffer Overflow Erkennung

Beispiel (Snort-Regel):

 alert tcp any any -> any 80 (msg:"Bad HTTP"; content:"evil"; sid:10001;)

Erkennt ungewöhnliches Verhalten:

• plötzliche Traffic-Spitzen
• ungewöhnliche Ports
• DNS-Anomalien
• abweichende Protokolle

Suricata kombiniert beide Ansätze.

Es gibt zwei grundlegende Einsatzmodi:

Kopiert Traffic über:

• Spiegelport (SPAN)
• TAP

Der Traffic muss durch das IPS hindurch.

IDS/IPS arbeiten typischerweise auf Layer 3/4/7:

• TCP, UDP, ICMP
• HTTP, DNS, TLS, FTP, SMB usw.

Merkmale:

• sehr hohe Performance
• Multi-Core-fähig
• versteht viele Protokolle tiefgehend
• Output als eve.json
• Unterstützt IDS & IPS

Typische Dateien:

 /etc/suricata/suricata.yaml
 /var/log/suricata/eve.json

Snort ist eines der ältesten IDS-Systeme.

Snort3 = moderne, modulare Neuauflage.

 {
   "timestamp": "2025-07-10T14:23:11",
   "event_type": "alert",
   "alert": {
     "signature": "ET TROJAN Agent Tesla",
     "severity": 1
   },
   "src_ip": "192.168.178.96",
   "dest_ip": "79.254.205.77"
 }

Erlaubt direkte Analyse in:

• Grafana
• EveBox
• Kibana
• Loki/Promtail
• CrowdSec

Gängige Rule-Sets:

• Emerging Threats (ET Open & ET Pro)
• Snort Community Rules
• Abuse.ch Feeds
• ThreatFox
• Spamhaus
• Suricata TLS Fingerprints

Eintrag in Suricata:

 rule-files:
   - emerging-threats.rules
   - local.rules

IDS/IPS hängen stark ab von:

• CPU-Kernen
• Netzwerkkarten (Offloading deaktivieren!)
• RAM (Signaturdatenbank)
• Traffic-Volumen
• Regelmenge

Typische Metriken:

• Alerts pro Minute
• Top Source IPs
• Top Destinations
• Protokollverteilung
• TLS-Client-Fingerprints
• DNS-Anomalien

Viele Hersteller nutzen Dashboards (Grafana, Kibana, EveBox).

• Unternehmensnetzwerke
• Firewalls (OPNsense: Suricata integriert)
• Heimnetzwerke (pfSense/OPNsense)
• SOC/ Blue Team
• Zero Trust Architekturen
• Netzwerkforensik

• erkennt Angriffe
• erkennt C2-Kommunikation
• erkennt Probing/Scanning
• liefert forensische Beweise
• keine Netzwerkunterbrechung

• blockiert Angriffe aktiv
• schützt Systeme automatisch
• im Inline-Modus sehr wirksam

IDS:

• erkennt nur → blockiert nicht
• sehr viele Logdaten

IPS:

• kann legitimen Traffic blockieren
• Konfiguration muss sehr sauber sein

• IDS → erkennt Angriffe
• IPS → blockiert Angriffe
• Suricata & Snort sind die wichtigsten Tools
• Signatur- und Anomalieerkennung
• zentral in Security-Strategien
• integriert in Firewalls wie OPNsense
• liefert Alerts via eve.json, Logs, Dashboards