"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Intrusion Detection - Herangehensweise Brainstorming

Redphex 23.03.2017 - 08:08 1908 7
Posts

Redphex

Legend
RabbitOfNegativeEuphoria
Avatar
Registered: Mar 2000
Location: Kadaverstern
Posts: 11811
Wie geht man an sowas im Jahr 2017 heran?

Host based?
Network based?
Beides?
Welche Komponenten?
Produktempfehlungen?
Erfahrungsberichte?

Jeder, der damit Erfahrungen gemacht hat ist eingeladen, zu posten :)

22zaphod22

chocolate jesus
Avatar
Registered: Sep 2000
Location: earth, mostly ha..
Posts: 6940
obwohl ich seit fast 10 jahren nimmer bei der bande dabei bin - https://www.verisign.com/de_DE/secu...nce/index.xhtml

je nach unternehmensgröße / anwendungsfall ...

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Wenn ich die entsprechenden Leute und die Zeit hätte etwas aufzubauen, würde ich mit Suricata und dem ELK Stack (Elasticsearch, Logstash, Kibana) ein solches Projekt starten. Der Programmier- und Einrichtungsaufwand hält sich in Grenzen, die Technologie ist etabliert und vielfach im Einsatz. IDS/IPS Regeln kann man von namhaften Anbietern wie z.B. Proofpoint, Sourcefire zukaufen.

Damit macht man sich von der Produkt- und Preispolitik der großen Anbieter weitestgehend unabhängig, letztlich kochen sie alle nur mit Wasser
und man kann das darunterliegende Betriebssystem selbst wählen und einrichten (lassen).

Cuero

Moderator
Registered: Feb 2001
Location: 2440 Gramatnewsi..
Posts: 3540
beides würde ich sagen. weil du network-based etliches nicht scannen kannst, v.a. einige veschlüsselte sachen. und wenn dann certificate pinning so richtig da ist, wirds auch mit MITM-ssl-traffic aufbrechen nochmal schwieriger.

ich kenn nur die cisco-produkte und bin mit denen nicht unzufrieden (cisco asa mit firepower).
Bearbeitet von Cuero am 23.03.2017, 09:33

Redphex

Legend
RabbitOfNegativeEuphoria
Avatar
Registered: Mar 2000
Location: Kadaverstern
Posts: 11811
Suricata schaut net bled aus - wäre zumindest ein Ansatz.
Müsste halt einen Weg finden, die Engine mit Traffic zu versorgen.

einen elk-stack hätt ich hier für diverseste log-sammlungen schon im einsatz.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Man findet einige Dokumente im Netz bezüglich der Hardware Anforderungen und es gibt ein paar Firmen die sich auf entsprechende Beschleunigerkarten spezialisiert haben, falls benötigt.

Telesoft bzw. Solarflare hätte ich da gesehen:
http://telesoft-technologies.com/te...curity#overview
https://www.solarflare.com/platforms

http://www.ntop.org bietet Lösungen für bis zu 100 Gbit/s an.

Neo-=IuE=-

Here to stay
Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3228
Also ich bin in dem Bereich tätig und meiner Meinung wird es meist Network based gemacht.
Das kann auf einer Firewall/NGFW mitgemacht werden oder mit dedizierten Systemen bzw auch auf DDOS-Protectoren.

Redphex

Legend
RabbitOfNegativeEuphoria
Avatar
Registered: Mar 2000
Location: Kadaverstern
Posts: 11811
Ich versuch mich jetzt mal an einem network based PoC auf basis von suricata.
Wenn das von den Grundlagen her passt, werden wir auch auf der kommerz-schiene testen.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz