03_IDS

Intrusion Detection System

Eindringlingsbekämpfung kann einfach sein. Hierzu wird der Netzwerk-Verkehr überwacht und besondere Aktivitäten erfaßt und dokumentiert. Im günstigsten Fall wird der verdächtige Anwender mit seiner IP  zum Beispiel für 2 Stunden per Firewall automatisch gesperrt.

IDS = Intrusion Detection System
IPS = Intrusion Prevention System

Wir wollen uns mal „snort“ ansehen.

Hierzu testen wir gerade folgende Appliance:

Security Onion:

Achtung: Nur mit mindestens 100 GB Festplatte, ansonsten läßt es sich nicht installieren

Im Einsatz:

Arpwatch MAC-Adress-Control.
Hierzu entwickeln wir gerade eine Lösung rund um Arpwatch.

• Multi-LAN-Überwachung
• IDS-Alarm (=> Mail ans Ticket-System)
• PHP-IDS-Konfigurationen
• Grafana als Visualisierung 
  
  

Hinweis: Die OPNsense-Firewall kann das auch... => Firewalls

Last but not least: Suricata