Intrusion Detection System
Eindringlingsbekämpfung kann einfach sein. Hierzu wird der Netzwerk-Verkehr überwacht und besondere Aktivitäten erfaßt und dokumentiert. Im günstigsten Fall wird der verdächtige Anwender mit seiner IP zum Beispiel für 2 Stunden per Firewall automatisch gesperrt.
IDS = Intrusion Detection System
IPS = Intrusion Prevention System
Wir wollen uns mal „snort“ ansehen.
Hierzu testen wir gerade folgende Appliance:
Security Onion:
Achtung: Nur mit mindestens 100 GB Festplatte, ansonsten läßt es sich nicht installieren
Im Einsatz:
Arpwatch MAC-Adress-Control.
Hierzu entwickeln wir gerade eine Lösung rund um Arpwatch.
- Multi-LAN-Überwachung
- IDS-Alarm (=> Mail ans Ticket-System)
- PHP-IDS-Konfigurationen
- Grafana als Visualisierung (siehe Dashboard)
Hinweis: Die OPNsense-Firewall kann das auch... => Firewalls
Last but not least: Suricata
