IDS/IPS nur mit kostenfreien Regeln



  • Ich habe mal eine etwas allgemeinere Frage zu IDS/IPS für den Privatgebrauch. Ich betreibe zwei oder drei Server @home und habe Suricata dafür am Laufen.

    Ich nutze nur die kostenfreien Regeln und bin natürlich für die Wartung meiner Server selbst verantwortlich, sofern es Updates gibt, spiele ich diese unverzüglich ein. Vorher hatte ich nur einen normalen Router dran.

    Meint ihr, dass ich realistischerweise von IDS/IPS profitieren kann, insbesondere wenn ich kein Experte davon bin und nur die Standardregeln verwende?


  • LAYER 8 Moderator

    Ich denke das kommt drauf an. Du betreibst immerhin Dienste, das ist zumindest ein valider Grundgedanke, da zusätzliche Sicherheit davor zu stellen. Ich würde mir da aber im Detection Mode das Ganze einfach auch mal eine Zeit lang ansehen und ggf. auch mal mit pfBNG Listen arbeiten und vergleichen. Kommt natürlich auch drauf an, was für Dienste. Bei Webdiensten bspw. ist da ja ggf. mehr möglich und im Spiel mit Injections und Co. als bei reinen IP Diensten bei denen das Protokoll ggf. jetzt nicht so offen liegt.



  • @JeGr Wenn Du mit pfBNG Listen die GEO-IP meinst, die nutze ich ebenfalls. Ich hab Suricata im Legacy-Modus laufen, damit ist der Ressourcenverbrauch für mich eh vertretbar. Die meisten Blocks habe ich bei Poor Reputation IP-Groups, das ist nice. Aber gleichzeitig wäre vermutlich eh nichts passiert. Ich komme mir da halt viele viele Jahre zurückversetzt vor, als das Modem noch direkt am Rechner hing und die Norton-Firewall einen die ganze Zeit vor den schlimmsten Sachen geschützt und das natürlich auch so kommuniziert hat. 😉

    Meine Frage hier stellt also mehr darauf ab, ob man mit den kostenlosen Sachen auch vor 0-Days geschützt wird oder eher nicht. Als Beispiel fallen mir da die Exim-Probleme der letzten Zeit ein. Ich nutze Exim nicht aber vielleicht weiß ja hier jemand, wie schnell es da betreffende kostenfreie Regeln für die IPS gab, einfach weil sie getriggert wurden.


  • LAYER 8 Moderator

    @Bob-Dig said in IDS/IPS nur mit kostenfreien Regeln:

    Wenn Du mit pfBNG Listen die GEO-IP meinst, die nutze ich ebenfalls.

    Nö ich meine wirklich pfBlockerNG mit entsprechenden Listen. GeoIP ist nur dann mMn. relevant, wenn ich konkret weiß, dass ich meine Dienste explizit nur in X,Y,Z anbiete, ansonsten macht ein solche grober IP Block kaum Sinn (für einen Webservice bspw.) Aber gerade die Malicious oder Trojan Listen (und andere) sind durchaus sinnvoll um schonmal ordentlich was vorzufiltern.

    @Bob-Dig said in IDS/IPS nur mit kostenfreien Regeln:

    als das Modem noch direkt am Rechner hing und die Norton-Firewall einen die ganze Zeit vor den schlimmsten Sachen geschützt und das natürlich auch so kommuniziert hat

    Der Vergleich ist gar nicht so abwegig. Gerade IDS/IPS wird sehr gern genauso eingesetzt. Angemacht, irgendwelche Listen geladen, reingefeuert - nie wieder angeschaut. Aber ich bin ja "geschützt". Autsch. Ähnliches Niveau wie Debatten über VPN Anbieter seufz

    Aber die Frage nach Details über IDS Reaktion und Listen ist durchaus spannend, da ich da leider keine Daten vorliegen habe, bin ich gespannt ob noch wer was weiß.



  • @JeGr said in IDS/IPS nur mit kostenfreien Regeln:

    Aber gerade die Malicious oder Trojan Listen (und andere) sind durchaus sinnvoll um schonmal ordentlich was vorzufiltern.

    Aber das wäre doch Outbound, mir gehts für mich privat eher um Inbound um meine Server zu schützen.


  • LAYER 8 Moderator

    Warum sollten die Outbound sein? Warum sollte ich malicious hosts oder hacked hosts oder sonstige Kisten die negativ sind überhaupt reinlassen? Die sind sowohl in- als auch outbound. Wo ich die Listen anwende, liegt ja an mir. Man muss sich eben in die Listen einlesen, WAS da drauf ist und wofür. Wir setzen viele davon zB durchaus sowohl in- als auch outbound ein. Und man sieht durchaus dass dann einiges geblockt wird, die IPs der Listen also definitiv nicht nur angesprochen werden, sondern selbst durch die Pampa streunen.


Log in to reply