Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IDS/IPS nur mit kostenfreien Regeln

    Scheduled Pinned Locked Moved
    Allgemeine Themen
    2
    6
    581
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Bob.DigB
      Bob.Dig LAYER 8
      last edited by Bob.Dig

      Ich habe mal eine etwas allgemeinere Frage zu IDS/IPS für den Privatgebrauch. Ich betreibe zwei oder drei Server @home und habe Suricata dafür am Laufen.

      Ich nutze nur die kostenfreien Regeln und bin natürlich für die Wartung meiner Server selbst verantwortlich, sofern es Updates gibt, spiele ich diese unverzüglich ein. Vorher hatte ich nur einen normalen Router dran.

      Meint ihr, dass ich realistischerweise von IDS/IPS profitieren kann, insbesondere wenn ich kein Experte davon bin und nur die Standardregeln verwende?

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ich denke das kommt drauf an. Du betreibst immerhin Dienste, das ist zumindest ein valider Grundgedanke, da zusätzliche Sicherheit davor zu stellen. Ich würde mir da aber im Detection Mode das Ganze einfach auch mal eine Zeit lang ansehen und ggf. auch mal mit pfBNG Listen arbeiten und vergleichen. Kommt natürlich auch drauf an, was für Dienste. Bei Webdiensten bspw. ist da ja ggf. mehr möglich und im Spiel mit Injections und Co. als bei reinen IP Diensten bei denen das Protokoll ggf. jetzt nicht so offen liegt.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        Bob.DigB 1 Reply Last reply Reply Quote 0
        • Bob.DigB
          Bob.Dig LAYER 8 @JeGr
          last edited by Bob.Dig

          @JeGr Wenn Du mit pfBNG Listen die GEO-IP meinst, die nutze ich ebenfalls. Ich hab Suricata im Legacy-Modus laufen, damit ist der Ressourcenverbrauch für mich eh vertretbar. Die meisten Blocks habe ich bei Poor Reputation IP-Groups, das ist nice. Aber gleichzeitig wäre vermutlich eh nichts passiert. Ich komme mir da halt viele viele Jahre zurückversetzt vor, als das Modem noch direkt am Rechner hing und die Norton-Firewall einen die ganze Zeit vor den schlimmsten Sachen geschützt und das natürlich auch so kommuniziert hat. 😉

          Meine Frage hier stellt also mehr darauf ab, ob man mit den kostenlosen Sachen auch vor 0-Days geschützt wird oder eher nicht. Als Beispiel fallen mir da die Exim-Probleme der letzten Zeit ein. Ich nutze Exim nicht aber vielleicht weiß ja hier jemand, wie schnell es da betreffende kostenfreie Regeln für die IPS gab, einfach weil sie getriggert wurden.

          JeGrJ 1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator @Bob.Dig
            last edited by

            @Bob-Dig said in IDS/IPS nur mit kostenfreien Regeln:

            Wenn Du mit pfBNG Listen die GEO-IP meinst, die nutze ich ebenfalls.

            Nö ich meine wirklich pfBlockerNG mit entsprechenden Listen. GeoIP ist nur dann mMn. relevant, wenn ich konkret weiß, dass ich meine Dienste explizit nur in X,Y,Z anbiete, ansonsten macht ein solche grober IP Block kaum Sinn (für einen Webservice bspw.) Aber gerade die Malicious oder Trojan Listen (und andere) sind durchaus sinnvoll um schonmal ordentlich was vorzufiltern.

            @Bob-Dig said in IDS/IPS nur mit kostenfreien Regeln:

            als das Modem noch direkt am Rechner hing und die Norton-Firewall einen die ganze Zeit vor den schlimmsten Sachen geschützt und das natürlich auch so kommuniziert hat

            Der Vergleich ist gar nicht so abwegig. Gerade IDS/IPS wird sehr gern genauso eingesetzt. Angemacht, irgendwelche Listen geladen, reingefeuert - nie wieder angeschaut. Aber ich bin ja "geschützt". Autsch. Ähnliches Niveau wie Debatten über VPN Anbieter seufz

            Aber die Frage nach Details über IDS Reaktion und Listen ist durchaus spannend, da ich da leider keine Daten vorliegen habe, bin ich gespannt ob noch wer was weiß.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            Bob.DigB 1 Reply Last reply Reply Quote 0
            • Bob.DigB
              Bob.Dig LAYER 8 @JeGr
              last edited by Bob.Dig

              @JeGr said in IDS/IPS nur mit kostenfreien Regeln:

              Aber gerade die Malicious oder Trojan Listen (und andere) sind durchaus sinnvoll um schonmal ordentlich was vorzufiltern.

              Aber das wäre doch Outbound, mir gehts für mich privat eher um Inbound um meine Server zu schützen.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by JeGr

                Warum sollten die Outbound sein? Warum sollte ich malicious hosts oder hacked hosts oder sonstige Kisten die negativ sind überhaupt reinlassen? Die sind sowohl in- als auch outbound. Wo ich die Listen anwende, liegt ja an mir. Man muss sich eben in die Listen einlesen, WAS da drauf ist und wofür. Wir setzen viele davon zB durchaus sowohl in- als auch outbound ein. Und man sieht durchaus dass dann einiges geblockt wird, die IPs der Listen also definitiv nicht nur angesprochen werden, sondern selbst durch die Pampa streunen.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 1
                • First post
                  Last post