Sicherheit für die Clients - Snort/pfBlockerNG oder "Endpoint Security"?
-
Wie schützt ihr eure Clients, Stichwort "Endpoint Security"?
Habt ihr extra Software außer z.B. dem Windows Defender installiert?Ein Bekannter hatte mir berichtet das die nur noch mit DNS Whitelisting arbeiten, erscheint mir aber auch nicht
Sinnvoll nur einem DNS Anbieter zu vertrauen(?).Oder doch ein Snort Abo kaufen und auf der pfSense Seite etwas "schützen"?
Abgesehen von den Themen oben sind natürlich keine Adminrechte auf den Maschinen (egal ob Windows oder Linux Workstations) und
aktuelle Updates Pflicht, zusätzlich ist das Netzwerk in viele kleine VLAN aufgeteilt.Ja ich weiß die Frage ist komplex, vielleicht auch Mal ein Punkt fürs Onlinemeeting :)
-
Privat oder Firma?
Privat läuft der Defender mit, aber ich überlege immer wieder den abzuschalten, denn der zieht zeitweise 50% CPU Last, dabei bin ich auf der eigenen HD unterwegs oder auf dem NAS.
Der pfBlocker ist mit den richtigen Listen extrem effektiv, seit dem keine Probleme mehr und der Defender dreht schon durch, weil er nie was böses findet...Snort hilft dir aber auch nur, wenn du in SSL rein schauen kannst, sprich du musst einen Proxy einsetzten und alles aufbrechen.
Dann wirst du aber jeden Tag Tickets bekommen, das bestimmte Seiten nicht so funktionieren wie sie sollen.pfBlocker ist es egal, er haut einfach alles an die bösen IP weg und Ruhe.
-
@NOCling said in Sicherheit für die Clients - Snort/pfBlockerNG oder "Endpoint Security"?:
Privat oder Firma?
Wäre in diesem Fall fürs Büro.
@NOCling said in Sicherheit für die Clients - Snort/pfBlockerNG oder "Endpoint Security"?:
Privat läuft der Defender mit, aber ich überlege immer wieder den abzuschalten, denn der zieht zeitweise 50% CPU Last, dabei bin ich auf der eigenen HD unterwegs oder auf dem NAS.
Das Problem kenne ich, in SolidWorks müssen wir auch bestimmt Ordner und Prozesse vom Defender ausschließen sonst kann man die Software "nicht mehr bedienen".Tatsächlich hatten wir noch gar keinen Defender Alarm, ob das jetzt gut ist oder nicht weiß ich nicht :)
@NOCling said in Sicherheit für die Clients - Snort/pfBlockerNG oder "Endpoint Security"?:
Snort hilft dir aber auch nur, wenn du in SSL rein schauen kannst, sprich du musst einen Proxy einsetzten und alles aufbrechen.
Dann wirst du aber jeden Tag Tickets bekommen, das bestimmte Seiten nicht so funktionieren wie sie sollen.SSL aufbrechen und mit dem Proxy arbeiten wollte ich eigentlich nicht, erscheint mir nicht richtig.
@NOCling said in Sicherheit für die Clients - Snort/pfBlockerNG oder "Endpoint Security"?:
pfBlocker ist es egal, er haut einfach alles an die bösen IP weg und Ruhe.
Das wäre aber auch nur ein IP Ban, SNORT würde mit dem Abo doch nichts anderes machen oder?
Ist es wirklich noch Sinnvoll IPs zu blocken oder wie macht das pfBlocker?Ich weiß das es kein einfaches Thema ist und es gibt sicher nicht DIE eine Lösung welche für alle passt.
-
pfBlocker läd IP Listen und DNS Listen ein, diese werden dann für den Block und den NX-Domain Rückgabewert auf dem Unbound verwendet.
Nur er zieht die Last halt beim Listen aktualisierten und nicht beim Durchsatz wie es mit Snort der Fall ist, der mit den Listen auch nichts anderes macht, nur halt viel mehr CPU Cycle frisst.
Hatten wir zwar schon mal, aber würde gut ins Meeting passen, da es wirklich ein komplexer Aspekt ist.