Forum: PC Hard- und Software Intrusion Detection (Prevention) wie am besten umsetzen?

wendelsberg schrieb:
> Holger K. schrieb:
>> Nach einiger Recherche habe ich gesehen, dass z.B. Cisco
>
> Da kannst Du wenigstens sicher sein, dass die Hintertueren korrekt
> eingebaut sind.
>
> 
https://www.heise.de/newsticker/meldung/NSA-manipuliert-per-Post-versandte-US-Netzwerktechnik-2187858.html
>
> wendelsberg

Na super...

Dann doch lieber opensource software?

Stephan schrieb:
> Das macht eigentlich jeder halbwegs aktuelle Router.

Naja...

Es gibt auch geräte welche den Traffic z.B. auf Brute-Force attacken 
untersuchen. Solche Analysen machen "normale" Router bestimmt nicht.

Stephan schrieb:
> Das macht eigentlich jeder halbwegs aktuelle Router. SPI und DDoS.
> Selbst die CT schrieb mal das es keinen dokumentierten Fall gibt bei dem
> von Außen in einen Router eingebrochen wurde. Dazu ist immer die
> Mitarbeit von DAUs notwendig. Oh da liegt ja ein Stick, hmmmmmm mal
> schauen was da drauf ist....

Soll ja auch Leute geben, die nicht nur konsumieren - Einbruch von außen 
in einen NATenden Router ist wirklich unwahrscheinlich. Wenn man 
allerdings ein paar Serverdienste vom Internet aus freigegeben hat (SSH, 
Webserver,...) sieht die Sache schon anders aus. Da wäre eine IDS/IPS 
schon fein, allerdings in der Praxis leider komplexer als nur "Plug-In".

Jan H. schrieb:
> ein paar Serverdienste vom Internet aus freigegeben hat (SSH,
> Webserver,...) sieht die Sache schon anders aus. Da wäre eine IDS/IPS
> schon fein, allerdings in der Praxis leider komplexer als nur "Plug-In".

Ja, das habe ich eben auch.

Es geht darum, meine Serverdienste zu schützen.

Was sicher Sinn macht ist eine DMZ. Eine "demilitarisierte Zone". Hinter 
deinem Router/Modem, welcher Dienste nach Aussen durchlaesst hast du die 
freigegebenen Server, dann kommt ein Router und dann erst das lokale 
Netzwerk. Die Bedeutung ist, dass auch dein gehackter Server hat keinen 
Zugriff auf dein LAN.

Es gibt auch Geraete, welche einen Router inkl. DMZ bereitstellen. Falls 
man denen vertrauen kann. Lieber zwei Router hintereinander.

Danke für eure antworten.

Nun aktuell ist bereits entsprechendes umgesetzt:

Inet -> USG20 -> VLANs

Die USG macht mehrere VLANs
Unter anderem für das lokale Netzwerk wie auch für das Servernetz und 
Gäste WLAN.

Aus dem Servernetz ist jeglicher Zugang ins private VLAN gesperrt.
Ebenso vom Gäste WLAN (VLAN) ins private VLAN.

Hingegen kann man aus dem privaten VLAN ins Servernetz.
Und von aussen (Inet) kommt man ebenfalls in Servernetz.

Ich denke, damit ist bereits eine relativ gute isolierung gewährleistet.
Die meisten Serverdienste laufen zudem noch in containern. Also nochmals 
eine isolationsschicht.

Es wäre jedoch schön, wenn ich nicht jedem einzelnen Servedienst ein 
fail2ban voranstellen müsste, da die container teilweise nicht von mir 
erzeugt sind.

Daher wäre eine generelle "Netzwerkanalyse Lösung" wünschenswert.
Ich glaube Fortinet und eben auch Cisco werben damit, dass sie eine 
"DropIn" lösung haben... Halt für einen entpsrechenden Preis...

Und der ganze Aufwand wegen welcher reellen und nicht hinkonstruierten 
Gefahr für den Ottonormal "Ich nutze meine eigenen Server Zuahuse"- 
User?

Manuel X. schrieb:
> Und der ganze Aufwand wegen welcher reellen und nicht hinkonstruierten
> Gefahr für den Ottonormal "Ich nutze meine eigenen Server Zuahuse"-
> User?

Nun... Es gibt Botnetze, welche permanent das Internet bzw. IP-Ranges 
nach möglichen Einfallstoren abscannen.

Wenn nun ein Server ein Loginfenster öffentlich hat und das Botnetz 
merkt, dass es hier mit 100 Anfragen pro Sekunde Passwörter testen kann 
(BruteForce) dann wird es diesen Angriff noch eine Weile durchführen, 
denn es könnte sich lohnen und der Angriff wird nicht blockiert oder 
verlangsamt oder sonstwas (Intrusion Detection ist nicht vorhanden).

Botnetze werden nicht immer gezielt auf eine Person / Firma gerichtet. 
Diese versuchen auch einfach allgemein Schachstellen auszunutzen um so 
ihr eigenes Netz um weitere Bots erweitern zu können...

Daher zu denken, man sei als "Ottonoramlverbraucher" geschützt, wäre 
ilusorisch.

Nutzt man lediglich E-Mail und etwas Chrome zum surfen hinter einem 
Natenden Router, so mag man wohl recht sicher sein.

Sobald man jedoch dutzende Software mit Fremden im Internet 
kommunizieren lässt (Serversoftware, WordPress, Plugins etc...) sieht 
die Gefahrenlage und das potentielle Risiko bereits wieder etwas anders 
aus...

Wenn ich mir die Logs der USG Firewall ansehe, dann sehe ich im 
Sekundentakt ankommende Anfragen auf derzeit geschlossene Ports.
In den Apache logs sehe ich diverse Anfragen an mögliche APIs welche bei 
mir jedoch nicht vorhanden sind...

Das Internet ist nicht statisch nur weil man sich selbst statisch darin 
verhält...

Offtopic:

Gegen Angriffe aus dem All gibts S.I.D. (Space Intruder Detector)

Holger K. schrieb:
> (z.B. Bruteforce
> angriffe erkennen, DDoS erkennen etc.) durchaus sinn.

Naja es geht; gegen Bruteforce hilft Fail2ban. Gegen eine gross 
angelegte DDoS Attacke von einem Botnetz hilft eigentlich nichts, ausser 
man hat insgesamt mehr Bandbreite zur Verfügung als der Angreiffer.

Stephan schrieb:
> Letztlich würde ich immer eine 2. Netzwerkkarte am Server für das
> Perimeternetzwerk (DMZ)  nehmen.

Du baust damit einen potentiellen aber vorläufig abgeschalteten Router, 
der die Firewall umgeht. Finde ich keine gute Idee.

Holger K. schrieb:
> In den Apache logs sehe ich diverse Anfragen an mögliche APIs welche bei
> mir jedoch nicht vorhanden sind...

Hauptsächlich wird versucht, einige Service-Bugs und 
Konfigurationsfehler auszunutzen, sowas wie falsche Zugriffsrechte im 
Webserver und Bugs in Wordpress Plugins. Da ist insgesamt nur wenig 
Phantasie im Spiel, die weitaus meisten Versuche sind seit Jahren immer 
die gleichen.

Den Löwenanteil solcher Versuche kann man durch Geoblocking fernhalten. 
Wenn man z.B. seine Dienste sowieso bloss selbst innerhalb Deutschlands 
und evtl im Urlaub nutzt. Bringt sicherheitstechnisch nicht so 
wahnsinnig viel, weil auch etliche deutsche Sites gekapert sind, 
reduziert aber das Logfile erheblich.

Holger K. schrieb:
> Daher wäre eine generelle "Netzwerkanalyse Lösung" wünschenswert.
> Ich glaube Fortinet und eben auch Cisco werben damit, dass sie eine
> "DropIn" lösung haben... Halt für einen entpsrechenden Preis...

Der Haken an automatischen Sperren zeigt sich dann, wenn du dich selbst 
abklemmst. Die sind nämlich nicht perfekt. Wenn beispielsweise deine 
eigenen Zugriffe für den Geschmack der Firewall zu oft kommen, setzt sie 
dich selbst für ein Weilchen an die Luft.

Mit Abstand Spitzenreiter bei den protokollierten "Angriffen" sind bei 
uns PCs, die aufgrund Fehlverhaltens sehr hartnäckig versuchen, auf 
bereits geschlossene Verbindungen zuzugreifen. Sperrst du die 
automatisch, können die halt am nächsten Morgen nicht arbeiten.

Internet-Verbindungen ergeht es ähnlich. Als Admin hat man immer wieder 
mal die Aufgabe, Ausnahmen ins IDS zu konfigurieren, weil die Firewall 
etwas missversteht, weil völlig korrekte Zugriffe für sie nicht koscher 
wirken.

Andererseits kann man bei einem automatisiert und gut gepflegten IDS 
eine gewisse Hoffnung hegen, dass es bei frisch aufgekommenen Bugs von 
Servern schneller schaltet als der Admin, sie schon sperrt, bevor der 
einen Patch einspielen kann (so es überhaupt schon einen gibt). Sowas 
ist aber eher eine Unternehmenslösung, denn sehr zeitnah aktualisierte 
IDS-Filter gibts nicht unbedingt für lau.

vn nn schrieb:
> Cisco? Sind das nicht diejenigen, die alle zwei Monate durch massive
> Backdoo... äääh Sicherheitslücken in Form fix eincodierter, versteckter
> Adminzugänge auffallen? Das Zeug kauft noch wer?

Cisco gehört immerhin zu jener Spezies, die es freiwillig öffentlich 
bekannt gibt. Weshalb sie regelmässiger Gast in den Tickern sind. Was 
aber nicht eben selbstverständlich ist.

Überdies hat Cisco ein riesiges Angebot an Lösungen, teil selber gebaut, 
teils aus allen Windrichtungen zusammengekauft. Und je mehr jemand 
anbietet, desto häufiger gibts Probleme.

Klar, Ciscos Angewohnheit, Backdoors einzubauen, geht auf die Dauer auf 
die Nerven. Willst du deine Nerven schonen, kauf eine exotische Lösung 
von jemandem, der nur diese Lösung im Angebot hat und dessen Angebot 
kaum jemand nutzt. Da bleibst du von Meldungen im Heise-Ticker sehr 
wahrscheinlich verschont. Ist das Prinzip, "ich mach die Augen zu, dann 
siehst du mich nicht", denn nicht von Bugs zu lesen heisst nicht, dass 
es die nicht gibt.

vn nn schrieb:
> Interessant, wie deiner Meinung nach Cisco der einzig sinnvolle Anbieter
> ist, weil ja eh, und überhaupt und sowieso.

Was du in Texten liest, liegt nicht nur in meiner Verantwortung, sondern 
auch in deiner. Also was du drin lesen willst, wirst du auch dann drin 
finden, wenn ich es nicht reingeschrieben habe.

Für mich ist es allerdings klar, dass man bei häufiger genutzten 
Produkte häufiger von Problemen liest, als bei seltenen. Wer also - wie 
viele das tun - allein aufgrund der Häufigkeit von Problemmeldungen auf 
die Produktqualität schliesst, der verhält sich wie das vorhin 
skizzierte Kind.

Das Cisco einigen Dreck am Stecken hat ist klar. Spannender finde ich 
die Frage, ob die Anderen sauberer sind, oder ob man den Dreck bloss 
nicht sieht.

Holger K. schrieb:
> Kennt jemand preisgünstigere Lösungen?

Snort.
Als Einstieg und zum Überfliegen.
https://de.wikipedia.org/wiki/Snort

Marc D. schrieb:
> Snort.

Da wir gerade bei Cisco waren: Rate mal welche Firma mittlerweile hinter 
Snort steht. ;-)

A. K. schrieb:
> Marc D. schrieb:
>> Snort.
>
> Da wir gerade bei Cisco waren: Rate mal welche Firma mittlerweile hinter
> Snort steht. ;-)

Ist schon richtig. Trotzdem bleibt das Paket extern überprüfbar (OS).

Ich würde auch Snort empfehlen. Dessen Signaturformat ist mittlerweile 
wohl fast Defacto-Standard.

Lässt sich gut ins Netz integrieren und ist recht mächtig.

A. K. schrieb:
> Marc D. schrieb:
>> Snort.
>
> Da wir gerade bei Cisco waren: Rate mal welche Firma mittlerweile hinter
> Snort steht. ;-)

yupp seit 2013 also auch nicht seit gestern, ansonsten aber
was Chris schon sagte. Snort kann immer noch kostenfrei genutzt
werden und ist im Quellcode verfügbar.

das "Registered user Ruleset" ist halt 30 Tage alt dafür umsonst
zusammen mit dem Community Ruleset oftmals aber ausreichend.
(sonst die Private Linacre für 30€/anno)

Frau oder mann darf sich halt selber noch kümmern und
gerne von Hand eingreifen eigne rules dazuschreiben wenn
er ein bestimmten noch nicht vorhandenen Angriffsvector erwartet 
bemerkt.

siehe: 
https://www.snort.org/faq/what-are-the-differences-in-the-rule-sets