Hallo zusammen Die Angriffe aus dem Internet nehmen ja immer mehr zu. Da mach ein Gerät/SW welches Intrusion Detection macht (z.B. Bruteforce angriffe erkennen, DDoS erkennen etc.) durchaus sinn. Nach einiger Recherche habe ich gesehen, dass z.B. Cisco mit ihren NGIPS https://www.cisco.com/c/en/us/products/security/ngips/index.html Systemen hier eine wirklich tolle Lösung haben. Doch mit Preisen ab 2000-3000 EURO ist dies für einen Privaten nicht erschwinglich. Nun die Frage an euch: Kennt jemand preisgünstigere Lösungen? Am liebsten würde ich den gesamten Traffic zwischen Modem und Router durch ein entsprechendes Gerät schleifen. Danke schonmal.
Aus dem Blauen heraus geschätzt: "Transparent bridge" und "pfsense" googeln.
Holger K. schrieb: > Nach einiger Recherche habe ich gesehen, dass z.B. Cisco Da kannst Du wenigstens sicher sein, dass die Hintertueren korrekt eingebaut sind. https://www.heise.de/newsticker/meldung/NSA-manipuliert-per-Post-versandte-US-Netzwerktechnik-2187858.html wendelsberg
wendelsberg schrieb: > Holger K. schrieb: >> Nach einiger Recherche habe ich gesehen, dass z.B. Cisco > > Da kannst Du wenigstens sicher sein, dass die Hintertueren korrekt > eingebaut sind. > > https://www.heise.de/newsticker/meldung/NSA-manipuliert-per-Post-versandte-US-Netzwerktechnik-2187858.html > > wendelsberg Na super... Dann doch lieber opensource software?
Das macht eigentlich jeder halbwegs aktuelle Router. SPI und DDoS. Selbst die CT schrieb mal das es keinen dokumentierten Fall gibt bei dem von Außen in einen Router eingebrochen wurde. Dazu ist immer die Mitarbeit von DAUs notwendig. Oh da liegt ja ein Stick, hmmmmmm mal schauen was da drauf ist....
Stephan schrieb: > Das macht eigentlich jeder halbwegs aktuelle Router. Naja... Es gibt auch geräte welche den Traffic z.B. auf Brute-Force attacken untersuchen. Solche Analysen machen "normale" Router bestimmt nicht.
Stephan schrieb: > Das macht eigentlich jeder halbwegs aktuelle Router. SPI und DDoS. > Selbst die CT schrieb mal das es keinen dokumentierten Fall gibt bei dem > von Außen in einen Router eingebrochen wurde. Dazu ist immer die > Mitarbeit von DAUs notwendig. Oh da liegt ja ein Stick, hmmmmmm mal > schauen was da drauf ist.... Soll ja auch Leute geben, die nicht nur konsumieren - Einbruch von außen in einen NATenden Router ist wirklich unwahrscheinlich. Wenn man allerdings ein paar Serverdienste vom Internet aus freigegeben hat (SSH, Webserver,...) sieht die Sache schon anders aus. Da wäre eine IDS/IPS schon fein, allerdings in der Praxis leider komplexer als nur "Plug-In".
Jan H. schrieb: > ein paar Serverdienste vom Internet aus freigegeben hat (SSH, > Webserver,...) sieht die Sache schon anders aus. Da wäre eine IDS/IPS > schon fein, allerdings in der Praxis leider komplexer als nur "Plug-In". Ja, das habe ich eben auch. Es geht darum, meine Serverdienste zu schützen.
Was sicher Sinn macht ist eine DMZ. Eine "demilitarisierte Zone". Hinter deinem Router/Modem, welcher Dienste nach Aussen durchlaesst hast du die freigegebenen Server, dann kommt ein Router und dann erst das lokale Netzwerk. Die Bedeutung ist, dass auch dein gehackter Server hat keinen Zugriff auf dein LAN. Es gibt auch Geraete, welche einen Router inkl. DMZ bereitstellen. Falls man denen vertrauen kann. Lieber zwei Router hintereinander.
Mit fail2ban o.ä. kann man IP Pakete auf den unteren Ebenen verwerfen bevor sie viel Rechenzeit kosten.. Ein DMZ kann durchaus nur virtuell sein wenn man VMs verwendet..
Danke für eure antworten. Nun aktuell ist bereits entsprechendes umgesetzt: Inet -> USG20 -> VLANs Die USG macht mehrere VLANs Unter anderem für das lokale Netzwerk wie auch für das Servernetz und Gäste WLAN. Aus dem Servernetz ist jeglicher Zugang ins private VLAN gesperrt. Ebenso vom Gäste WLAN (VLAN) ins private VLAN. Hingegen kann man aus dem privaten VLAN ins Servernetz. Und von aussen (Inet) kommt man ebenfalls in Servernetz. Ich denke, damit ist bereits eine relativ gute isolierung gewährleistet. Die meisten Serverdienste laufen zudem noch in containern. Also nochmals eine isolationsschicht. Es wäre jedoch schön, wenn ich nicht jedem einzelnen Servedienst ein fail2ban voranstellen müsste, da die container teilweise nicht von mir erzeugt sind. Daher wäre eine generelle "Netzwerkanalyse Lösung" wünschenswert. Ich glaube Fortinet und eben auch Cisco werben damit, dass sie eine "DropIn" lösung haben... Halt für einen entpsrechenden Preis...
Letztlich würde ich immer eine 2. Netzwerkkarte am Server für das Perimeternetzwerk (DMZ) nehmen.
Und der ganze Aufwand wegen welcher reellen und nicht hinkonstruierten Gefahr für den Ottonormal "Ich nutze meine eigenen Server Zuahuse"- User?
Manuel X. schrieb: > Und der ganze Aufwand wegen welcher reellen und nicht hinkonstruierten > Gefahr für den Ottonormal "Ich nutze meine eigenen Server Zuahuse"- > User? Nun... Es gibt Botnetze, welche permanent das Internet bzw. IP-Ranges nach möglichen Einfallstoren abscannen. Wenn nun ein Server ein Loginfenster öffentlich hat und das Botnetz merkt, dass es hier mit 100 Anfragen pro Sekunde Passwörter testen kann (BruteForce) dann wird es diesen Angriff noch eine Weile durchführen, denn es könnte sich lohnen und der Angriff wird nicht blockiert oder verlangsamt oder sonstwas (Intrusion Detection ist nicht vorhanden). Botnetze werden nicht immer gezielt auf eine Person / Firma gerichtet. Diese versuchen auch einfach allgemein Schachstellen auszunutzen um so ihr eigenes Netz um weitere Bots erweitern zu können... Daher zu denken, man sei als "Ottonoramlverbraucher" geschützt, wäre ilusorisch. Nutzt man lediglich E-Mail und etwas Chrome zum surfen hinter einem Natenden Router, so mag man wohl recht sicher sein. Sobald man jedoch dutzende Software mit Fremden im Internet kommunizieren lässt (Serversoftware, WordPress, Plugins etc...) sieht die Gefahrenlage und das potentielle Risiko bereits wieder etwas anders aus... Wenn ich mir die Logs der USG Firewall ansehe, dann sehe ich im Sekundentakt ankommende Anfragen auf derzeit geschlossene Ports. In den Apache logs sehe ich diverse Anfragen an mögliche APIs welche bei mir jedoch nicht vorhanden sind... Das Internet ist nicht statisch nur weil man sich selbst statisch darin verhält...
:
Bearbeitet durch User
Offtopic: Gegen Angriffe aus dem All gibts S.I.D. (Space Intruder Detector)
Holger K. schrieb: > (z.B. Bruteforce > angriffe erkennen, DDoS erkennen etc.) durchaus sinn. Naja es geht; gegen Bruteforce hilft Fail2ban. Gegen eine gross angelegte DDoS Attacke von einem Botnetz hilft eigentlich nichts, ausser man hat insgesamt mehr Bandbreite zur Verfügung als der Angreiffer.
Johnny B. schrieb: > Naja es geht; gegen Bruteforce hilft Fail2ban. Gegen eine gross > angelegte DDoS Attacke von einem Botnetz hilft eigentlich nichts, ausser > man hat insgesamt mehr Bandbreite zur Verfügung als der Angreiffer. Sehr schön zusammengefasst. Man kann aber noch einen draufsetzen: Wenn das Secret für den Zugang tatsächlich ein solches ist, braucht man nichtmal mehr fail2ban. Laß' die Wichser doch "brute-forcen". Irgendwann haben sie ihre Listen abgespult und geben es auf. Denn wirklich brute-force machen die praktisch nie. Viel zu geringe potentielle Erfolgsquote, auch deren Bandbreite ist nämlich begrenzt und kostet sie Geld... Echte brute-force-Angriffe gibt es nur gegen wirklich lohnende Ziele. Ein popliger privater Internet-Zugang in irgendeinem Providernetz gehört da ganz sicher nicht dazu...
Stephan schrieb: > Letztlich würde ich immer eine 2. Netzwerkkarte am Server für das > Perimeternetzwerk (DMZ) nehmen. Du baust damit einen potentiellen aber vorläufig abgeschalteten Router, der die Firewall umgeht. Finde ich keine gute Idee.
Holger K. schrieb: > In den Apache logs sehe ich diverse Anfragen an mögliche APIs welche bei > mir jedoch nicht vorhanden sind... Hauptsächlich wird versucht, einige Service-Bugs und Konfigurationsfehler auszunutzen, sowas wie falsche Zugriffsrechte im Webserver und Bugs in Wordpress Plugins. Da ist insgesamt nur wenig Phantasie im Spiel, die weitaus meisten Versuche sind seit Jahren immer die gleichen. Den Löwenanteil solcher Versuche kann man durch Geoblocking fernhalten. Wenn man z.B. seine Dienste sowieso bloss selbst innerhalb Deutschlands und evtl im Urlaub nutzt. Bringt sicherheitstechnisch nicht so wahnsinnig viel, weil auch etliche deutsche Sites gekapert sind, reduziert aber das Logfile erheblich.
Holger K. schrieb: > Daher wäre eine generelle "Netzwerkanalyse Lösung" wünschenswert. > Ich glaube Fortinet und eben auch Cisco werben damit, dass sie eine > "DropIn" lösung haben... Halt für einen entpsrechenden Preis... Der Haken an automatischen Sperren zeigt sich dann, wenn du dich selbst abklemmst. Die sind nämlich nicht perfekt. Wenn beispielsweise deine eigenen Zugriffe für den Geschmack der Firewall zu oft kommen, setzt sie dich selbst für ein Weilchen an die Luft. Mit Abstand Spitzenreiter bei den protokollierten "Angriffen" sind bei uns PCs, die aufgrund Fehlverhaltens sehr hartnäckig versuchen, auf bereits geschlossene Verbindungen zuzugreifen. Sperrst du die automatisch, können die halt am nächsten Morgen nicht arbeiten. Internet-Verbindungen ergeht es ähnlich. Als Admin hat man immer wieder mal die Aufgabe, Ausnahmen ins IDS zu konfigurieren, weil die Firewall etwas missversteht, weil völlig korrekte Zugriffe für sie nicht koscher wirken. Andererseits kann man bei einem automatisiert und gut gepflegten IDS eine gewisse Hoffnung hegen, dass es bei frisch aufgekommenen Bugs von Servern schneller schaltet als der Admin, sie schon sperrt, bevor der einen Patch einspielen kann (so es überhaupt schon einen gibt). Sowas ist aber eher eine Unternehmenslösung, denn sehr zeitnah aktualisierte IDS-Filter gibts nicht unbedingt für lau.
:
Bearbeitet durch User
Holger K. schrieb: > Nach einiger Recherche habe ich gesehen, dass z.B. Cisco mit ihren NGIPS > https://www.cisco.com/c/en/us/products/security/ngips/index.html Cisco? Sind das nicht diejenigen, die alle zwei Monate durch massive Backdoo... äääh Sicherheitslücken in Form fix eincodierter, versteckter Adminzugänge auffallen? Das Zeug kauft noch wer? Stephan schrieb: > Selbst die CT schrieb mal das es keinen dokumentierten Fall gibt bei dem > von Außen in einen Router eingebrochen wurde. Außer vielleicht, er ist von Cisco gg
vn nn schrieb: > Cisco? Sind das nicht diejenigen, die alle zwei Monate durch massive > Backdoo... äääh Sicherheitslücken in Form fix eincodierter, versteckter > Adminzugänge auffallen? Das Zeug kauft noch wer? Cisco gehört immerhin zu jener Spezies, die es freiwillig öffentlich bekannt gibt. Weshalb sie regelmässiger Gast in den Tickern sind. Was aber nicht eben selbstverständlich ist. Überdies hat Cisco ein riesiges Angebot an Lösungen, teil selber gebaut, teils aus allen Windrichtungen zusammengekauft. Und je mehr jemand anbietet, desto häufiger gibts Probleme. Klar, Ciscos Angewohnheit, Backdoors einzubauen, geht auf die Dauer auf die Nerven. Willst du deine Nerven schonen, kauf eine exotische Lösung von jemandem, der nur diese Lösung im Angebot hat und dessen Angebot kaum jemand nutzt. Da bleibst du von Meldungen im Heise-Ticker sehr wahrscheinlich verschont. Ist das Prinzip, "ich mach die Augen zu, dann siehst du mich nicht", denn nicht von Bugs zu lesen heisst nicht, dass es die nicht gibt.
:
Bearbeitet durch User
A. K. schrieb: > Cisco gehört immerhin zu jener Spezies, die es freiwillig öffentlich > bekannt gibt. Das wäre neu. A. K. schrieb: > Überdies hat Cisco ein riesiges Angebot an Lösungen, teil selber gebaut, > teils aus allen Windrichtungen zusammengekauft. Und je mehr jemand > anbietet, desto häufiger gibts Probleme. Oh, hast du Cisco Aktien, oder bist du nur Fan? A. K. schrieb: > Klar, Ciscos Angewohnheit, Backdoors einzubauen, geht auf die Dauer auf > die Nerven. Willst du deine Nerven schonen, kauf eine exotische Lösung > von jemandem, der nur diese Lösung im Angebot hat und dessen Angebot > kaum jemand nutzt. Da bleibst du von Meldungen im Heise-Ticker sehr > wahrscheinlich verschont. Ist das Prinzip, "ich mach die Augen zu, dann > siehst du mich nicht", denn nicht von Bugs zu lesen heisst nicht, dass > es die nicht gibt. Interessant, wie deiner Meinung nach Cisco der einzig sinnvolle Anbieter ist, weil ja eh, und überhaupt und sowieso.
vn nn schrieb: > Interessant, wie deiner Meinung nach Cisco der einzig sinnvolle Anbieter > ist, weil ja eh, und überhaupt und sowieso. Was du in Texten liest, liegt nicht nur in meiner Verantwortung, sondern auch in deiner. Also was du drin lesen willst, wirst du auch dann drin finden, wenn ich es nicht reingeschrieben habe. Für mich ist es allerdings klar, dass man bei häufiger genutzten Produkte häufiger von Problemen liest, als bei seltenen. Wer also - wie viele das tun - allein aufgrund der Häufigkeit von Problemmeldungen auf die Produktqualität schliesst, der verhält sich wie das vorhin skizzierte Kind. Das Cisco einigen Dreck am Stecken hat ist klar. Spannender finde ich die Frage, ob die Anderen sauberer sind, oder ob man den Dreck bloss nicht sieht.
:
Bearbeitet durch User
Holger K. schrieb: > Kennt jemand preisgünstigere Lösungen? Snort. Als Einstieg und zum Überfliegen. https://de.wikipedia.org/wiki/Snort
Marc D. schrieb: > Snort. Da wir gerade bei Cisco waren: Rate mal welche Firma mittlerweile hinter Snort steht. ;-)
2-3k fuer eine Firewall scheint mir sehr guenstig. Wir haben hier in der Firma im letzten Jahr von Cisco auf Palo Alto umgestellt. Die kosten das 10 bis 20-fache davon. Aber es geht natuerlich auch guenstiger. Zum Beispiel kostenfrei mit pfsense und suricata. Wenn es etwas kosten darf oder soll, kann ich auch noch Fortigate empfehlen. Allerdings wird bei all diesen Systemen mit der Ausnahme von suricata eine Lizens faellig die bei ca. 300 Euro pro Jahr anfaengt. Bruteforce Angriffe lassen sich aber auch mit einer FW ohne SPI leicht verhindern.
A. K. schrieb: > Marc D. schrieb: >> Snort. > > Da wir gerade bei Cisco waren: Rate mal welche Firma mittlerweile hinter > Snort steht. ;-) Ist schon richtig. Trotzdem bleibt das Paket extern überprüfbar (OS). Ich würde auch Snort empfehlen. Dessen Signaturformat ist mittlerweile wohl fast Defacto-Standard. Lässt sich gut ins Netz integrieren und ist recht mächtig.
A. K. schrieb: > Marc D. schrieb: >> Snort. > > Da wir gerade bei Cisco waren: Rate mal welche Firma mittlerweile hinter > Snort steht. ;-) yupp seit 2013 also auch nicht seit gestern, ansonsten aber was Chris schon sagte. Snort kann immer noch kostenfrei genutzt werden und ist im Quellcode verfügbar. das "Registered user Ruleset" ist halt 30 Tage alt dafür umsonst zusammen mit dem Community Ruleset oftmals aber ausreichend. (sonst die Private Linacre für 30€/anno) Frau oder mann darf sich halt selber noch kümmern und gerne von Hand eingreifen eigne rules dazuschreiben wenn er ein bestimmten noch nicht vorhandenen Angriffsvector erwartet bemerkt. siehe: https://www.snort.org/faq/what-are-the-differences-in-the-rule-sets
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.