Netwerk Intrusion Prevention

Misschien een plan om te vermelden over wat voor besturingssysteem we het hebben.
Voor UNIX en zijn varianten zijn er namelijk legio open source applicaties.

http://www.snort.org/
http://www.scaramanga.co.uk/firestorm/
http://netsecurity.about....ectionid1/a/aafreeids.htm

10 sec. Googlen...

[ Voor 75% gewijzigd door RobIII op 28-02-2005 01:16 ]

Tyrian schreef op maandag 28 februari 2005 @ 01:18:
[...]


Windows NT 4 t/m server 2003

http://www.snort.org/dl/binaries/win32/
Gratis en veelgebruikt.
Geen idee of het onder windows net zo goed werkt als onder linux though.

Misschien een plan om een simpel linux servertje in elkaar te knutselen en die als dedicated snort machine te laten draaien? Met een paar 100 euro ben je klaar.

[ Voor 36% gewijzigd door Verwijderd op 28-02-2005 01:20 ]

intrusion detection is een andere tak van sport dan intrusion prevention lijkt me. wat zoek je? de afkorting die je gebruikt (IDS) doet intrusion detection vermoeden, maar je gebruikt in woorden intrusion prevention?

Eventjes muggeziften . Quote: "intrusion prevention systemen (IDS)" (had moeten zijn Intrusion Detection System)

Ik zou ook voor Snort kiezen. Het is gratis en open-source. Misschien dat er plugins/addons bestaan zodat je ook prevention kan toepassen. Als je iets vind, post het a.u.b. hiero

Snort is een goede optie maar als je echt intrusion prevention wilt gaan toepassen zul je al snel naar netwerk devices toemoeten die je echt in de stroom kan zetten. Dedicated devices voor hoge throughput. Je geeft eigenlijk geen informatie waar we wat mee kunnen (behalve dat het gratis moet zijn). Waar voor wil je het gebruiken? Thuis "prutswerk", als trial in een bedrijf? Hoeveel kennis heb je van dit soort systemen en netwerk technologie? Wat mag een uiteindelijk systeem kosten? Op welk platform moet het draaien (is bv unix of linux een optie?). Dat intrusion detection op zich niet interessant is ben ik niet met je eens, meten is weten immers. Hoe ziet het netwerk er uit waar het in moet komen te draaien? Welke platforms gebruik je vooral? Is host based ids / ips een optie?

Bovendien kunnen intrusion prevention ook legitime connecties killen als het systeem "denkt" dat er iets niet in orde is (dit komt redelijk vaak voor afhankelijk van de skills van de gene die het systeem finetuned). Bovendien moet je ook een beleidsstuk hebben die network monitoring uberhaubt toestaat. Begin met een marktonderzoekje, daarna met de procedures die het gebruik legitiem maken, daarna een goed ontwerp voor een test situatie en een uiteindelijke situatie. Hier na een trial in test gevolgt door gefaseerde introductie in de productie omgeving.

Je had wat meer tijd mogen steken in de startpost imho. Dit zijn toch dingen die prima met Google uit te vinden zijn? Stop er eerst zelf wat meer tijd in, en kom dan met de detail vragen hier,.

het is een combinatie van technieken die gebruikt worden.
zo heb je een honeypot e.d.

en btw intrusion prevention heb is een firewall voor.(tenzij je em open zet)
intrusion detection is meer een logging systeem.

Tripwire is ook een vrij aardig pakket

Verwijderd schreef op maandag 28 februari 2005 @ 12:17:
het is een combinatie van technieken die gebruikt worden.
zo heb je een honeypot e.d.

en btw intrusion prevention heb is een firewall voor.(tenzij je em open zet)
intrusion detection is meer een logging systeem.

Sorry maar daar ben ik het niet met je eens. Een honeypot is een totaal andere techniek dan een NIDS of NIPS. Daarnaast laat een firewall al het verkeer door wat volgens zijn rulebase mag. Het kijkt niet in de pakketten (althans, de marktleiders doen dat vrijwel niet) of er bv een exploit uitgevoerd word.

Ben sinds een tijdje ook bezig met Snort en dat draait bij mij onder Windows. Het logt naar een mssql database waar weer triggers op zijn toegepast die weer scripts aanroepen die bepaalde ip's direct blokkeren. Functioneert redelijk naar behoren moet ik zeggen.

BlackIce?
Maar goed ik lees dat je het op een server wilt gaan gebruiken...
Nu ben ik persoonlijk niet zo kapot van IDS / NIP op een server, dan is het eigenlijk 'al te laat' want dat betekent dat degene je server al heeft bereikt....
Daar in tegen waarom geen dedicated firewall met IDS / NIP reporting
Deze zijn in heel veel varianten en klasses te krijgen (soho t/m co-lo enterprise)

snort in combo met iptables-firewall is echt ideaal hiervoor, ben je voor enkele 100 €'s er van af, als je die als bridge / router tussen Wan en Lan zet.