IDS op RPI3B?

Ik heb belangstelling voor security en wil daarom een IDS installeren om mijn netwerk thuis te monitoren. Het gaat dus om een netwerk IDS, geen host IDS. Omdat ik al een RPI3B heb staan voor diverse home automation taken wil ik het IDS daar graag op installeren. De presentatie zou ik via Grafana kunnen laten lopen. Aanvankelijk leek Snort me een goede optie, maar de ondersteuning van de RPI is niet actueel. Is een IDS mogelijk op een RPI en welke raden jullie me aan?

kodak schreef op vrijdag 1 januari 2021 @ 14:58:
Natuurlijk is het leuk om meteen van echt netwerkverkeer te leren maar dat wil dus ook zeggen dat je bij beveiliging goed moet bedenken wat de gevolgen kunnen zijn als het onverwacht toch mis gaat. Bijvoorbeeld omdat je je IDS tussen je netwerk en het internet hebt geplaatst en 8/je netwerk kan uitvallen als je IDS er mee stopt. Dus waarom denk je zelf dat hardware die je wil gebruiken (of dat nu een RPI3b of een ander apparaat is) voor jou netwerk en beveiliging geschikt is?

Als je je geen zorgen maakt om dat soort problemen dan maakt het waarschijnlijk ook niet veel uit of je oudere software gebruikt. Een nieuwer IDS zal niet zomaar beter zijn om van te leren, misschien leer je zelfs minder. Ik denk dat je zelfs meer over beveiliging leert als je niet meteen ook grafiekjes en kleurtjes wil zien die meer bedoeld zijn om het leuk te presenteren in plaats van je inzicht te geven in wat je niet ziet en een risico is.

Bedankt voor je reactie. Ik begrijp je punt. Daarom nog iets meer achtergrond. Ik ben bezig met CISSP, maar heb nog niet veel praktische ervaring met netwerken en de beveiliging daarvan. De stof beklijft bij mij beter als ik e.e.a. zelf onderzoek en test. Ik heb inmiddels Wireshark op mijn PC geïnstalleerd en heb daardoor al wat beter zicht wat zich in het netwerk afspeelt.

Een IDS leek me een interessante vervolgstap. Het is nadrukkelijk niet de bedoeling mijn bestaande setup te vervangen. Ik vertrouw op mijn KPN router/firewall. Ik wil het IDS (dus geen IPS) daarom aansluiten op mijn huis netwerk. Daar bevinden zich enkele componenten in die misschien interessant zijn om te monitoren. Zo heb ik een tweede router ingesteld als bridge en Wlan gateway. Verder heb ik enkele nodes die MQTT berichten naar de RPI sturen. Verder nog een smartTV en enkele switches.

Omdat een IDS langere tijd aan staat leek het me aardig om deze te installeren op mijn RPI en de data via Grafana te visualiseren. Vandaar mijn vraag.

DiedX schreef op vrijdag 1 januari 2021 @ 15:13:
Ik ben bang dat dat niet gaat vliegen. Maar een en ander hangt ook af van de hoeveelheid en type verkeer wat je wil controleren.

Je kan eventueel als 'project' eens kijken of je een honeypot in je netwerk kan zetten. Dat moet wel lukken op een Pi.

Een honeypot is ook een leuk idee, maar als het goed is gebeurt er niets, tenzij je zelf gaat 'hacken'.

[ Voor 10% gewijzigd door Poecillia op 01-01-2021 15:25 ]

Luc45 schreef op zaterdag 2 januari 2021 @ 17:49:
De makkelijkste manier om een IDS te implementeren is om een port mirror op je switch in te stellen. Hierbij wordt al het verkeer dat over (een deel van) de switch gaat 'gespiegeld' naar die poort. Als je op deze poort een tweede ethernet interface aansluit, die je instelt op promiscuous mode, zal deze alleen luisteren. Suricata / Snort kun je daar dan op laten luisteren, om de pakketjes te matchen met de aanwezige regels. Ik vraag mij wel af of een Raspberry Pi hier snel genoeg voor is, zeker als er ook al andere applicaties op draaien.

Het schijnt te kunnen op een RPI. https://www.instructables...Intrusion-Detection-Syst/

Ik heb nu eerst mijn tijd nodig voor CISSP. Misschien pak ik het later op. Bedankt voor alle commentaren.

[ Voor 4% gewijzigd door Poecillia op 09-01-2021 18:23 ]

MrRobert schreef op maandag 11 januari 2021 @ 07:32:
Ik zou niet alleen kijken naar de functionaliteiten vd RPI, in principe zou je switch ook een span poort of dergelijke configuratie nodig hebben om een kopie van de data door te sturen naar je RPI. Plus deze zou 2 poorten nodig hebben, ene voor normale verkeer (ssh voor jezelf) en andere poort om het sniffing verkeer te ontvangen.

/off topic
Zelf CISSP certified, de technische kennis is handig, maar gaat veel bredere dan even een IDS. Maar uiteraard wel prettig/ fijn om de droge stof te koppelen aan wat praktijk.

Ik heb hier veel uit gehaald tijdens het doorspitten van de theorie https://www.amazon.com/El...dy-Syngress/dp/1597495662

Ik was van plan dan deze te gebruiken: pricewatch: MikroTik Routerboard RB952Ui-5ac2nD hAP ac lite

Bedankt voor de tip van dat boek, precies wat ik zocht naast al die dikke boeken met lange verhalen.

MrRobert schreef op vrijdag 15 januari 2021 @ 07:33:
Zie dat de router inderdaad mogelijkheden heeft om een span/ port mirroring te doen https://wiki.mikrotik.com...p_Features#Port_Mirroring

Zelf zou ik dan kijken dat ik de RPI via wifi of een additionele ethernet poort kan bereiken, zoiets bijvoorbeeld:
https://tweakers.net/pric...hernet-adapter-zwart.html

Dan zou je 1 poort hebben om te luisteren op het netwerk en de andere poort zodat je nog altijd in staat bent om de data te bekijken.

Bedankt voor je advies. De microtik staat nu in bridgemode en is een wlan accesspoint. Kan ik deze functies combineren met port mirroring?