Einbruchserkennung

foexle

foexle

Kaiser
Hallo Leute,
würde gerne ein bisschen brainstorming machen, um evtl. einen besseren Lösungsansatz zu bekommen als den, den ich jetzt habe.
Hintergrund:
Ich betreue > 100 Server, die aber leider sehr verstreut sind. Damit meine ich, das viele bei Hetzner andere bei Thomas Krenn und bei Serverloft stehen.
Nun hat man ja täglich die üblichen Angriffe, wie Bruteforce Attacken auf ssh oder ddos usw.
Allerdings weiß auch jeder, das wenn es kein Skript Kiddy ist, das ganze ein wenig tiefer geht. So nun bieten da ja Snort oder Acid schöne Mechanismen um sowas zu erkennen.
Allerdings da die Server nicht an einem zentralen Switch/Router/Gateway hängen, ist es natürlich auch nicht möglich den Netzverkehr zu überwachen, außer das ich auf jedem Server dies lokal mache.
Was natürlich 2 große Nachteile hat.
Zum einen, das der Administrative Aufwand sehr hoch ist (was natürlich mit anderen Mechanismen Minimierbar ist)
und außerdem, das wenn nun mal ein Server kompromitiert wurde, der Snort/Acid auch nicht mehr vertrauenswürdig ist.

Fallen euch evtl noch anderen Mechanismen ein ? Da gibts natürlich noch denyhosts (die sowieso überall drauf ist) und noch failtoban.

Bei Failtoban habe ich das Problem, das ich das auch auf alle vServer installieren müsste und das ist nicht machbar.

Evtl. fällt ja wem noch was anderes ein

Grüße
 
nagios ? .... inwiefern hat nagios eine intrusion detection ... bzw ein plugin ... das müsste ja auch auf schicht 3oder 4 arbeiten .... aber ich werde mal schauen ob es sowas gibt ... die idee war so abwägig, das ich daran nicht gedacht habe ... vor allem, wird das nicht funktionieren, denn Nagios checks sind periodisch ... und eine intrusion detection muss permanent da sein ...

dennoch danke :>
 
Jain, Nagios kann sowohl aktiv (Anfragen stellen) als auch passiv (Ergebnise erhalten) arbeiten.

Wir nutzen die Auswertung von SNMP-Traps um Hardwareausfälle mitzubekommen. Wenn dein IDS irgendwie ein Skript ausführen oder einen SNMP-Trap wegschickt kann, könntest du das schon mit Nagios mit überwachen.

Und wenn Nagios jetzt einmal die Minute schaut ob er lokal einen Trap vorliegen hat dürfte er doch recht Zeitnah alamieren.

Natürlcih hast hier wieder du den Aufwand das auf jedem Host das IDS laufen muss.

mfg
HeadCrash
 
und vorallem erst mal ein plugin finden das sowas kann ....
denn wenn ich mir nun snort anschaue, ist das schon sehr mächtig und ich denke nicht das dies einfach ein python oder perl script abdecken kann :)
 
Kleiner Tipp, sshd auf einem anderen Port als üblich laufen lassen, daß verringert das normale Rauschen schon erheblich. Ist kein Schutz, aber die Roboter laufen erstmal ins Leere.

Gruß
Blur
 
So machen wirs bei uns:

Auf jede Maschine Snort installieren und eine zentrale Maschine mit SnortConsole die dann die einzelnen Server überwacht (snortsensors).
Dazu noch Tripewire auf jeden server mit den abgleichdaten auf dem Server auf dem auch die SnortConsole lauft. Die Ablgeichdaten für Tripewire werden per SSH Tunnel zwischen Managementserver und den "Clients" ausgetauscht.
Dann haben wir noch Mod_Security auf jedem Webserver welcher wieder per Mod_Security-Console auf dem Managementserver überwacht wird.

Zuguterletzt noch einen Haufen logwatch-rules die per mail an einen Nagiosserver ihre Daten senden, dieser wertet die Logs aus und gibt grafische Übersichten über den health-status der Server.
 
Vieleicht solltest du darüber nachdenken deine Serverlandschaft zu zentralisieren :) Das würde vieles einfacher Machen
 
Zurück
Oben