Einbruchserkennung

Dieses Thema im Forum "Security Talk" wurde erstellt von foexle, 14.09.2009.

  1. foexle

    foexle Kaiser

    Dabei seit:
    02.05.2007
    Beiträge:
    1.104
    Zustimmungen:
    0
    Ort:
    Saarbrücken
    Hallo Leute,
    würde gerne ein bisschen brainstorming machen, um evtl. einen besseren Lösungsansatz zu bekommen als den, den ich jetzt habe.
    Hintergrund:
    Ich betreue > 100 Server, die aber leider sehr verstreut sind. Damit meine ich, das viele bei Hetzner andere bei Thomas Krenn und bei Serverloft stehen.
    Nun hat man ja täglich die üblichen Angriffe, wie Bruteforce Attacken auf ssh oder ddos usw.
    Allerdings weiß auch jeder, das wenn es kein Skript Kiddy ist, das ganze ein wenig tiefer geht. So nun bieten da ja Snort oder Acid schöne Mechanismen um sowas zu erkennen.
    Allerdings da die Server nicht an einem zentralen Switch/Router/Gateway hängen, ist es natürlich auch nicht möglich den Netzverkehr zu überwachen, außer das ich auf jedem Server dies lokal mache.
    Was natürlich 2 große Nachteile hat.
    Zum einen, das der Administrative Aufwand sehr hoch ist (was natürlich mit anderen Mechanismen Minimierbar ist)
    und außerdem, das wenn nun mal ein Server kompromitiert wurde, der Snort/Acid auch nicht mehr vertrauenswürdig ist.

    Fallen euch evtl noch anderen Mechanismen ein ? Da gibts natürlich noch denyhosts (die sowieso überall drauf ist) und noch failtoban.

    Bei Failtoban habe ich das Problem, das ich das auch auf alle vServer installieren müsste und das ist nicht machbar.

    Evtl. fällt ja wem noch was anderes ein

    Grüße
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. defcon

    defcon Kaiser
    Moderator

    Dabei seit:
    22.08.2005
    Beiträge:
    1.486
    Zustimmungen:
    1
    Ort:
    Bruchsal
    evtl. Nagios?
     
  4. foexle

    foexle Kaiser

    Dabei seit:
    02.05.2007
    Beiträge:
    1.104
    Zustimmungen:
    0
    Ort:
    Saarbrücken
    nagios ? .... inwiefern hat nagios eine intrusion detection ... bzw ein plugin ... das müsste ja auch auf schicht 3oder 4 arbeiten .... aber ich werde mal schauen ob es sowas gibt ... die idee war so abwägig, das ich daran nicht gedacht habe ... vor allem, wird das nicht funktionieren, denn Nagios checks sind periodisch ... und eine intrusion detection muss permanent da sein ...

    dennoch danke :>
     
  5. #4 HeadCrash, 14.09.2009
    HeadCrash

    HeadCrash Routinier

    Dabei seit:
    16.05.2009
    Beiträge:
    482
    Zustimmungen:
    1
    Ort:
    Bayern
    Jain, Nagios kann sowohl aktiv (Anfragen stellen) als auch passiv (Ergebnise erhalten) arbeiten.

    Wir nutzen die Auswertung von SNMP-Traps um Hardwareausfälle mitzubekommen. Wenn dein IDS irgendwie ein Skript ausführen oder einen SNMP-Trap wegschickt kann, könntest du das schon mit Nagios mit überwachen.

    Und wenn Nagios jetzt einmal die Minute schaut ob er lokal einen Trap vorliegen hat dürfte er doch recht Zeitnah alamieren.

    Natürlcih hast hier wieder du den Aufwand das auf jedem Host das IDS laufen muss.

    mfg
    HeadCrash
     
  6. foexle

    foexle Kaiser

    Dabei seit:
    02.05.2007
    Beiträge:
    1.104
    Zustimmungen:
    0
    Ort:
    Saarbrücken
    und vorallem erst mal ein plugin finden das sowas kann ....
    denn wenn ich mir nun snort anschaue, ist das schon sehr mächtig und ich denke nicht das dies einfach ein python oder perl script abdecken kann :)
     
  7. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Kleiner Tipp, sshd auf einem anderen Port als üblich laufen lassen, daß verringert das normale Rauschen schon erheblich. Ist kein Schutz, aber die Roboter laufen erstmal ins Leere.

    Gruß
    Blur
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  9. T-One

    T-One Routinier

    Dabei seit:
    14.10.2008
    Beiträge:
    478
    Zustimmungen:
    3
    Ort:
    Österreich
    So machen wirs bei uns:

    Auf jede Maschine Snort installieren und eine zentrale Maschine mit SnortConsole die dann die einzelnen Server überwacht (snortsensors).
    Dazu noch Tripewire auf jeden server mit den abgleichdaten auf dem Server auf dem auch die SnortConsole lauft. Die Ablgeichdaten für Tripewire werden per SSH Tunnel zwischen Managementserver und den "Clients" ausgetauscht.
    Dann haben wir noch Mod_Security auf jedem Webserver welcher wieder per Mod_Security-Console auf dem Managementserver überwacht wird.

    Zuguterletzt noch einen Haufen logwatch-rules die per mail an einen Nagiosserver ihre Daten senden, dieser wertet die Logs aus und gibt grafische Übersichten über den health-status der Server.
     
  10. JBR

    JBR Fichtenschonung

    Dabei seit:
    18.03.2007
    Beiträge:
    561
    Zustimmungen:
    0
    Ort:
    Nolop
    Vieleicht solltest du darüber nachdenken deine Serverlandschaft zu zentralisieren :) Das würde vieles einfacher Machen
     
Thema:

Einbruchserkennung

Die Seite wird geladen...

Einbruchserkennung - Ähnliche Themen

  1. Artikel: Suricata: Einbruchserkennung mit dem Erdmännchen

    Artikel: Suricata: Einbruchserkennung mit dem Erdmännchen: Systeme zur Erkennung und Abwehr von Angriffen auf eine IT-Infrastruktur können auf Netzwerkebene den ein- und ausgehenden Datenverkehr auf...