AnonymerDachs

vor 8 Stunden schrieb ickevondepinguin:

An sich sehr interessant.

Du sollst drei Lösungen vergleichen.

Zumindest Snort hat ne Web-GUI meine ich mich zu erinnern. Wir haben dies damals als Mittelstufen-Übungsprojekt in der Berufsschule umgesetzt um uns mit dem IHK-Prozess für das Projekt vertraut zu machen. Das war 2012. Vorsicht mit derartigen Aussagen.

Das wäre ein Auswahlkriterium, z.B. und könnte die Kernfrage neben der Problemstellung sein: Welches IDS kann seine Ergebnisse an den zentralen Syslog-Server übermitteln.

Wenn es um die reine Installation des IDS geht, zu einfach. Software auswählen, Ressourcen bereit stellen (lassen) und installieren. Wenn es um die oben aufgedröselten Punkte geht definitiv eine Überlegung wert.

Ein Ansatz den ich unterstütze. Frage ist: Welche Firewall wird genutzt, so, dass ein "externes" IDS nötig ist? Und hier wäre ein Vgl. zumindest einer Appliance als Lösungsalternative vielleicht gar nicht uninteressant um wirtschaftlich(er) Argumentieren zu können. Dies darf aber nicht das einzige Argument sein (wir installieren ein OpenSource IDS weil keine Anschaffungs-/Lizensierungskosten). Und selbst hier fallen ja für Betrieb und Wartung und Sicherung auch langfristig(e) Kosten an.

Sehe ich wie charmi. Irgendwo muss das Ganze laufen und irgendwie müssen die Informationen nutzerfreundlich dargestellt werden.

Vielen Dank für die Antwort! Wäre es eine möglichkeit im Vergleich zu sagen dass man ein "externes" IDS braucht, damit bei einer möglichen Sicherheitslücke in der Firewall das IDS nicht auch automatisch betroffen ist? Wäre für die Installation einer Weboberfläche zur grafischen Darstellung auch ein Vergleich nötig?

Hallo,

momentan bin ich auf der Suche nach einem Thema für meine Projektarbeit. Ich bin auf die Idee gekommen ein Network Intrusion Detection System zu konfigurieren, allerdings bin ich mir nicht sicher ob das geeignet ist. Es gibt viele verschiedene Open Source Lösungen wie z.B. Snort 3 oder Suricata, diese bieten allerdings keine grafische Oberfläche oder ähnliches, weshalb die Konfiguration eines ELK-Stacks (Web-Server mit Log-Proccessing) wahrscheinlich auch noch nötig wäre (wenn ich es nicht in unseren jetzigen Syslog-Server einbingen kann). Ich würde das IDS auf unser Server Vlan beschränken und wahrscheinlich virtualisieren.

Was ist eure Meinung zu diesem Thema? Zu kompliziert oder nicht umfangreich genug? 

Vielen Dank für eure Meinungen und Vorschläge!