Projektidee: Evaluierung und Implementierung eines Network Intrusion Detection System

[AnonymerDachs]

Hallo,

momentan bin ich auf der Suche nach einem Thema für meine Projektarbeit. Ich bin auf die Idee gekommen ein Network Intrusion Detection System zu konfigurieren, allerdings bin ich mir nicht sicher ob das geeignet ist. Es gibt viele verschiedene Open Source Lösungen wie z.B. Snort 3 oder Suricata, diese bieten allerdings keine grafische Oberfläche oder ähnliches, weshalb die Konfiguration eines ELK-Stacks (Web-Server mit Log-Proccessing) wahrscheinlich auch noch nötig wäre (wenn ich es nicht in unseren jetzigen Syslog-Server einbingen kann). Ich würde das IDS auf unser Server Vlan beschränken und wahrscheinlich virtualisieren.

Was ist eure Meinung zu diesem Thema? Zu kompliziert oder nicht umfangreich genug? 

Vielen Dank für eure Meinungen und Vorschläge!

[charmanta]

Schwer zu sagen. Ich kenne kaum ne professionelle Firewall, bei der ich nicht ein IDS lizensieren könnte. Webserver und Virtualisierung gehören in das Thema höchstens als Beiwerk rein

[ickevondepinguin]

vor 15 Stunden schrieb AnonymerDachs:

Ich bin auf die Idee gekommen ein Network Intrusion Detection System zu konfigurieren, allerdings bin ich mir nicht sicher ob das geeignet ist.

An sich sehr interessant.

vor 15 Stunden schrieb AnonymerDachs:

Es gibt viele verschiedene Open Source Lösungen wie z.B. Snort 3 oder Suricata

Du sollst drei Lösungen vergleichen.

vor 15 Stunden schrieb AnonymerDachs:

bieten allerdings keine grafische Oberfläche oder ähnliches

Zumindest Snort hat ne Web-GUI meine ich mich zu erinnern. Wir haben dies damals als Mittelstufen-Übungsprojekt in der Berufsschule umgesetzt um uns mit dem IHK-Prozess für das Projekt vertraut zu machen. Das war 2012. Vorsicht mit derartigen Aussagen.

vor 15 Stunden schrieb AnonymerDachs:

weshalb die Konfiguration eines ELK-Stacks (Web-Server mit Log-Proccessing) wahrscheinlich auch noch nötig wäre (wenn ich es nicht in unseren jetzigen Syslog-Server einbingen kann).

Das wäre ein Auswahlkriterium, z.B. und könnte die Kernfrage neben der Problemstellung sein: Welches IDS kann seine Ergebnisse an den zentralen Syslog-Server übermitteln.

vor 15 Stunden schrieb AnonymerDachs:

Zu kompliziert oder nicht umfangreich genug? 

Wenn es um die reine Installation des IDS geht, zu einfach. Software auswählen, Ressourcen bereit stellen (lassen) und installieren. Wenn es um die oben aufgedröselten Punkte geht definitiv eine Überlegung wert.

vor 10 Stunden schrieb charmanta:

Schwer zu sagen. Ich kenne kaum ne professionelle Firewall, bei der ich nicht ein IDS lizensieren könnte

Ein Ansatz den ich unterstütze. Frage ist: Welche Firewall wird genutzt, so, dass ein "externes" IDS nötig ist? Und hier wäre ein Vgl. zumindest einer Appliance als Lösungsalternative vielleicht gar nicht uninteressant um wirtschaftlich(er) Argumentieren zu können. Dies darf aber nicht das einzige Argument sein (wir installieren ein OpenSource IDS weil keine Anschaffungs-/Lizensierungskosten). Und selbst hier fallen ja für Betrieb und Wartung und Sicherung auch langfristig(e) Kosten an.

vor 10 Stunden schrieb charmanta:

Webserver und Virtualisierung gehören in das Thema höchstens als Beiwerk rein

Sehe ich wie charmi. Irgendwo muss das Ganze laufen und irgendwie müssen die Informationen nutzerfreundlich dargestellt werden.

[AnonymerDachs]

vor 8 Stunden schrieb ickevondepinguin:

An sich sehr interessant.

Du sollst drei Lösungen vergleichen.

Zumindest Snort hat ne Web-GUI meine ich mich zu erinnern. Wir haben dies damals als Mittelstufen-Übungsprojekt in der Berufsschule umgesetzt um uns mit dem IHK-Prozess für das Projekt vertraut zu machen. Das war 2012. Vorsicht mit derartigen Aussagen.

Das wäre ein Auswahlkriterium, z.B. und könnte die Kernfrage neben der Problemstellung sein: Welches IDS kann seine Ergebnisse an den zentralen Syslog-Server übermitteln.

Wenn es um die reine Installation des IDS geht, zu einfach. Software auswählen, Ressourcen bereit stellen (lassen) und installieren. Wenn es um die oben aufgedröselten Punkte geht definitiv eine Überlegung wert.

Ein Ansatz den ich unterstütze. Frage ist: Welche Firewall wird genutzt, so, dass ein "externes" IDS nötig ist? Und hier wäre ein Vgl. zumindest einer Appliance als Lösungsalternative vielleicht gar nicht uninteressant um wirtschaftlich(er) Argumentieren zu können. Dies darf aber nicht das einzige Argument sein (wir installieren ein OpenSource IDS weil keine Anschaffungs-/Lizensierungskosten). Und selbst hier fallen ja für Betrieb und Wartung und Sicherung auch langfristig(e) Kosten an.

Sehe ich wie charmi. Irgendwo muss das Ganze laufen und irgendwie müssen die Informationen nutzerfreundlich dargestellt werden.

Vielen Dank für die Antwort! Wäre es eine möglichkeit im Vergleich zu sagen dass man ein "externes" IDS braucht, damit bei einer möglichen Sicherheitslücke in der Firewall das IDS nicht auch automatisch betroffen ist? Wäre für die Installation einer Weboberfläche zur grafischen Darstellung auch ein Vergleich nötig?

[ickevondepinguin]

vor 2 Minuten schrieb AnonymerDachs:

Wäre es eine möglichkeit im Vergleich zu sagen dass man ein "externes" IDS braucht, damit bei einer möglichen Sicherheitslücke in der Firewall das IDS nicht auch automatisch betroffen ist?

Ein denkbarer Aspekt, bestimmt. Ob man das möchte?

vor 2 Minuten schrieb AnonymerDachs:

Wäre für die Installation einer Weboberfläche zur grafischen Darstellung auch ein Vergleich nötig?

Viele Lösungen bringen das ja bestimmt mit. Wenn nicht und es hier unterschiedliche Ansätze/Lösungen gibt, wäre natürlich auch hier ein Vergleich möglich.