Poll
image

Gebruik jij een IDS en/of IPS?

maandag 5 december 2005, 11:03 door Redactie, 23 reacties
Alleen IDS
11.53%
Beide
13.96%
Alleen IPS
7.14%
Geen van beide
22.08%
WTF is IDS & IPS?
45.29%
Reacties (23)
05-12-2005, 11:16 door SirDice
Een IDS geeft nogal eens een false positive.. Een IPS is
eigenlijk een actieve IDS.. Een IPS geeft dus ook regelmatig
false positives.. Daarom hou ik het, voorlopig nog, bij
passive IDS'en..
05-12-2005, 11:35 door Walter
Ik gebruik snort als IDS en portsentry als IPS.
En de combinatie van die twee werkt erg goed meot ik zeggen.
Vooral omdat portsentry iedereen die >5 poorten in 30
seconden bij mij bezoekt meteen het ignore filter ingaat en
snort alle andere dingen nog detecteerd en meld zodat ik
daar mijn firewall verder op kan aanpassen.
05-12-2005, 16:03 door SirDice
Vooral omdat portsentry iedereen die >5 poorten in 30
seconden bij mij bezoekt
Ik heb maar 1 poort open staan ;-) De rest is toch al firewalled..
05-12-2005, 16:51 door Anoniem
Door SirDice
Een IDS geeft nogal eens een false positive.. Een IPS is
eigenlijk een actieve IDS.. Een IPS geeft dus ook regelmatig
false positives.. Daarom hou ik het, voorlopig nog, bij
passive IDS'en..

beter een false positive dan een positive false :S
05-12-2005, 16:53 door Walter
Door SirDice
Vooral omdat portsentry iedereen die >5 poorten in 30
seconden bij mij bezoekt
Ik heb maar 1 poort open staan ;-) De rest is toch al
firewalled..
Mij mij staan een aantal poorten voor iedereen open: 80,
443, 25 en 53 (alleen UDP).
53 (TCP) en 22 zijn slechts voor een aantal mensen
opengesteld, net als imaps.
Maar toch is de extra beveiliging leuk om erbij te hebben,
beter iets te streng beveiligd dan te ver open, of niet
gedetecteerd.
05-12-2005, 17:01 door Anoniem
Een IPS is juist nuttig voor het controleren van verkeer dat via open poorten
naar binnen / buiten gaat. Nuttig voor browse- en mailverkeer dus. Een IPS
gaat verder dan waar een firewall ophoudt.

Een IDS is tamelijk nutteloos, tenzij je de gehele dag tijd hebt om naar
alerts te gaan zitten kijken. Een IPS kan ingrijpen op het moment dat
er 'iets' gebeurt. Dat iets moet je wel zelf definiëren in de policies van het
systeem. IPS staat of valt bij de configuratie. Bij een slecht geconfigureerd
IPS wordt je overspoeld met False Positives of komt iemand alsnog
ongemerkt bij je binnen.
05-12-2005, 17:55 door SirDice
Gaat portsentry wel eens af bij je? Volgens mij heb je niet
meer dan 4 poorten open (voor onbekenden) en zou'ie dus
nooit getriggert worden...
05-12-2005, 20:57 door Anoniem
Een goed ingerichte IDS (of de bijbehorende noodzakelijke
UI) zou berichten automatisch moeten laten zien, dus niet de
hele dag logfiles spitten, nee, tooling bouwen of kopen
welke jou waarschuwd. Zo heb ik een systeem met 3 monitoren
welke niets anders doet dan op 1 scherm de status van alle
netwerk componenten laten zien (big brother+cacti+rrdtool)
op het andere scherm zie ik alle security reports (via onze
mieren van prelude, gevoed vanuit hp openview, cisco works
en snort via de tooling van prelude) en op scherm 3 zie ik
de status van actieve verbindingen met hun grafische route
die verbinding maken met componenten in mijn netwerk (stukje
zelf geschreven tooling op linux) zeg maar een soort van
visual trace. Geen gespit door kilo's logfiles, gewoon
wanneer iets rood gaat knipperen, controleren, actie
ondernemen, verifieren en afmelden.
06-12-2005, 01:42 door Anoniem
Door SirDice
Ik heb maar 1 poort open staan ;-) De rest is toch al
firewalled..
Als je aan goed beheer doet hoef je de firewall alleen op de
poorten te zetten die open staan.
06-12-2005, 01:49 door Anoniem
Door Anoniem
Een IDS is tamelijk nutteloos, tenzij je de gehele dag tijd
hebt om naar
alerts te gaan zitten kijken. Een IPS kan ingrijpen op het
moment dat
er 'iets' gebeurt. Dat iets moet je wel zelf definiëren in
de policies van het
systeem. IPS staat of valt bij de configuratie. Bij een
slecht geconfigureerd
IPS wordt je overspoeld met False Positives of komt iemand
alsnog
ongemerkt bij je binnen.
Foute boel. Zowel een IDS als IPS valt of staat bij een
configuratie. Probleem van een IPS is dat je jezelf compleet
afhankelijk maakt van False Positives en False Negatives om
goed te kunnen functioneren. IPS is een open deur om jezelf
en medegebruikers een gevangenen te maken van de eigen
beveiliging. Juist een IPS vraagt om goede continue controle
op de werking omdat je een configuratie nooit kan vertrouwen
om voor jou veiligheid en dienstverlening garantie te zorgen.
06-12-2005, 07:17 door Walter
Door SirDice
Gaat portsentry wel eens af bij je? Volgens mij heb je niet
meer dan 4 poorten open (voor onbekenden) en zou'ie dus
nooit getriggert worden...
Tegenwoordig eigenlijk niet meer, maar hij blijft wel
actief. Het kan zijn dat ik binnenkort wat meer poorten open
moet gaan zetten voor mensen, en omdat het al goed draait
laat ik PS actief.

In het verleden (toen ik ssh en DNS minder dicht had gezet)
ging portsentry eigenlijk best vaak af.
06-12-2005, 11:31 door Walter
Even wat anders trouwens.....
Wel belachelijk dat 35% van de bezoekers van deze site niet
weten wat een IDS/IPS is. Ik dacht dat deze site zich
richtte op security en dat de bezoekers zichzelf daar ook in
verdiepten.
07-12-2005, 09:10 door Mr T
Een IDS of IPS voor prive is het nogal belachelijk vind ik.
Who cares wat ze allemaal proberen als de firewall het toch
blocked.
Op business vlak is iets anders natuurlijk.
07-12-2005, 10:04 door SirDice
Door Mr T
Een IDS of IPS voor prive is het nogal belachelijk vind ik.
Who cares wat ze allemaal proberen als de firewall het toch
blocked.
Me cares... ik vind het leuk om te weten wat er allemaal
voorbij komt zeilen..
Bovendien ben ik zo'n beroepsverdwaasde die dus 24 uur per
dag, 7 dagen in de week met computers/internet/security
bezig is ;-)

(en ik kan/mag thuis meer dan op m'n werk.. honeypots, scans
etc..)
07-12-2005, 10:05 door SirDice
Door Walter
Even wat anders trouwens.....
Wel belachelijk dat 35% van de bezoekers van deze site niet
weten wat een IDS/IPS is. Ik dacht dat deze site zich
richtte op security en dat de bezoekers zichzelf daar ook in
verdiepten.
Dat verbaasde mij ook inderdaad...
07-12-2005, 12:27 door Anoniem
portsentry heeft dan wel weer als gevaar dat je op al je
poorten nog een mogelijk te exploiten stuk software hebt
hangen :)
07-12-2005, 13:31 door Anoniem
haha allemaal reacties over IDS en IPS en toch zegt bijna 40% van de
stemmen: wtf is IDS & IPS
07-12-2005, 15:16 door Anoniem
Door Anoniem
Door Anoniem
Een IDS is tamelijk nutteloos, tenzij je de gehele dag tijd
hebt om naar
alerts te gaan zitten kijken. Een IPS kan ingrijpen op het
moment dat
er 'iets' gebeurt. Dat iets moet je wel zelf definiëren in
de policies van het
systeem. IPS staat of valt bij de configuratie. Bij een
slecht geconfigureerd
IPS wordt je overspoeld met False Positives of komt iemand
alsnog
ongemerkt bij je binnen.
Foute boel. Zowel een IDS als IPS valt of staat bij een
configuratie. Probleem van een IPS is dat je jezelf compleet
afhankelijk maakt van False Positives en False Negatives om
goed te kunnen functioneren. IPS is een open deur om jezelf
en medegebruikers een gevangenen te maken van de eigen
beveiliging. Juist een IPS vraagt om goede continue controle
op de werking omdat je een configuratie nooit kan vertrouwen
om voor jou veiligheid en dienstverlening garantie te zorgen.

Het gaat hier over het verschil tussen een IDS en een IPS. En iedereen
vertrouwd sowieso al 'blind' op configuraties voor de veiligheid. IDS'en zijn
nooit succesvo in de markt geweest omdat ze voor de gemiddelde
organisatie onbeheerbaar waren. IPS'en hebben een deel van dat
probleem weggehaald omdat deze 'automatisch' actie ondernemen.

Ik denk dat een netwerk met een IPS door de bank genomen veiliger is
dan een netwerk met een IDS, gegeven de voorwaarde dat beide
systemen met dezelfde kennis en aandacht worden behandeld.
07-12-2005, 17:19 door Anoniem
Door SirDice
Door Walter
Even wat anders trouwens.....
Wel belachelijk dat 35% van de bezoekers van deze site niet
weten wat een IDS/IPS is. Ik dacht dat deze site zich
richtte op security en dat de bezoekers zichzelf daar ook in
verdiepten.
Dat verbaasde mij ook inderdaad...

en jullie voelen natuurljk niet de behoefte dit uit te
leggen aan die 40%
07-12-2005, 17:31 door SirDice
Een IDS voegt niets toe aan je beveiliging. Het wordt er
niet meer of minder door.. Het is een (extra) hulpmiddel bij
het detecteren en opsporen van problemen. Uiteraard doe je
dit in combinatie met andere logs zoals bijv. firewall logs,
http-access-logs, etc..

Een IPS is een soort active IDS. Een IDS die zelfstandig
acties kan ondernemen. Op het moment dat je een IPS nodig
hebt om je systemen te beveiligen doe je al iets fout. Ook
kan een IPS (nog?) geen relaties leggen met de andere logs,
die je nodig hebt voor een fatsoenlijke analyse. Daar
bovenop komt dan nog dat ook een IPS false positives geeft
(net als een IDS) en je daardoor ook nog het risico dat er
regulier netwerk verkeer gekilled wordt. Of, wat eigenlijk
nog veel erger is, de IPS is dusdanig getuned dat deze niet
snel triggert (om het aantal false positives te verminderen)
waardoor het risico van false negatives groter wordt. Je
denkt dan "veilig" te zijn terwijl dat in werkelijkheid niet
zo is.
09-12-2005, 13:54 door Anoniem
Door SirDice
Een IDS voegt niets toe aan je beveiliging. Het wordt er
niet meer of minder door.. Het is een (extra) hulpmiddel bij
het detecteren en opsporen van problemen. Uiteraard doe je
dit in combinatie met andere logs zoals bijv. firewall logs,
http-access-logs, etc..

Een IPS is een soort active IDS. Een IDS die zelfstandig
acties kan ondernemen. Op het moment dat je een IPS nodig
hebt om je systemen te beveiligen doe je al iets fout. Ook
kan een IPS (nog?) geen relaties leggen met de andere logs,
die je nodig hebt voor een fatsoenlijke analyse. Daar
bovenop komt dan nog dat ook een IPS false positives geeft
(net als een IDS) en je daardoor ook nog het risico dat er
regulier netwerk verkeer gekilled wordt. Of, wat eigenlijk
nog veel erger is, de IPS is dusdanig getuned dat deze niet
snel triggert (om het aantal false positives te verminderen)
waardoor het risico van false negatives groter wordt. Je
denkt dan "veilig" te zijn terwijl dat in werkelijkheid niet
zo is.

ik andere woorden het maakt niet uit wat je heb, het schiet toch niet op, je
ken beter geen van beide gebruiken
09-12-2005, 14:57 door Bl4deRunner
Door SirDice
Door Walter
Even wat anders trouwens.....
Wel belachelijk dat 35% van de bezoekers van deze site niet
weten wat een IDS/IPS is. Ik dacht dat deze site zich
richtte op security en dat de bezoekers zichzelf daar ook in
verdiepten.
Dat verbaasde mij ook inderdaad...

41,6% WTF is IDS & IPS?

En ik ben er ook een die geen idee heeft waar die
afkortingen voor staan.
De reden DAT ik op deze site zit, is OMDAT ik meer in
securety wil verdiepen.

Het principe van IDS/IPS begint duidelijk te worden, ik weet
alleen nog niet WAT het is. Zou iemand zo vriendelijk willen
zijn om dat even uit te leggen voor de andere helft van de
bezoekers van deze site?

bvd.
09-12-2005, 17:36 door Walter
IDS: Intrusion Detection System
IPS: Intrusion Protection system

De namen zeggen dan eigenlijk al genoeg. IDS detecteerd
mogelijke pogingen tot binnendringen, IPS voorkomt pogingen
tot binnendringen (gedeeltelijk en afhankelijk van de
configuratie).

Voorbeeld: IDS geeft aan dat er iemand op 20 poorten heeft
lopen scannen, IPS zegt: jij hebt al 5 poorten binnen 10
seconden bezocht, jij komt er niet meer in.

En dat is de meest basis uitleg (denk ik).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.