Computerbeveiliging - Hoe je bad guys buiten de deur houdt

IDS en IPS In één?

17-09-2018, 10:05 door Anoniem, 24 reacties
Zijn er software's voor IPS en IDS in een?
Dus eigenlijk het verkeer monitoren en bij x verdachte poging dat ik die kan laten blokkeren?

Of moet je zo iets beide draaien?
IPS apart en IDS apart? Het liefst iets open-source en kosteloos.

Ik lees graag jullie tips van jullie specialisten.

Dank!
Reacties (24)
17-09-2018, 12:51 door Anoniem
OPNSense
17-09-2018, 14:39 door Anoniem
suricata kan hierin wellicht in voldoen. Kijk eens naar OPNsense en de plugins
17-09-2018, 15:02 door Anoniem
Zoek eens naar Snort of Suricata. Beide gratis te gebruiken tenzij je een PRO licence wilt voor je ruleset. Voor normaal huis tuin en keuken gebruik kun je prima af met de communitie rules.

Ook leuk:
SELKS een complete linux distro met Suricata Elasticsearch Logstash Kibana en Scirius.

Nu heb je wat richtingen om te zoeken, succes.
17-09-2018, 15:49 door Anoniem
Door Anoniem: OPNSense

PfSense ;-)

Of Linux > Snort
17-09-2018, 18:35 door SecGuru_OTX
IDS en IPS zijn twee hele ruime begrippen.

Wat is je doel en heb je budget?

Wil je ook in versleutelde communicatie kijken?

Wat is de scope van de te monitoren assets?
17-09-2018, 23:18 door Anoniem
Ga googlelen tering. Luie mensen die niet autodidact zijn en het security vakgebied gaan niet samen.
18-09-2018, 09:41 door Anoniem
Door Anoniem: Ga googlelen tering. Luie mensen die niet autodidact zijn en het security vakgebied gaan niet samen.

Woah, rustig maar. Wellicht heeft ie zitten googlen maar niets gaat boven de aanbevelingen van je gewaardeerde security 'collegas' die ervaring met zulke software hebben toch?
18-09-2018, 09:50 door Anoniem
Door Anoniem: Ga googlelen tering. Luie mensen die niet autodidact zijn en het security vakgebied gaan niet samen.

Ja, indd. Rustig maar, ik Google altijd eerst voordat ik zaken hier of op een andere site ga plaatsen.
Echter zaken die ik zoek zijn of meh, of jullie kunnen veel betere aanbevelen die bij mijn wensen aansluit.

Jullie zijn immers niet, voor niets specialisten. Thanks voor allen die wel meehelpen en meedenken.
18-09-2018, 10:50 door Anoniem
Door Anoniem:
Door Anoniem: Ga googlelen tering. Luie mensen die niet autodidact zijn en het security vakgebied gaan niet samen.

Ja, indd. Rustig maar, ik Google altijd eerst voordat ik zaken hier of op een andere site ga plaatsen.
Echter zaken die ik zoek zijn of meh, of jullie kunnen veel betere aanbevelen die bij mijn wensen aansluit.

Jullie zijn immers niet, voor niets specialisten. Thanks voor allen die wel meehelpen en meedenken.
Welke wensen? Je zegt eigenlijk helemaal niets, behalve ik zoek iets met wielen om mij te transporteren.

Je hebt dus al geven gegoogled, dus wat heb je gevonden, wat voor specifieke vragen heb je.

Maar om je een antwoord te geven: Misschien. En het kan. (dat is ongeveer de zelfde kwaliteit als je start topic).
18-09-2018, 12:22 door Anoniem
Door Anoniem:
Door Anoniem: OPNSense

PfSense ;-)

Of Linux > Snort

Snort is geen IPS of heeft die niet in PfSense..wel zit er een soort swatch op de snort entries en wordt dmv een apart proces een PF rule afgetrapt.
Echt inline is Suricata, Snort niet.
18-09-2018, 12:23 door Anoniem
Zijn er software's voor IPS en IDS in een? Dus eigenlijk het verkeer monitoren en bij x verdachte poging dat ik die kan laten blokkeren?

Iedere IPS is een IDS met blocking functionaliteit. Rare vraag.
18-09-2018, 12:24 door Anoniem
Ga googlelen tering. Luie mensen die niet autodidact zijn en het security vakgebied gaan niet samen.

Mensen met zo'n houding zie ik ook liever niet in mijn vakgebied. Wat een attitude.
18-09-2018, 13:21 door Anoniem
Welke van werken ook op de Mac?
18-09-2018, 13:53 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: OPNSense

PfSense ;-)

Of Linux > Snort

Snort is geen IPS of heeft die niet in PfSense..wel zit er een soort swatch op de snort entries en wordt dmv een apart proces een PF rule afgetrapt.
Echt inline is Suricata, Snort niet.
Snort kan je met in bridge mode als IPS gebruiken.
04-09-2019, 10:49 door Anoniem
OPNids dus.

https://www.opnids.io/#opnids-stack-section
04-09-2019, 18:21 door Anoniem
Door Anoniem: Zoek eens naar Snort of Suricata. Beide gratis te gebruiken tenzij je een PRO licence wilt voor je ruleset. Voor normaal huis tuin en keuken gebruik kun je prima af met de communitie rules.

Ook leuk:
SELKS een complete linux distro met Suricata Elasticsearch Logstash Kibana en Scirius.

Nu heb je wat richtingen om te zoeken, succes.

Inderdaad. SELKS is een prima optie. Of anders Security Onion.

(Ik ga er van uit dat het voor thuisgebruik is.)

Door Anoniem: Welke van werken ook op de Mac?

Huh? Wil je een Mac inzetten als IDS/IPS? Beetje zonde van je dure hardware.
Voor thuis zou je zelfs afkunnend met Suricata op een RPi.
04-09-2019, 20:43 door Anoniem
Een IPS is per definitie een IDS, met extra mogelijkheid tot ingrijpen. Een IPS setup kan in IDS mode draaien, andersom niet.
05-09-2019, 09:30 door Anoniem
Suricata met opennids als uitbreiding dus.
Snyk en linting, xss-dom sinks & sources screening etc.
Je fantasie is je enige limiet (;
luntrus
05-09-2019, 13:09 door Anoniem
Vraagt er überhaupt iemand naar wat het kennis niveau is? Software als Snort, Pfsense ed. vereisen best wel een hoop netwerkkennis als je daar effectief een IDS/IPS mee wil opzetten. Een n00b is met 2 seconden het spoor bijster in Snort dus is het wel handig om inhoudelijke kennis van netwerken en beveiliging te hebben.
Tja, en mensen die meteen roepen dat je moet gaan Googlen raad ik aan om eens een test te gaan doen naar ASS (dat is geen vertaling van bips btw).
05-09-2019, 15:53 door Anoniem
No 'prevention' without 'detection'!
05-09-2019, 16:15 door Anoniem
Realiseert iemand zich dat dit topic een jaar oud is en gister voor 't eerst weer uit de sloot getrokken is? Voordat we allemaal "slimme" antwoorden gaan geven: de Anoniem die de vraag stelde is vast allang tevreden...
05-09-2019, 19:00 door Anoniem
@de gewaardeerde topic-starter

Het is toch altijd wel goed je wat verder in de materie van IDS te (gaan) verdiepen.
Jammer, dat de urlquery dot net scanner al geruime tijd down is.
Daar zie je voorbeelden van Fortinet's IDS, van Suricata Emerig Threat rules.

Voor een idee daarvan de nog bestaand cache: https://webcache.googleusercontent.com/search?q=cache:XeMzb4Aaeb8J:https://urlquery.net/report/969eb09d-0b3a-4c68-81c2-82d2a9e32f64+&cd=4&hl=pl&ct=clnk&gl=pl

Cybercriminelen houden dus kennelijk niet van "exposure".
Dit soort van scansites zijn straks alleen nog mogelijk met een vast user account om de site in kwestie tegen misbruik
en DDOSsen te beschermen. Clean-MX heeft dit ook ervaren en is geen publieke opzoekbron meer.

"Toppie" is natuurlijk, dat je zoveel inzicht hebt in de syntaxis van Snort, dat je eigen regels kan schrijven.
http://etutorials.org/Networking/network+security+hacks/Chapter+7.+Network+Intrusion+Detection/Hack+86+Write+Your+Own+Snort+Rules/ & https://resources.infosecinstitute.com/snort-rules-workshop-part-one/ etc.

Jij bent m.i. dan wel goed bezig, want je krijgt tevens flink gevoel voor en ditto ervaring met datgene wat jou specifiek bedreigen kan en daar loop je dan ook minder kans op door het nemen van de juiste vereiste best policies.
Het meeste last krijg je juist door zaken, die anderen nalaten, zoals patchen eb afvoeren van verlaten code, op orde brengen van voldoende validering etc.

Voor SNYK: https://github.com/snyk/snyk/blob/master/test/fixtures/demo-private/node_modules/less/test/less/variables-in-at-rules.less

Ik ga even verder met het inkloppen van cmd rules op mijn rooted Android Proxymon appje en verdiep me in de logs
en kijk ook even op blokada naar de blokkeringen in mijn host log via de ingestelde blokkeerlijsten.

Fijn om hier met z'n allen goed bezig te zijn. Dank voor de informatieverstrekkers, zoals Bitwiper e.a. We moeten groeien in kennis en ervaring en op elkanders schouders staan,

luntrus (F.R.A.V.I.A. anti-ad & anti-smut adept en volger van de instructies van Peter Kleissner (sinkhole specialist)
05-09-2019, 19:14 door Anoniem
Hallo-hallo,

Re: https://intelx.io/?s=www.snort.org voor wat SNORT intel info.

Lees: https://mmtechebooksfree.blogspot.com/2013/12/ip-digger-v-30-web-xploit3r-by-team.html
en waar het om draait tenslotte: https://intelx.io/?did=e9b4e6f3-cce4-4471-a0db-1cbb9c00bb26
info credits gaan naar Peter Kleissner's _X Intelligence X de ontwerper van deze zoekmachien.

#sockpuppet
06-09-2019, 12:35 door Anoniem
Door Anoniem: Zijn er software's voor IPS en IDS in een?
!
Atomicorp is goed, en niet al te lastig. Tenminste imho.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.