OPNSense

suricata kan hierin wellicht in voldoen. Kijk eens naar OPNsense en de plugins

Zoek eens naar Snort of Suricata. Beide gratis te gebruiken tenzij je een PRO licence wilt voor je ruleset. Voor normaal huis tuin en keuken gebruik kun je prima af met de communitie rules.

Ook leuk:
SELKS een complete linux distro met Suricata Elasticsearch Logstash Kibana en Scirius.

Nu heb je wat richtingen om te zoeken, succes.

PfSense ;-)

Of Linux > Snort

IDS en IPS zijn twee hele ruime begrippen.

Wat is je doel en heb je budget?

Wil je ook in versleutelde communicatie kijken?

Wat is de scope van de te monitoren assets?

Ga googlelen tering. Luie mensen die niet autodidact zijn en het security vakgebied gaan niet samen.

Woah, rustig maar. Wellicht heeft ie zitten googlen maar niets gaat boven de aanbevelingen van je gewaardeerde security 'collegas' die ervaring met zulke software hebben toch?

Ja, indd. Rustig maar, ik Google altijd eerst voordat ik zaken hier of op een andere site ga plaatsen.
Echter zaken die ik zoek zijn of meh, of jullie kunnen veel betere aanbevelen die bij mijn wensen aansluit.

Jullie zijn immers niet, voor niets specialisten. Thanks voor allen die wel meehelpen en meedenken.

Welke wensen? Je zegt eigenlijk helemaal niets, behalve ik zoek iets met wielen om mij te transporteren.

Je hebt dus al geven gegoogled, dus wat heb je gevonden, wat voor specifieke vragen heb je.

Maar om je een antwoord te geven: Misschien. En het kan. (dat is ongeveer de zelfde kwaliteit als je start topic).

Snort is geen IPS of heeft die niet in PfSense..wel zit er een soort swatch op de snort entries en wordt dmv een apart proces een PF rule afgetrapt.
Echt inline is Suricata, Snort niet.

Iedere IPS is een IDS met blocking functionaliteit. Rare vraag.

Mensen met zo'n houding zie ik ook liever niet in mijn vakgebied. Wat een attitude.

Welke van werken ook op de Mac?

Snort kan je met in bridge mode als IPS gebruiken.

OPNids dus.

https://www.opnids.io/#opnids-stack-section

Inderdaad. SELKS is een prima optie. Of anders Security Onion.

(Ik ga er van uit dat het voor thuisgebruik is.)


Huh? Wil je een Mac inzetten als IDS/IPS? Beetje zonde van je dure hardware.
Voor thuis zou je zelfs afkunnend met Suricata op een RPi.

Een IPS is per definitie een IDS, met extra mogelijkheid tot ingrijpen. Een IPS setup kan in IDS mode draaien, andersom niet.

Suricata met opennids als uitbreiding dus.
Snyk en linting, xss-dom sinks & sources screening etc.
Je fantasie is je enige limiet (;
luntrus

Vraagt er überhaupt iemand naar wat het kennis niveau is? Software als Snort, Pfsense ed. vereisen best wel een hoop netwerkkennis als je daar effectief een IDS/IPS mee wil opzetten. Een n00b is met 2 seconden het spoor bijster in Snort dus is het wel handig om inhoudelijke kennis van netwerken en beveiliging te hebben.
Tja, en mensen die meteen roepen dat je moet gaan Googlen raad ik aan om eens een test te gaan doen naar ASS (dat is geen vertaling van bips btw).

No 'prevention' without 'detection'!

Realiseert iemand zich dat dit topic een jaar oud is en gister voor 't eerst weer uit de sloot getrokken is? Voordat we allemaal "slimme" antwoorden gaan geven: de Anoniem die de vraag stelde is vast allang tevreden...

@de gewaardeerde topic-starter

Het is toch altijd wel goed je wat verder in de materie van IDS te (gaan) verdiepen.
Jammer, dat de urlquery dot net scanner al geruime tijd down is.
Daar zie je voorbeelden van Fortinet's IDS, van Suricata Emerig Threat rules.

Voor een idee daarvan de nog bestaand cache: https://webcache.googleusercontent.com/search?q=cache:XeMzb4Aaeb8J:https://urlquery.net/report/969eb09d-0b3a-4c68-81c2-82d2a9e32f64+&cd=4&hl=pl&ct=clnk&gl=pl

Cybercriminelen houden dus kennelijk niet van "exposure".
Dit soort van scansites zijn straks alleen nog mogelijk met een vast user account om de site in kwestie tegen misbruik
en DDOSsen te beschermen. Clean-MX heeft dit ook ervaren en is geen publieke opzoekbron meer.

"Toppie" is natuurlijk, dat je zoveel inzicht hebt in de syntaxis van Snort, dat je eigen regels kan schrijven.
http://etutorials.org/Networking/network+security+hacks/Chapter+7.+Network+Intrusion+Detection/Hack+86+Write+Your+Own+Snort+Rules/ & https://resources.infosecinstitute.com/snort-rules-workshop-part-one/ etc.

Jij bent m.i. dan wel goed bezig, want je krijgt tevens flink gevoel voor en ditto ervaring met datgene wat jou specifiek bedreigen kan en daar loop je dan ook minder kans op door het nemen van de juiste vereiste best policies.
Het meeste last krijg je juist door zaken, die anderen nalaten, zoals patchen eb afvoeren van verlaten code, op orde brengen van voldoende validering etc.

Voor SNYK: https://github.com/snyk/snyk/blob/master/test/fixtures/demo-private/node_modules/less/test/less/variables-in-at-rules.less

Ik ga even verder met het inkloppen van cmd rules op mijn rooted Android Proxymon appje en verdiep me in de logs
en kijk ook even op blokada naar de blokkeringen in mijn host log via de ingestelde blokkeerlijsten.

Fijn om hier met z'n allen goed bezig te zijn. Dank voor de informatieverstrekkers, zoals Bitwiper e.a. We moeten groeien in kennis en ervaring en op elkanders schouders staan,

luntrus (F.R.A.V.I.A. anti-ad & anti-smut adept en volger van de instructies van Peter Kleissner (sinkhole specialist)

Hallo-hallo,

Re: https://intelx.io/?s=www.snort.org voor wat SNORT intel info.

Lees: https://mmtechebooksfree.blogspot.com/2013/12/ip-digger-v-30-web-xploit3r-by-team.html
en waar het om draait tenslotte: https://intelx.io/?did=e9b4e6f3-cce4-4471-a0db-1cbb9c00bb26
info credits gaan naar Peter Kleissner's _X Intelligence X de ontwerper van deze zoekmachien.

#sockpuppet

Atomicorp is goed, en niet al te lastig. Tenminste imho.