4
IDS Netzwerkknoten oder Hosts schützen. Was ist einfacher?
Hi,
ich schreibe eine Projektarbeit zum Thema Open Source IDS. Es soll ausschließlich um die Erkennung interner Angriffe gehen. Nun soll ich mich bei der Aufgabenstellung festlegen ob ich mich auf den Schutz von Netzwerkknoten (Switches, Router, etc.) oder auf den Schutz von Hosts (Client-PCs, Server, etc.) beziehe. Da ich in dem Gebiet noch nicht viel Ahnung habe wollte ich fragen, ob mir jemand sagen kann was von beiden Themen einfacher ist. Für die Realisierung dachte ich an Snort. Wie ich das Ganze dann teste habe ich auch noch keine Ahnung... Ich bin für jede Hilfe sehr dankbar!
Gruß
ich schreibe eine Projektarbeit zum Thema Open Source IDS. Es soll ausschließlich um die Erkennung interner Angriffe gehen. Nun soll ich mich bei der Aufgabenstellung festlegen ob ich mich auf den Schutz von Netzwerkknoten (Switches, Router, etc.) oder auf den Schutz von Hosts (Client-PCs, Server, etc.) beziehe. Da ich in dem Gebiet noch nicht viel Ahnung habe wollte ich fragen, ob mir jemand sagen kann was von beiden Themen einfacher ist. Für die Realisierung dachte ich an Snort. Wie ich das Ganze dann teste habe ich auch noch keine Ahnung... Ich bin für jede Hilfe sehr dankbar!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 137058
Url: https://administrator.de/contentid/137058
Printed on: April 18, 2024 at 22:04 o'clock
4 Comments
Latest comment
Switches schützen: viel Spaß.
Sicher springt gleich der erste Scherzkeks aus der Ecke und ruft: 802.1x darum das gleich mal vorweg: 802.1x ist für kabelgebundene Netze vollkommen ungeeignet.
Die einzige Möglichkeit ein kabelgebundenes L2-Netz abzusichern ist über VPN (Domain Isolation).
Insofern nimm lieber die Server-Absicherung, da kann man wesentlich mehr basteln.
Sicher springt gleich der erste Scherzkeks aus der Ecke und ruft: 802.1x darum das gleich mal vorweg: 802.1x ist für kabelgebundene Netze vollkommen ungeeignet.
Die einzige Möglichkeit ein kabelgebundenes L2-Netz abzusichern ist über VPN (Domain Isolation).
Insofern nimm lieber die Server-Absicherung, da kann man wesentlich mehr basteln.
es ginge ja darum angriffsversuche gegen switches zu erkennen und per IPS maßnahmen zu ergreifen. ist das soviel schwieriger wie gegen hosts?
Ja, weil du darauf angewiesen bist, dass der Switch erkennt, dass es ein Angriffsversuch ist und es dir mitteilt.
Du könntest natürlich auch probieren alle 10s die SNMP-Tabellen auszulesen und dir daraus was abzuleiten...
Du könntest natürlich auch probieren alle 10s die SNMP-Tabellen auszulesen und dir daraus was abzuleiten...
ich dachte ein IDS erkennt dies an hand der auswertungen des netzwerkverkehrs in dem entsprechenden segment?
