4
IDS Netzwerkknoten oder Hosts schützen. Was ist einfacher?
Hi,
ich schreibe eine Projektarbeit zum Thema Open Source IDS. Es soll ausschließlich um die Erkennung interner Angriffe gehen. Nun soll ich mich bei der Aufgabenstellung festlegen ob ich mich auf den Schutz von Netzwerkknoten (Switches, Router, etc.) oder auf den Schutz von Hosts (Client-PCs, Server, etc.) beziehe. Da ich in dem Gebiet noch nicht viel Ahnung habe wollte ich fragen, ob mir jemand sagen kann was von beiden Themen einfacher ist. Für die Realisierung dachte ich an Snort. Wie ich das Ganze dann teste habe ich auch noch keine Ahnung... Ich bin für jede Hilfe sehr dankbar!
Gruß
ich schreibe eine Projektarbeit zum Thema Open Source IDS. Es soll ausschließlich um die Erkennung interner Angriffe gehen. Nun soll ich mich bei der Aufgabenstellung festlegen ob ich mich auf den Schutz von Netzwerkknoten (Switches, Router, etc.) oder auf den Schutz von Hosts (Client-PCs, Server, etc.) beziehe. Da ich in dem Gebiet noch nicht viel Ahnung habe wollte ich fragen, ob mir jemand sagen kann was von beiden Themen einfacher ist. Für die Realisierung dachte ich an Snort. Wie ich das Ganze dann teste habe ich auch noch keine Ahnung... Ich bin für jede Hilfe sehr dankbar!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137058
Url: https://administrator.de/contentid/137058
Ausgedruckt am: 19.11.2024 um 14:11 Uhr
4 Kommentare
Neuester Kommentar
Switches schützen: viel Spaß.
Sicher springt gleich der erste Scherzkeks aus der Ecke und ruft: 802.1x darum das gleich mal vorweg: 802.1x ist für kabelgebundene Netze vollkommen ungeeignet.
Die einzige Möglichkeit ein kabelgebundenes L2-Netz abzusichern ist über VPN (Domain Isolation).
Insofern nimm lieber die Server-Absicherung, da kann man wesentlich mehr basteln.
Sicher springt gleich der erste Scherzkeks aus der Ecke und ruft: 802.1x darum das gleich mal vorweg: 802.1x ist für kabelgebundene Netze vollkommen ungeeignet.
Die einzige Möglichkeit ein kabelgebundenes L2-Netz abzusichern ist über VPN (Domain Isolation).
Insofern nimm lieber die Server-Absicherung, da kann man wesentlich mehr basteln.
es ginge ja darum angriffsversuche gegen switches zu erkennen und per IPS maßnahmen zu ergreifen. ist das soviel schwieriger wie gegen hosts?
Ja, weil du darauf angewiesen bist, dass der Switch erkennt, dass es ein Angriffsversuch ist und es dir mitteilt.
Du könntest natürlich auch probieren alle 10s die SNMP-Tabellen auszulesen und dir daraus was abzuleiten...
Du könntest natürlich auch probieren alle 10s die SNMP-Tabellen auszulesen und dir daraus was abzuleiten...
ich dachte ein IDS erkennt dies an hand der auswertungen des netzwerkverkehrs in dem entsprechenden segment?
