20
Intrusion Detection im Heimnetzwerk
Moin moin liebe Leute
Ich überlege, mir zu Testzwecken ein IDS ins Heimnetzwerk zu stellen. Dies würde ich mit Security Onion probieren wollen, weil da direkt eine grafische Aufbereitung mit implementiert ist. Aber vielleicht geht es auch anders. Also eher abgespeckt direkt mit Snort, Bro oder Surricata.
Dazu habe ich aber vorab ein paar theoretische Fragen/Grundlagen, die ich vorher gerne geklärt haben würde, um alles in allem besser zu verstehen.
1. Die Switch, an die mein IDS angeschlossen wird, muss einen Spiegelport haben, damit der gesamte Netzwerktraffic an das IDS geleitet wird. Herkömmliche Heimrouter können sowas nicht, richtig? Alternativ könnte ich ein TAP nutzen und dieses an einer geeigneten Stelle im Netzwerk einbauen, oder?
2. Die Netzwerkkarte, die snifft, muss den Promiscuous Mode beherrschen, damit sie auch alle Pakete, die sie vom Spiegelport erhält, registriert und verarbeitet, oder? Läuft meine Netzwerkkarte nicht im Promiscuous Mode, würden alle Pakete, die über den Spiegelport an das IDS geschickt werden, verworfen und in die Analyse nicht mit einbezogen? Kann im Prinzip jede Netzwerkkarte in diesen Modus versetzt werden oder ist das abhängig vom Modell/Hersteller?
3. Lässt man die Hardwareressourcen einmal außen vor: Sollte man dafür eine VM nutzen oder lieber einen normalen Standalone-Rechner nutzen? Das hängt sicherlich auch mit Punkt 2 zusammen.
3.1 Kann eine VM den Traffic des gesamten Heimnetzes aufsaugen oder bleibt es im Rahmen der virtuellen Umgebung beschränkt? Normalerweise müsste es möglich sein, das gesamte 'physische' Heimnetzwerk zu sehen, sofern man die richtigen Einstellungen trifft.
Spontan wären das erstmal alle Fragen :D
Vielen Dank schon mal für eure Hilfe
Ich überlege, mir zu Testzwecken ein IDS ins Heimnetzwerk zu stellen. Dies würde ich mit Security Onion probieren wollen, weil da direkt eine grafische Aufbereitung mit implementiert ist. Aber vielleicht geht es auch anders. Also eher abgespeckt direkt mit Snort, Bro oder Surricata.
Dazu habe ich aber vorab ein paar theoretische Fragen/Grundlagen, die ich vorher gerne geklärt haben würde, um alles in allem besser zu verstehen.
1. Die Switch, an die mein IDS angeschlossen wird, muss einen Spiegelport haben, damit der gesamte Netzwerktraffic an das IDS geleitet wird. Herkömmliche Heimrouter können sowas nicht, richtig? Alternativ könnte ich ein TAP nutzen und dieses an einer geeigneten Stelle im Netzwerk einbauen, oder?
2. Die Netzwerkkarte, die snifft, muss den Promiscuous Mode beherrschen, damit sie auch alle Pakete, die sie vom Spiegelport erhält, registriert und verarbeitet, oder? Läuft meine Netzwerkkarte nicht im Promiscuous Mode, würden alle Pakete, die über den Spiegelport an das IDS geschickt werden, verworfen und in die Analyse nicht mit einbezogen? Kann im Prinzip jede Netzwerkkarte in diesen Modus versetzt werden oder ist das abhängig vom Modell/Hersteller?
3. Lässt man die Hardwareressourcen einmal außen vor: Sollte man dafür eine VM nutzen oder lieber einen normalen Standalone-Rechner nutzen? Das hängt sicherlich auch mit Punkt 2 zusammen.
3.1 Kann eine VM den Traffic des gesamten Heimnetzes aufsaugen oder bleibt es im Rahmen der virtuellen Umgebung beschränkt? Normalerweise müsste es möglich sein, das gesamte 'physische' Heimnetzwerk zu sehen, sofern man die richtigen Einstellungen trifft.
Spontan wären das erstmal alle Fragen :D
Vielen Dank schon mal für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 452697
Url: https://administrator.de/contentid/452697
Printed on: April 24, 2024 at 16:04 o'clock
20 Comments
Latest comment
Hi!
Ich überlege, mir zu Testzwecken ein IDS ins Heimnetzwerk zu stellen.
Schönes Projekt
Ich selbst kann da noch nichts konstruktives beisteuern bin aber auch interessiert. Lese mich mal in Snort ein und bin gespannt was hier für Ideen aufkommen.
Zu deinen Fragen:
1.)
Ein Spiegelport nützt dir ja nichts, denn damit siehst du ja keineswegs den gesamten Traffic des Netzes sondern immer nur den eines einzigen Ports eines Switches. Du siehst damit dann nur den Traffic dieses gespiegelten Ports und nur den, nicht den anderer Ports.
Spiegelst du also z.B. den Port deines NAS dann siehst du rein nur den Traffic der vom und zum NAS geht.
Hast du z.B. infizierte Rechner die sich dann gegenseitig untereinander mit einem Trojaner infizieren siehst du diesen Traffic z.B. nicht ! Damit wäre deine IDS Lösung dann ad absurdum geführt. Spiegelports sind also nicht wirklich die Lösung. Was du brauchst ist Switchhardware die dir einen Überklick über alle Flows in einem Netzwerk gibt !
2.)
Ja, das kann so gut wie jede Karte bzw. jeder dort verwendete Chipsatz. Jedenfalls die etwas "besseren" Chipsätze wie Intel, Broadcom und Co. Bei den Billigchipsätzen musst du aufpassen. Manche supporten es nicht bzw. die Umschlatung via Treiber ist deaktiviert. Realtek z.B. kann es aber andere supporten es nicht. Hier sollte man also vorher mal mit dem Wireshark probieren.
3.)
Die Frage kann dir keiner beantworten, denn die ist logischerweise im hohen Maße vom Traffic Volumen abhängig was du analysieren willst. Weisst du auch selber wenn du mal nachdenkst. Da du dazu keinerlei Angaben machst kann man hier auch keine Aussage treffen. Im Netz von Oma Grete mit 1 Laptop und einem Smarphone reicht dafür ganz sicher ein Raspberri_Pi.
3.1.)
Siehe Punkt 3. !
1.)
Ein Spiegelport nützt dir ja nichts, denn damit siehst du ja keineswegs den gesamten Traffic des Netzes sondern immer nur den eines einzigen Ports eines Switches. Du siehst damit dann nur den Traffic dieses gespiegelten Ports und nur den, nicht den anderer Ports.
Spiegelst du also z.B. den Port deines NAS dann siehst du rein nur den Traffic der vom und zum NAS geht.
Hast du z.B. infizierte Rechner die sich dann gegenseitig untereinander mit einem Trojaner infizieren siehst du diesen Traffic z.B. nicht ! Damit wäre deine IDS Lösung dann ad absurdum geführt. Spiegelports sind also nicht wirklich die Lösung. Was du brauchst ist Switchhardware die dir einen Überklick über alle Flows in einem Netzwerk gibt !
2.)
Ja, das kann so gut wie jede Karte bzw. jeder dort verwendete Chipsatz. Jedenfalls die etwas "besseren" Chipsätze wie Intel, Broadcom und Co. Bei den Billigchipsätzen musst du aufpassen. Manche supporten es nicht bzw. die Umschlatung via Treiber ist deaktiviert. Realtek z.B. kann es aber andere supporten es nicht. Hier sollte man also vorher mal mit dem Wireshark probieren.
3.)
Die Frage kann dir keiner beantworten, denn die ist logischerweise im hohen Maße vom Traffic Volumen abhängig was du analysieren willst. Weisst du auch selber wenn du mal nachdenkst. Da du dazu keinerlei Angaben machst kann man hier auch keine Aussage treffen. Im Netz von Oma Grete mit 1 Laptop und einem Smarphone reicht dafür ganz sicher ein Raspberri_Pi.
3.1.)
Siehe Punkt 3. !
1
Danke für die Antwort
Okay. Ich dachte wenn man einen Spiegelport einstellt und an diesen das IDS anschließt, wird der gesamte Traffic auf der Switch auch zu diesem Port geschickt. Aber offensichtlich muss man an jedem Port, an dem etwas angeschlossen ist, die Spiegelfunktion einstellen und in den Einstellungen auch den Port berücksichtigen, an dem das IDS hängt.
dann muss ich da auch mal schauen. Danke
Traffic würde ich nicht soooo viel haben. Denke also, dass ein normaler Rechner ausreicht. Mir geht es nur darum, dass die Netzwerkkarte des Rechners den Promiscuous Mode kann. Aber da müsste ich nochmal nachschauen
Zitat von @aqui:
Zu deinen Fragen:
1.)
Ein Spiegelport nützt dir ja nichts, denn damit siehst du ja keineswegs den gesamten Traffic des Netzes sondern immer nur den eines einzigen Ports eines Switches. Du siehst damit dann nur den Traffic dieses gespiegelten Ports und nur den, nicht den anderer Ports.
Spiegelst du also z.B. den Port deines NAS dann siehst du rein nur den Traffic der vom und zum NAS geht.
Hast du z.B. infizierte Rechner die sich dann gegenseitig untereinander mit einem Trojaner infizieren siehst du diesen Traffic z.B. nicht ! Damit wäre deine IDS Lösung dann ad absurdum geführt. Spiegelports sind also nicht wirklich die Lösung. Was du brauchst ist Switchhardware die dir einen Überklick über alle Flows in einem Netzwerk gibt !
Zu deinen Fragen:
1.)
Ein Spiegelport nützt dir ja nichts, denn damit siehst du ja keineswegs den gesamten Traffic des Netzes sondern immer nur den eines einzigen Ports eines Switches. Du siehst damit dann nur den Traffic dieses gespiegelten Ports und nur den, nicht den anderer Ports.
Spiegelst du also z.B. den Port deines NAS dann siehst du rein nur den Traffic der vom und zum NAS geht.
Hast du z.B. infizierte Rechner die sich dann gegenseitig untereinander mit einem Trojaner infizieren siehst du diesen Traffic z.B. nicht ! Damit wäre deine IDS Lösung dann ad absurdum geführt. Spiegelports sind also nicht wirklich die Lösung. Was du brauchst ist Switchhardware die dir einen Überklick über alle Flows in einem Netzwerk gibt !
Okay. Ich dachte wenn man einen Spiegelport einstellt und an diesen das IDS anschließt, wird der gesamte Traffic auf der Switch auch zu diesem Port geschickt. Aber offensichtlich muss man an jedem Port, an dem etwas angeschlossen ist, die Spiegelfunktion einstellen und in den Einstellungen auch den Port berücksichtigen, an dem das IDS hängt.
2.)
Ja, das kann so gut wie jede Karte bzw. jeder dort verwendete Chipsatz. Jedenfalls die etwas "besseren" Chipsätze wie Intel, Broadcom und Co. Bei den Billigchipsätzen musst du aufpassen. Manche supporten es nicht bzw. die Umschlatung via Treiber ist deaktiviert. Realtek z.B. kann es aber andere supporten es nicht. Hier sollte man also vorher mal mit dem Wireshark probieren.
Ja, das kann so gut wie jede Karte bzw. jeder dort verwendete Chipsatz. Jedenfalls die etwas "besseren" Chipsätze wie Intel, Broadcom und Co. Bei den Billigchipsätzen musst du aufpassen. Manche supporten es nicht bzw. die Umschlatung via Treiber ist deaktiviert. Realtek z.B. kann es aber andere supporten es nicht. Hier sollte man also vorher mal mit dem Wireshark probieren.
dann muss ich da auch mal schauen. Danke
3.)
Die Frage kann dir keiner beantworten, denn die ist logischerweise im hohen Maße vom Traffic Volumen abhängig was du analysieren willst. Weisst du auch selber wenn du mal nachdenkst. Da du dazu keinerlei Angaben machst kann man hier auch keine Aussage treffen. Im Netz von Oma Grete mit 1 Laptop und einem Smarphone reicht dafür ganz sicher ein Raspberri_Pi.
Die Frage kann dir keiner beantworten, denn die ist logischerweise im hohen Maße vom Traffic Volumen abhängig was du analysieren willst. Weisst du auch selber wenn du mal nachdenkst. Da du dazu keinerlei Angaben machst kann man hier auch keine Aussage treffen. Im Netz von Oma Grete mit 1 Laptop und einem Smarphone reicht dafür ganz sicher ein Raspberri_Pi.
Traffic würde ich nicht soooo viel haben. Denke also, dass ein normaler Rechner ausreicht. Mir geht es nur darum, dass die Netzwerkkarte des Rechners den Promiscuous Mode kann. Aber da müsste ich nochmal nachschauen
Okay. Ich dachte wenn man....
Nicht denken sondern nachdenken... 
Scheinbar ist dir nicht so ganz klar wie ein Mirror Port funktioniert auf einem Switch. Man gibt immer einen Port an den man spiegeln will und dann den Port wo dieser Spiegeltraffic hingeschickt wird.
An so einem einzelnen Port liegt dann natürlich niemals der gesamte Traffic des Switches an sondern immer nur rein das was der Switch an diesem Port auch forwardet.
Du weisst ja sicherlich wie grundsätzlich ein Switch funktioniert und das er immer nur den Traffic forwardet der für die Mac Adressen bestimmt ist an seinen Ports.
Andernfalls müsstest du statt eines Switches einen alten Hub einsetzen der alles flutet aber solche Hardware gibt es schon lange nicht mehr und bekommt man allenfalls noch antik auf eBay.
muss man an jedem Port, an dem etwas angeschlossen ist, die Spiegelfunktion einstellen
Theoretisch schon aber solch ein Vorhaben wäre natürlich unsinnig wie dir selber auch einleuchtet. Damit macht man dann den Switch zu einem Hub. Das ist Performance technisch natürlich nicht skalierbar und zudem supporten Switches auch nicht unendlich viele Spiegelports.Fazit:
Was du benötigst ist ein Switch der ein Flow Detection supportet. Das sind alle Switches die den sFlow oder NetFlow Standard supporten. Sowas können heute auch einige Switches aus dem Billigsegment schon. Damit kannst du sämtliche Flows im Netz überwachen und an den Snort oder was auch immer senden.
Das kostenlose sFlowTool von Inmon ist da z.B. ein guter Helfer.
Das o.a. RasPi Tutorial hat ein paar grundlegende Infos zu dem Thema:
Netzwerk Management Server mit Raspberry Pi
Zitat von @aqui:
Andernfalls müsstest du statt eines Switches einen alten Hub einsetzen der alles flutet aber solche Hardware gibt es schon lange nicht mehr und bekommt man allenfalls noch antik auf eBay.
Andernfalls müsstest du statt eines Switches einen alten Hub einsetzen der alles flutet aber solche Hardware gibt es schon lange nicht mehr und bekommt man allenfalls noch antik auf eBay.
Und die können i.d.R nur 10BaseT, was mit modernen Geräten manchmal auch nicht mehr funktioniert.
lks
Wenn man Glück hat findet man auch noch welche mit 100BaseT. NetGear hat in den letzten Tagen der untergehenden Hubs den Consumer Markt damit geflutet.
Das Böse war hier dann aber das alle 10Mbit Ports in einer Collision Doamin waren und alle 100Mbit Ports in einer und die waren global mit einer Bridge verbunden. War dann natürlich sehr spassig wenn man zwischen einem 10 und einem 100 Mbit Port mit dem Wireshark sniffern wollte
NetGear hat in den letzten Tagen der untergehenden Hubs den Consumer Markt damit geflutet.Das Böse war hier dann aber das alle 10Mbit Ports in einer Collision Doamin waren und alle 100Mbit Ports in einer und die waren global mit einer Bridge verbunden. War dann natürlich sehr spassig wenn man zwischen einem 10 und einem 100 Mbit Port mit dem Wireshark sniffern wollte
Ohne davon wirklich was zu verstehen würde es nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln? Oder gehst du davon aus das auch innerhalb des Netzwerkes "eingedrungen" werden kann?
Zitat von @ukulele-7:
Ohne davon wirklich was zu verstehen würde es nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln? Oder gehst du davon aus das auch innerhalb des Netzwerkes "eingedrungen" werden kann?
Ohne davon wirklich was zu verstehen würde es nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln? Oder gehst du davon aus das auch innerhalb des Netzwerkes "eingedrungen" werden kann?
Sehr viel Malware sucht im LAN nach verwundbaren Systemen.
lks
Guter Punkt.
Ohne davon wirklich was zu verstehen
Oha...und dann machst du dich an sowas wie IDS ?! Respekt ! Vielleicht ist es aber dann doch besser du nimmst dir jemanden an die Hand der was davon versteht ?!nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln?
Kann man machen, aber dann siehst du wie oben schon gesagt rein nur den Traffic der Clients ins Internet aber nicht untereinander !Aber dennoch ist das ein erster guter Ansatz und der richtige Weg, denn das zeigt dir schon wenn deine Endgeräte mit Zielen sprechen mit denen sie das eigentlich nicht sollten ! Oder auch wenn was von außen reinkommt was da eigentlich nicht hingehört.
Sehr viel Malware sucht im LAN nach verwundbaren Systemen.
Das bleibt dann natürlich bei dem "nur Internet Traffic" Ansatz auf der Strecke, da hat der Kollege LKS recht.Andersherum hat dein IDS System ja dann ein Ohr am Internet Traffic und kennt dann diese Ziel IP Adressen und Ports sowie die Daten Patterns die Malware versenden und würde dann schon Alarm schlagen.
Systeme wie z.B. der allseits bekannte Pi_Hole als DNS Filter verwenden ebenfalls solche Listen !
https://www.heise.de/select/ct/2018/11/1526783668168592
Es wäre wenigstens ein richtiger erster Ansatz um überhaupt mal ein IDS an den Start zu bringen, was ja schonmal besser als gar nix ist !!
2Zitat von @aqui:
Ich hab nur mitgelesen und nachgedacht, ich mache kein IDS.Ohne davon wirklich was zu verstehen
Oha...und dann machst du dich an sowas wie IDS ?! Respekt ! Vielleicht ist es aber dann doch besser du nimmst dir jemanden an die Hand der was davon versteht ?!
Sorry, hatte dich mit dem TO verwechselt !
Hallo sheldor, du hast die Frage zwar als gelöst markiert, habe dennoch eine Rückfrage: zu welchem Zweck möchtest du die IDS in deinem Heimnetzwerk einrichten? Du schreibst "zu Testzwecken", dann gehe ich davon aus, dass das nicht produktiv genutzt werden soll, sondern du lediglich lernen möchtest, wie ein solches System aufgebaut, eingerichtet und verwendet wird.
Wenn meine Vermutung richtig ist, empfehle ich dir dein Heimnetznerk in einer virtuellen Umgebung vollständig nachzubauen.
Bei Heimnetzwerk gehe ich hier mal von 3-4 Endgeräten aus(ohne Handys), da ist es noch machbar alle Ports zu spiegeln.
Gruß tideon
Wenn meine Vermutung richtig ist, empfehle ich dir dein Heimnetznerk in einer virtuellen Umgebung vollständig nachzubauen.
Bei Heimnetzwerk gehe ich hier mal von 3-4 Endgeräten aus(ohne Handys), da ist es noch machbar alle Ports zu spiegeln.
Gruß tideon
Vielen Dank für all die Antworten.
Die Sache ist so: Ich schreibe demnächst eine Bachelorarbeit, die sich grob mit IDS beschäftigt. Weil ich aber nicht nur theoretisches Wissen aufbauen möchte (ist mir zu langweilig), möchte ich sowas gerne schon aufbauen, installieren und "einfach mal gucken" was man so im Netzwerk sehen kann. Theoretisch könnte ich sowas auch mit Wireshark machen, aber ich möchte ein bisschen in Richtung Anomalien/Bedrohungserkennung arbeiten und da ist Wireshark wohl nicht das richtige.
Du hast recht, mein IDS soll nicht produktiv genutzt werden. Eine virtuelle Umgebung habe ich mir auch schon überlegt, da es aber im Rahmen meiner Bacherlorarbeit vorkommen kann, in meiner Firma solch ein System zu implementieren, möchte ich vorher schon ein bisschen praktisches Know-How aufbauen. Spiegelports oder TAPs werden in einer virtuellen Umgebung ja nicht gebraucht (in einer Virtualisierungssoftware kann ich ja keine Switche implementieren, oder?), müssen aber in einer realen Umgebung mit berücksichtigt werden.
Aber vielleicht sollte ich erstmal mit kleineren Schritten anfangen und einfach mal sowas wie Bro/Zeek mit dem Elastic Stack installieren und konfigurieren.
Zitat von @Tideon:
Hallo sheldor, du hast die Frage zwar als gelöst markiert, habe dennoch eine Rückfrage: zu welchem Zweck möchtest du die IDS in deinem Heimnetzwerk einrichten? Du schreibst "zu Testzwecken", dann gehe ich davon aus, dass das nicht produktiv genutzt werden soll, sondern du lediglich lernen möchtest, wie ein solches System aufgebaut, eingerichtet und verwendet wird.
Wenn meine Vermutung richtig ist, empfehle ich dir dein Heimnetznerk in einer virtuellen Umgebung vollständig nachzubauen.
Bei Heimnetzwerk gehe ich hier mal von 3-4 Endgeräten aus(ohne Handys), da ist es noch machbar alle Ports zu spiegeln.
Gruß tideon
Hallo sheldor, du hast die Frage zwar als gelöst markiert, habe dennoch eine Rückfrage: zu welchem Zweck möchtest du die IDS in deinem Heimnetzwerk einrichten? Du schreibst "zu Testzwecken", dann gehe ich davon aus, dass das nicht produktiv genutzt werden soll, sondern du lediglich lernen möchtest, wie ein solches System aufgebaut, eingerichtet und verwendet wird.
Wenn meine Vermutung richtig ist, empfehle ich dir dein Heimnetznerk in einer virtuellen Umgebung vollständig nachzubauen.
Bei Heimnetzwerk gehe ich hier mal von 3-4 Endgeräten aus(ohne Handys), da ist es noch machbar alle Ports zu spiegeln.
Gruß tideon
Die Sache ist so: Ich schreibe demnächst eine Bachelorarbeit, die sich grob mit IDS beschäftigt. Weil ich aber nicht nur theoretisches Wissen aufbauen möchte (ist mir zu langweilig), möchte ich sowas gerne schon aufbauen, installieren und "einfach mal gucken" was man so im Netzwerk sehen kann. Theoretisch könnte ich sowas auch mit Wireshark machen, aber ich möchte ein bisschen in Richtung Anomalien/Bedrohungserkennung arbeiten und da ist Wireshark wohl nicht das richtige.
Du hast recht, mein IDS soll nicht produktiv genutzt werden. Eine virtuelle Umgebung habe ich mir auch schon überlegt, da es aber im Rahmen meiner Bacherlorarbeit vorkommen kann, in meiner Firma solch ein System zu implementieren, möchte ich vorher schon ein bisschen praktisches Know-How aufbauen. Spiegelports oder TAPs werden in einer virtuellen Umgebung ja nicht gebraucht (in einer Virtualisierungssoftware kann ich ja keine Switche implementieren, oder?), müssen aber in einer realen Umgebung mit berücksichtigt werden.
Aber vielleicht sollte ich erstmal mit kleineren Schritten anfangen und einfach mal sowas wie Bro/Zeek mit dem Elastic Stack installieren und konfigurieren.
Da gibt es durchaus Möglichkeiten auch Hardware zu simulieren, wenn du dich mit Linux auskennst, lohnt auf jeden Fall ein Blick auf marionnet.
Gruß tideon
Gruß tideon
Theoretisch könnte ich sowas auch mit Wireshark machen
Nein, nicht wirklich, denn Wireshark zeigt dir in einem geswitchten Netzwerk ja ohne Mirror Ports nur die Broad- und Multicasts des Netzes, was dir für IDS ja herzlich wenig nützt.Auch ein Mirror Port zeigt ja immer nur einen sehr kleinen Auschnitt des netze, nämlich rein nur das was du mirrorst, niemals als das große Ganze.
Dafür brauchst du immer ein Flow basiertes Protokoll was die Infrastruktur supporten muss und das ist nunmal sFlow oder NetFlow.
Alle professionellen und Open Source IDS Systeme basieren auf sowas, da entsprechende Traffic Voluminas in größeren Netzen gar nicht anders handlebar sind.
VMs nützen eigentlich auch recht wenig und helfen nicht wirklich, da du eine Flow basierte Netzinfrastruktur damit nicht simulieren kannst.
Das Beste ist ein sFlow oder netFlow Switch oder Router für kleines Geld bei eBay ersteigern (Gibts für ein paar Euro) und dann reicht ein Raspberry Pi mit den entsprechenden Tools um viel besser und sinnvoller damit zu spielen und zu sehen wie IDS funktioniert.
Zitat von @aqui:
Auch ein Mirror Port zeigt ja immer nur einen sehr kleinen Auschnitt des netze, nämlich rein nur das was du mirrorst, niemals als das große Ganze.
Dafür brauchst du immer ein Flow basiertes Protokoll was die Infrastruktur supporten muss und das ist nunmal sFlow oder NetFlow.
Alle professionellen und Open Source IDS Systeme basieren auf sowas, da entsprechende Traffic Voluminas in größeren Netzen gar nicht anders handlebar sind.
VMs nützen eigentlich auch recht wenig und helfen nicht wirklich, da du eine Flow basierte Netzinfrastruktur damit nicht simulieren kannst.
Das Beste ist ein sFlow oder netFlow Switch oder Router für kleines Geld bei eBay ersteigern (Gibts für ein paar Euro) und dann reicht ein Raspberry Pi mit den entsprechenden Tools um viel besser und sinnvoller damit zu spielen und zu sehen wie IDS funktioniert.
Theoretisch könnte ich sowas auch mit Wireshark machen
Nein, nicht wirklich, denn Wireshark zeigt dir in einem geswitchten Netzwerk ja ohne Mirror Ports nur die Broad- und Multicasts des Netzes, was dir für IDS ja herzlich wenig nützt.Auch ein Mirror Port zeigt ja immer nur einen sehr kleinen Auschnitt des netze, nämlich rein nur das was du mirrorst, niemals als das große Ganze.
Dafür brauchst du immer ein Flow basiertes Protokoll was die Infrastruktur supporten muss und das ist nunmal sFlow oder NetFlow.
Alle professionellen und Open Source IDS Systeme basieren auf sowas, da entsprechende Traffic Voluminas in größeren Netzen gar nicht anders handlebar sind.
VMs nützen eigentlich auch recht wenig und helfen nicht wirklich, da du eine Flow basierte Netzinfrastruktur damit nicht simulieren kannst.
Das Beste ist ein sFlow oder netFlow Switch oder Router für kleines Geld bei eBay ersteigern (Gibts für ein paar Euro) und dann reicht ein Raspberry Pi mit den entsprechenden Tools um viel besser und sinnvoller damit zu spielen und zu sehen wie IDS funktioniert.
Also wäre es deiner Meinung nach besser, das alles einmal real zu testen. Ich glaub ich muss mich mal mehr in diese Flow-Protokolle einlesen. Ich glaub die Switche von Cisco haben das auch implementiert. Die haben NetFlow soweit ich weiß.
Ja, Cisco, Juniper macht NetFlow. Andere wie HP, Extreme, Ruckus usw. machen sFlow.
Wenn du über IDS etwas schreibst ist das ein MUSS ! Netzwerk IDS Systeme basieren vollständig auf einem dieser beiden Flow Standards. Wenn du das nicht erwähnst wäre das ein gravierender Fehler.
Wenn du über IDS etwas schreibst ist das ein MUSS ! Netzwerk IDS Systeme basieren vollständig auf einem dieser beiden Flow Standards. Wenn du das nicht erwähnst wäre das ein gravierender Fehler.
Zitat von @aqui:
Ja, Cisco, Juniper macht NetFlow. Andere wie HP, Extreme, Ruckus usw. machen sFlow.
Wenn du über IDS etwas schreibst ist das ein MUSS ! Netzwerk IDS Systeme basieren vollständig auf einem dieser beiden Flow Standards. Wenn du das nicht erwähnst wäre das ein gravierender Fehler.
Ja, Cisco, Juniper macht NetFlow. Andere wie HP, Extreme, Ruckus usw. machen sFlow.
Wenn du über IDS etwas schreibst ist das ein MUSS ! Netzwerk IDS Systeme basieren vollständig auf einem dieser beiden Flow Standards. Wenn du das nicht erwähnst wäre das ein gravierender Fehler.
Ich hab mich jetzt mal bisschen tiefer in die Thematik eingelesen. Vor allem zu NetFlow und 'einfaches' Mirroring.
Dazu habe ich einen Text gelesen (An Overview of Flow-Based and Packet- Based Intrusion Detection Performance in High Speed Networks), in dem Packet-based und Flow-based IDS miteinander verglichen werden.
Ich glaube darauf willst du hinaus oder?
Sowie ich das verstehe, fasst NetFlow die Informationen der Pakete bis Layer 4 zusammen, wodurch man weniger Overhead hat und insgesamt weniger Ressourcen braucht, um den Traffic zu analysieren. Bei der Packet-based Analyse hat man den ganzen Payload, also bis Layer 7, der analysiert werden muss. Dadurch werden dabei mehr Ressourcen gebraucht. Packet-based bekommt man mit einer Layer 2-Switch hin, die Portmirroring beherrscht, Flow-based benötigt eine spezielle Layer 3-Switch.
Mit NetFlow ist es mir möglich, den höherem Datenaufkommen und der höheren Bandbreite Herr zu werden, während beim Mirroring dies zu Problemen führen kann, was nur mit leistungsstarker Hardware gelöst werden kann. Diese Hardware wäre zu teuer.
In meiner Bachelorarbeit möchte ich so ein System in einem Produktionsnetzwerk implementieren. Das Testen im Heimnetz dient nur zu Lernzwecken, damit ich weiß, worauf man achten muss. Nur durch meine Frage hier hab ich schon so viele Infos bekommen
Im Produktionsnetz sind aber, soweit ich bisher vermute, viel weniger Daten unterwegs, so dass ein Mirroring theoretisch funktionieren müsste. Außerdem sind hier relevante Daten in den Layern 5-7 zu finden, die das IDS ebenfalls erkennen muss, um beispielsweise Meldungen über Fehler in den Produktionsmaschinen zu melden.
Flow-based benötigt eine spezielle Layer 3-Switch.
Nein ! Simple L2 Switches können das auch.Der Switch ist ja rein nur Collector. Der sammelt also nur die Informationen bzw. Pakets. Diese schickt er dann zu einem Flow Analyzer Rechner. Der erst wertet das alles aus. Klar, denn der Switch soll ja auch "switchen" und keine langwierige Analysen machen.
Beide Verfahren NetFlow und sFlow sind Sampling Verfahren die den Inhalt ganzer Pakete analysieren also auch bis Layer 7. Durch die mitgelieferten RMON und SNMP Werte interpolieren sie diese Daten.
Mit NetFlow ist es mir möglich, den höherem Datenaufkommen und der höheren Bandbreite Herr zu werden, während beim Mirroring dies zu Problemen führen kann
Das ist richtig und der Grund dieser Protokolle. Schon in einem kleinen Netz mit 20 und mehr Clients, Server, WLAN usw. wirst du mit einer Flow Analyse mit Mirroring schon an Grenzen kommen. Zumal du ja wie gesagt an allen Ports "mirroren" musst was technisch nicht machbar ist, da die Zahl der Mirrorports begrenzt ist. Besonders bei der üblichen Billg Switchhardware, weil deren CPUs recht schmalbrüstig sind. Das hat also Grenzen und ist niemals allumfassend.Zum Testen im heimnetz reicht es aber allemal, da hast du ohne Zweifel Recht !
Nur durch meine Frage hier hab ich schon so viele Infos bekommen
Die dir dann hoffentlich helfen eine Top Note und summa cum laude zu bekommen ?! Im Produktionsnetz sind aber, soweit ich bisher vermute, viel weniger Daten unterwegs
Weniger Daten als in einem Heimnetz ???Das erkläre mal einem Netzadmin in einer Klinik mit 2000 Ports auf dem Campus wo IDS gerade ein Thema ist ! Meinst du vermutlich nicht wirklich Ernst, oder ? Wäre sonst recht weltfremd für einen Bachelor Aspiranten.
Im Netz von Klempnermeister Röhricht mit 2 PCs und Drucker hast du aber vermutlich Recht.
