Intrusion Detection im Heimnetzwerk
Moin moin liebe Leute
Ich überlege, mir zu Testzwecken ein IDS ins Heimnetzwerk zu stellen. Dies würde ich mit Security Onion probieren wollen, weil da direkt eine grafische Aufbereitung mit implementiert ist. Aber vielleicht geht es auch anders. Also eher abgespeckt direkt mit Snort, Bro oder Surricata.
Dazu habe ich aber vorab ein paar theoretische Fragen/Grundlagen, die ich vorher gerne geklärt haben würde, um alles in allem besser zu verstehen.
1. Die Switch, an die mein IDS angeschlossen wird, muss einen Spiegelport haben, damit der gesamte Netzwerktraffic an das IDS geleitet wird. Herkömmliche Heimrouter können sowas nicht, richtig? Alternativ könnte ich ein TAP nutzen und dieses an einer geeigneten Stelle im Netzwerk einbauen, oder?
2. Die Netzwerkkarte, die snifft, muss den Promiscuous Mode beherrschen, damit sie auch alle Pakete, die sie vom Spiegelport erhält, registriert und verarbeitet, oder? Läuft meine Netzwerkkarte nicht im Promiscuous Mode, würden alle Pakete, die über den Spiegelport an das IDS geschickt werden, verworfen und in die Analyse nicht mit einbezogen? Kann im Prinzip jede Netzwerkkarte in diesen Modus versetzt werden oder ist das abhängig vom Modell/Hersteller?
3. Lässt man die Hardwareressourcen einmal außen vor: Sollte man dafür eine VM nutzen oder lieber einen normalen Standalone-Rechner nutzen? Das hängt sicherlich auch mit Punkt 2 zusammen.
3.1 Kann eine VM den Traffic des gesamten Heimnetzes aufsaugen oder bleibt es im Rahmen der virtuellen Umgebung beschränkt? Normalerweise müsste es möglich sein, das gesamte 'physische' Heimnetzwerk zu sehen, sofern man die richtigen Einstellungen trifft.
Spontan wären das erstmal alle Fragen :D
Vielen Dank schon mal für eure Hilfe
Ich überlege, mir zu Testzwecken ein IDS ins Heimnetzwerk zu stellen. Dies würde ich mit Security Onion probieren wollen, weil da direkt eine grafische Aufbereitung mit implementiert ist. Aber vielleicht geht es auch anders. Also eher abgespeckt direkt mit Snort, Bro oder Surricata.
Dazu habe ich aber vorab ein paar theoretische Fragen/Grundlagen, die ich vorher gerne geklärt haben würde, um alles in allem besser zu verstehen.
1. Die Switch, an die mein IDS angeschlossen wird, muss einen Spiegelport haben, damit der gesamte Netzwerktraffic an das IDS geleitet wird. Herkömmliche Heimrouter können sowas nicht, richtig? Alternativ könnte ich ein TAP nutzen und dieses an einer geeigneten Stelle im Netzwerk einbauen, oder?
2. Die Netzwerkkarte, die snifft, muss den Promiscuous Mode beherrschen, damit sie auch alle Pakete, die sie vom Spiegelport erhält, registriert und verarbeitet, oder? Läuft meine Netzwerkkarte nicht im Promiscuous Mode, würden alle Pakete, die über den Spiegelport an das IDS geschickt werden, verworfen und in die Analyse nicht mit einbezogen? Kann im Prinzip jede Netzwerkkarte in diesen Modus versetzt werden oder ist das abhängig vom Modell/Hersteller?
3. Lässt man die Hardwareressourcen einmal außen vor: Sollte man dafür eine VM nutzen oder lieber einen normalen Standalone-Rechner nutzen? Das hängt sicherlich auch mit Punkt 2 zusammen.
3.1 Kann eine VM den Traffic des gesamten Heimnetzes aufsaugen oder bleibt es im Rahmen der virtuellen Umgebung beschränkt? Normalerweise müsste es möglich sein, das gesamte 'physische' Heimnetzwerk zu sehen, sofern man die richtigen Einstellungen trifft.
Spontan wären das erstmal alle Fragen :D
Vielen Dank schon mal für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 452697
Url: https://administrator.de/contentid/452697
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
20 Kommentare
Neuester Kommentar
Hi!
Ich überlege, mir zu Testzwecken ein IDS ins Heimnetzwerk zu stellen.
Schönes Projekt
Ich selbst kann da noch nichts konstruktives beisteuern bin aber auch interessiert. Lese mich mal in Snort ein und bin gespannt was hier für Ideen aufkommen.
Zu deinen Fragen:
1.)
Ein Spiegelport nützt dir ja nichts, denn damit siehst du ja keineswegs den gesamten Traffic des Netzes sondern immer nur den eines einzigen Ports eines Switches. Du siehst damit dann nur den Traffic dieses gespiegelten Ports und nur den, nicht den anderer Ports.
Spiegelst du also z.B. den Port deines NAS dann siehst du rein nur den Traffic der vom und zum NAS geht.
Hast du z.B. infizierte Rechner die sich dann gegenseitig untereinander mit einem Trojaner infizieren siehst du diesen Traffic z.B. nicht ! Damit wäre deine IDS Lösung dann ad absurdum geführt. Spiegelports sind also nicht wirklich die Lösung. Was du brauchst ist Switchhardware die dir einen Überklick über alle Flows in einem Netzwerk gibt !
2.)
Ja, das kann so gut wie jede Karte bzw. jeder dort verwendete Chipsatz. Jedenfalls die etwas "besseren" Chipsätze wie Intel, Broadcom und Co. Bei den Billigchipsätzen musst du aufpassen. Manche supporten es nicht bzw. die Umschlatung via Treiber ist deaktiviert. Realtek z.B. kann es aber andere supporten es nicht. Hier sollte man also vorher mal mit dem Wireshark probieren.
3.)
Die Frage kann dir keiner beantworten, denn die ist logischerweise im hohen Maße vom Traffic Volumen abhängig was du analysieren willst. Weisst du auch selber wenn du mal nachdenkst. Da du dazu keinerlei Angaben machst kann man hier auch keine Aussage treffen. Im Netz von Oma Grete mit 1 Laptop und einem Smarphone reicht dafür ganz sicher ein Raspberri_Pi.
3.1.)
Siehe Punkt 3. !
1.)
Ein Spiegelport nützt dir ja nichts, denn damit siehst du ja keineswegs den gesamten Traffic des Netzes sondern immer nur den eines einzigen Ports eines Switches. Du siehst damit dann nur den Traffic dieses gespiegelten Ports und nur den, nicht den anderer Ports.
Spiegelst du also z.B. den Port deines NAS dann siehst du rein nur den Traffic der vom und zum NAS geht.
Hast du z.B. infizierte Rechner die sich dann gegenseitig untereinander mit einem Trojaner infizieren siehst du diesen Traffic z.B. nicht ! Damit wäre deine IDS Lösung dann ad absurdum geführt. Spiegelports sind also nicht wirklich die Lösung. Was du brauchst ist Switchhardware die dir einen Überklick über alle Flows in einem Netzwerk gibt !
2.)
Ja, das kann so gut wie jede Karte bzw. jeder dort verwendete Chipsatz. Jedenfalls die etwas "besseren" Chipsätze wie Intel, Broadcom und Co. Bei den Billigchipsätzen musst du aufpassen. Manche supporten es nicht bzw. die Umschlatung via Treiber ist deaktiviert. Realtek z.B. kann es aber andere supporten es nicht. Hier sollte man also vorher mal mit dem Wireshark probieren.
3.)
Die Frage kann dir keiner beantworten, denn die ist logischerweise im hohen Maße vom Traffic Volumen abhängig was du analysieren willst. Weisst du auch selber wenn du mal nachdenkst. Da du dazu keinerlei Angaben machst kann man hier auch keine Aussage treffen. Im Netz von Oma Grete mit 1 Laptop und einem Smarphone reicht dafür ganz sicher ein Raspberri_Pi.
3.1.)
Siehe Punkt 3. !
Okay. Ich dachte wenn man....
Nicht denken sondern nachdenken... Scheinbar ist dir nicht so ganz klar wie ein Mirror Port funktioniert auf einem Switch. Man gibt immer einen Port an den man spiegeln will und dann den Port wo dieser Spiegeltraffic hingeschickt wird.
An so einem einzelnen Port liegt dann natürlich niemals der gesamte Traffic des Switches an sondern immer nur rein das was der Switch an diesem Port auch forwardet.
Du weisst ja sicherlich wie grundsätzlich ein Switch funktioniert und das er immer nur den Traffic forwardet der für die Mac Adressen bestimmt ist an seinen Ports.
Andernfalls müsstest du statt eines Switches einen alten Hub einsetzen der alles flutet aber solche Hardware gibt es schon lange nicht mehr und bekommt man allenfalls noch antik auf eBay.
muss man an jedem Port, an dem etwas angeschlossen ist, die Spiegelfunktion einstellen
Theoretisch schon aber solch ein Vorhaben wäre natürlich unsinnig wie dir selber auch einleuchtet. Damit macht man dann den Switch zu einem Hub. Das ist Performance technisch natürlich nicht skalierbar und zudem supporten Switches auch nicht unendlich viele Spiegelports.Fazit:
Was du benötigst ist ein Switch der ein Flow Detection supportet. Das sind alle Switches die den sFlow oder NetFlow Standard supporten. Sowas können heute auch einige Switches aus dem Billigsegment schon. Damit kannst du sämtliche Flows im Netz überwachen und an den Snort oder was auch immer senden.
Das kostenlose sFlowTool von Inmon ist da z.B. ein guter Helfer.
Das o.a. RasPi Tutorial hat ein paar grundlegende Infos zu dem Thema:
Netzwerk Management Server mit Raspberry Pi
Zitat von @aqui:
Andernfalls müsstest du statt eines Switches einen alten Hub einsetzen der alles flutet aber solche Hardware gibt es schon lange nicht mehr und bekommt man allenfalls noch antik auf eBay.
Andernfalls müsstest du statt eines Switches einen alten Hub einsetzen der alles flutet aber solche Hardware gibt es schon lange nicht mehr und bekommt man allenfalls noch antik auf eBay.
Und die können i.d.R nur 10BaseT, was mit modernen Geräten manchmal auch nicht mehr funktioniert.
lks
Wenn man Glück hat findet man auch noch welche mit 100BaseT. NetGear hat in den letzten Tagen der untergehenden Hubs den Consumer Markt damit geflutet.
Das Böse war hier dann aber das alle 10Mbit Ports in einer Collision Doamin waren und alle 100Mbit Ports in einer und die waren global mit einer Bridge verbunden. War dann natürlich sehr spassig wenn man zwischen einem 10 und einem 100 Mbit Port mit dem Wireshark sniffern wollte
Das Böse war hier dann aber das alle 10Mbit Ports in einer Collision Doamin waren und alle 100Mbit Ports in einer und die waren global mit einer Bridge verbunden. War dann natürlich sehr spassig wenn man zwischen einem 10 und einem 100 Mbit Port mit dem Wireshark sniffern wollte
Zitat von @ukulele-7:
Ohne davon wirklich was zu verstehen würde es nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln? Oder gehst du davon aus das auch innerhalb des Netzwerkes "eingedrungen" werden kann?
Ohne davon wirklich was zu verstehen würde es nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln? Oder gehst du davon aus das auch innerhalb des Netzwerkes "eingedrungen" werden kann?
Sehr viel Malware sucht im LAN nach verwundbaren Systemen.
lks
Ohne davon wirklich was zu verstehen
Oha...und dann machst du dich an sowas wie IDS ?! Respekt ! Vielleicht ist es aber dann doch besser du nimmst dir jemanden an die Hand der was davon versteht ?!nicht reichen den Port zwischen Switch und Router, also den Uplink des Netzes zu spiegeln?
Kann man machen, aber dann siehst du wie oben schon gesagt rein nur den Traffic der Clients ins Internet aber nicht untereinander !Aber dennoch ist das ein erster guter Ansatz und der richtige Weg, denn das zeigt dir schon wenn deine Endgeräte mit Zielen sprechen mit denen sie das eigentlich nicht sollten ! Oder auch wenn was von außen reinkommt was da eigentlich nicht hingehört.
Sehr viel Malware sucht im LAN nach verwundbaren Systemen.
Das bleibt dann natürlich bei dem "nur Internet Traffic" Ansatz auf der Strecke, da hat der Kollege LKS recht.Andersherum hat dein IDS System ja dann ein Ohr am Internet Traffic und kennt dann diese Ziel IP Adressen und Ports sowie die Daten Patterns die Malware versenden und würde dann schon Alarm schlagen.
Systeme wie z.B. der allseits bekannte Pi_Hole als DNS Filter verwenden ebenfalls solche Listen !
https://www.heise.de/select/ct/2018/11/1526783668168592
Es wäre wenigstens ein richtiger erster Ansatz um überhaupt mal ein IDS an den Start zu bringen, was ja schonmal besser als gar nix ist !!
Zitat von @aqui:
Ich hab nur mitgelesen und nachgedacht, ich mache kein IDS.Ohne davon wirklich was zu verstehen
Oha...und dann machst du dich an sowas wie IDS ?! Respekt ! Vielleicht ist es aber dann doch besser du nimmst dir jemanden an die Hand der was davon versteht ?!
Hallo sheldor, du hast die Frage zwar als gelöst markiert, habe dennoch eine Rückfrage: zu welchem Zweck möchtest du die IDS in deinem Heimnetzwerk einrichten? Du schreibst "zu Testzwecken", dann gehe ich davon aus, dass das nicht produktiv genutzt werden soll, sondern du lediglich lernen möchtest, wie ein solches System aufgebaut, eingerichtet und verwendet wird.
Wenn meine Vermutung richtig ist, empfehle ich dir dein Heimnetznerk in einer virtuellen Umgebung vollständig nachzubauen.
Bei Heimnetzwerk gehe ich hier mal von 3-4 Endgeräten aus(ohne Handys), da ist es noch machbar alle Ports zu spiegeln.
Gruß tideon
Wenn meine Vermutung richtig ist, empfehle ich dir dein Heimnetznerk in einer virtuellen Umgebung vollständig nachzubauen.
Bei Heimnetzwerk gehe ich hier mal von 3-4 Endgeräten aus(ohne Handys), da ist es noch machbar alle Ports zu spiegeln.
Gruß tideon
Theoretisch könnte ich sowas auch mit Wireshark machen
Nein, nicht wirklich, denn Wireshark zeigt dir in einem geswitchten Netzwerk ja ohne Mirror Ports nur die Broad- und Multicasts des Netzes, was dir für IDS ja herzlich wenig nützt.Auch ein Mirror Port zeigt ja immer nur einen sehr kleinen Auschnitt des netze, nämlich rein nur das was du mirrorst, niemals als das große Ganze.
Dafür brauchst du immer ein Flow basiertes Protokoll was die Infrastruktur supporten muss und das ist nunmal sFlow oder NetFlow.
Alle professionellen und Open Source IDS Systeme basieren auf sowas, da entsprechende Traffic Voluminas in größeren Netzen gar nicht anders handlebar sind.
VMs nützen eigentlich auch recht wenig und helfen nicht wirklich, da du eine Flow basierte Netzinfrastruktur damit nicht simulieren kannst.
Das Beste ist ein sFlow oder netFlow Switch oder Router für kleines Geld bei eBay ersteigern (Gibts für ein paar Euro) und dann reicht ein Raspberry Pi mit den entsprechenden Tools um viel besser und sinnvoller damit zu spielen und zu sehen wie IDS funktioniert.
Flow-based benötigt eine spezielle Layer 3-Switch.
Nein ! Simple L2 Switches können das auch.Der Switch ist ja rein nur Collector. Der sammelt also nur die Informationen bzw. Pakets. Diese schickt er dann zu einem Flow Analyzer Rechner. Der erst wertet das alles aus. Klar, denn der Switch soll ja auch "switchen" und keine langwierige Analysen machen.
Beide Verfahren NetFlow und sFlow sind Sampling Verfahren die den Inhalt ganzer Pakete analysieren also auch bis Layer 7. Durch die mitgelieferten RMON und SNMP Werte interpolieren sie diese Daten.
Mit NetFlow ist es mir möglich, den höherem Datenaufkommen und der höheren Bandbreite Herr zu werden, während beim Mirroring dies zu Problemen führen kann
Das ist richtig und der Grund dieser Protokolle. Schon in einem kleinen Netz mit 20 und mehr Clients, Server, WLAN usw. wirst du mit einer Flow Analyse mit Mirroring schon an Grenzen kommen. Zumal du ja wie gesagt an allen Ports "mirroren" musst was technisch nicht machbar ist, da die Zahl der Mirrorports begrenzt ist. Besonders bei der üblichen Billg Switchhardware, weil deren CPUs recht schmalbrüstig sind. Das hat also Grenzen und ist niemals allumfassend.Zum Testen im heimnetz reicht es aber allemal, da hast du ohne Zweifel Recht !
Nur durch meine Frage hier hab ich schon so viele Infos bekommen
Die dir dann hoffentlich helfen eine Top Note und summa cum laude zu bekommen ?! Im Produktionsnetz sind aber, soweit ich bisher vermute, viel weniger Daten unterwegs
Weniger Daten als in einem Heimnetz ???Das erkläre mal einem Netzadmin in einer Klinik mit 2000 Ports auf dem Campus wo IDS gerade ein Thema ist ! Meinst du vermutlich nicht wirklich Ernst, oder ? Wäre sonst recht weltfremd für einen Bachelor Aspiranten.
Im Netz von Klempnermeister Röhricht mit 2 PCs und Drucker hast du aber vermutlich Recht.