3
Sind IPS und Networ-Access-Control lebensnotwendig?
Moin Leute,
ich hab gerade mal wieder Werbe-Post auf meinen Schreibtisch bekommen.
Eine Firma wirbt darin für ein IPS-System, dass alle möglichen Gefahren "von innen" erkennen und ausschalten soll.
z.B.:
- Verhindert das unbemerkte Ausspionieren [...] und Löschen von Daten
- Protokolliert sämtliche Angriffsversuche
- erkennt und meldet neue Geräte, die ans Netz angeschlossen werden
- registriert Adressänderungen
usw. usw....
Nun mal meine Frage:
Verwendet Ihr solche Software?
Bzw. wo und wann seht Ihr die Notwendigkeit, so etwas einzusetzen?
Oder ist das mal wieder nur "Angst- und Bange-Macherei"...??
Danke für Eure Meinungen
Gruß CeMeNt
ich hab gerade mal wieder Werbe-Post auf meinen Schreibtisch bekommen.
Eine Firma wirbt darin für ein IPS-System, dass alle möglichen Gefahren "von innen" erkennen und ausschalten soll.
z.B.:
- Verhindert das unbemerkte Ausspionieren [...] und Löschen von Daten
- Protokolliert sämtliche Angriffsversuche
- erkennt und meldet neue Geräte, die ans Netz angeschlossen werden
- registriert Adressänderungen
usw. usw....
Nun mal meine Frage:
Verwendet Ihr solche Software?
Bzw. wo und wann seht Ihr die Notwendigkeit, so etwas einzusetzen?
Oder ist das mal wieder nur "Angst- und Bange-Macherei"...??
Danke für Eure Meinungen
Gruß CeMeNt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 68984
Url: https://administrator.de/contentid/68984
Printed on: April 20, 2024 at 10:04 o'clock
3 Comments
Latest comment
Ohne das Angebot zu kennen ist das sehr oft "Angst- und Bange-Macherei"... in der Absicht das Produkt zu verkaufen egal wie die Netzwerk Rahmenbedingungen sind. Genau davon hängt ein sinnvoller Einsatz eines IPS Systemes aber in entscheidendem Maße ab ! Das sind in der Regel alles Appliances mit SNORT drauf oder was noch schlimmer wäre einen SW auf Windows Basis... Da macht man dann den Bock zum Gärtner !!!
Ein großes Problem haben solche Anwendungen ebenfalls:
Stell dir mal vor du hast ein mittelgroßes Netzwerk, alles sauber mit VLANs segmentiert wie es sich gehört ! Nun willst du dieses IPS System installieren....
In welchem VLAN soll es denn nun bitteschön arbeiten ??? Wenn du es in eins packst dann sind 4 weitere IPS frei...das kann ja dann nicht der Sinn sein. Folglich müsstest du das IPS System 5 mal kaufen...das würde den Händler sicher freuen ist aber vollkommener Unsinn der auf der Hand liegt.
Das weitere Problem: Wie bringe ich so eine Appliance an mein geswitchtes Netzwerk. OK, normalerweise erledigen das sog. Monitorports an Switches. Das erzwingt aber managebare Switches. D.h. für Kunden die nach dem Prinzip Geiz ist geil.. ihr Netzwerk designed haben fällt dann eine sinnvolle Anwendung solcher Systeme von vorn herein aus.
Aber auch für die die es einsetzen könnten bedeutet das einen Eingriff in die Switchperformance, denn permanente Minitorports die den Traffic eines kompletten VLANs spiegeln sind niemals das Gelbe vom Ei ! Das Problem bei mehrfahcne VLANs löst der Monitorport ohnehin nicht.
Abgesehen davon kumuliert so ein Port allen Traffic. Wie soll das dann in einem GiG Netzwerk aussehen ???
Bei diesen Angeboten kann man wohl kaum davon ausgehen das deren Server 10 GiG Karten haben.... Also wird eine Skalierbarkeit auch nur sehr sehr bedingt wenn gar nicht gegeben sein.
Skalierbar sind solche IPS Lösungen in gut designeten Netzen nur mit Switchprotokollen wie NetFlow oder sFlow zur Überwachung. Etwas was Billig Lösungen schlimmerweise dann noch auf MS Basis meist nicht supporten !
Fazit: Meist eine Billigheimer Lösung für Kunden die Netze und Netzwerktechnik nicht kennen und sich mit einer (sorry..) DAU Lösung ein vermeintlich sanftes Ruhekissen erkaufen oder wenigstens denken es sich erkauft zu haben...
Nur verwendbar in dummen, flachen nicht strukturierten Layer 2 Netzwerken wo sowas außer bunten Bildchen nicht wirklich was bringt als nur dem Händler Geld. Meist durch die Monitor Port Problematik am Switch auch nur bedingt einsetzbar. Keine Lösung für strukturierte Netze ! Rausgeschmissenes Geld was man besser selber mit einem eigenen SNORT IPS Host lösen kann.
Drastisch...aber meist die Wahrheit
Ein großes Problem haben solche Anwendungen ebenfalls:
Stell dir mal vor du hast ein mittelgroßes Netzwerk, alles sauber mit VLANs segmentiert wie es sich gehört ! Nun willst du dieses IPS System installieren....
In welchem VLAN soll es denn nun bitteschön arbeiten ??? Wenn du es in eins packst dann sind 4 weitere IPS frei...das kann ja dann nicht der Sinn sein. Folglich müsstest du das IPS System 5 mal kaufen...das würde den Händler sicher freuen ist aber vollkommener Unsinn der auf der Hand liegt.
Das weitere Problem: Wie bringe ich so eine Appliance an mein geswitchtes Netzwerk. OK, normalerweise erledigen das sog. Monitorports an Switches. Das erzwingt aber managebare Switches. D.h. für Kunden die nach dem Prinzip Geiz ist geil.. ihr Netzwerk designed haben fällt dann eine sinnvolle Anwendung solcher Systeme von vorn herein aus.
Aber auch für die die es einsetzen könnten bedeutet das einen Eingriff in die Switchperformance, denn permanente Minitorports die den Traffic eines kompletten VLANs spiegeln sind niemals das Gelbe vom Ei ! Das Problem bei mehrfahcne VLANs löst der Monitorport ohnehin nicht.
Abgesehen davon kumuliert so ein Port allen Traffic. Wie soll das dann in einem GiG Netzwerk aussehen ???
Bei diesen Angeboten kann man wohl kaum davon ausgehen das deren Server 10 GiG Karten haben.... Also wird eine Skalierbarkeit auch nur sehr sehr bedingt wenn gar nicht gegeben sein.
Skalierbar sind solche IPS Lösungen in gut designeten Netzen nur mit Switchprotokollen wie NetFlow oder sFlow zur Überwachung. Etwas was Billig Lösungen schlimmerweise dann noch auf MS Basis meist nicht supporten !
Fazit: Meist eine Billigheimer Lösung für Kunden die Netze und Netzwerktechnik nicht kennen und sich mit einer (sorry..) DAU Lösung ein vermeintlich sanftes Ruhekissen erkaufen oder wenigstens denken es sich erkauft zu haben...
Nur verwendbar in dummen, flachen nicht strukturierten Layer 2 Netzwerken wo sowas außer bunten Bildchen nicht wirklich was bringt als nur dem Händler Geld. Meist durch die Monitor Port Problematik am Switch auch nur bedingt einsetzbar. Keine Lösung für strukturierte Netze ! Rausgeschmissenes Geld was man besser selber mit einem eigenen SNORT IPS Host lösen kann.
Drastisch...aber meist die Wahrheit
Uff, das hat gesessen!
Man bekommt ja fast den Eindruck, als ob Du schon mal schlechte Erfahrungen in dem Bereich gemacht hast...
Wir werden morgen unsere neuen Server / Router / Firewall / ... bekommen.
Ich werde dem Techniker das Papier mal vorlegen, und ihn fragen, wie er denn "sein" Netz in Bezug auf dieses Thema sieht.
Aber vielen Dank erstmal. (Ich denke das Anschreiben wäre sowieso im "Rund-Ordner" gelandet)...
Gruß CeMeNt
Man bekommt ja fast den Eindruck, als ob Du schon mal schlechte Erfahrungen in dem Bereich gemacht hast...
Wir werden morgen unsere neuen Server / Router / Firewall / ... bekommen.
Ich werde dem Techniker das Papier mal vorlegen, und ihn fragen, wie er denn "sein" Netz in Bezug auf dieses Thema sieht.
Aber vielen Dank erstmal. (Ich denke das Anschreiben wäre sowieso im "Rund-Ordner" gelandet)...
Gruß CeMeNt
Ja, so kann man es sehen... Viele fragen sich diese Details einfach nicht die aber für eine IPS Lösung in einem geswitchen Netzwerk essentiell wichtig sind !
Ein Switch forwardet eben nur noch Broad- und Multicasts an einen normalen Port und nicht mehr den gesamten Traffic. Damit ist dann nichts mehr zu sehen in einem Netzwerk mit Analysetools an normalen Ports, auch nicht für noch so dolle IPS Software !
Und mit einmal werden dann solche Fragen wie Monitor Ports, VLAN Monitoring usw. wichtig ! Richtig lösen mit einer sinnvollen und professionellen Lösung lässt sich das nur wenn in solchem Umfeld die Switches NetFlow oder sFlow (www.sflow.org) supporten. Allerdings muss es dann das IPS/IDS System auch machen, was gute Systeme aber können.
Dann sind wir mal gespannt auf die Antwort des Technikers...... Vermutlich aber ein Server Mann der von Netzwerken bzw. Netzwerktechnik sicher nur bedingt Ahnung aht oder das berühmte gefährliche Halbwissen...
Viele fragen sich diese Details einfach nicht die aber für eine IPS Lösung in einem geswitchen Netzwerk essentiell wichtig sind !Ein Switch forwardet eben nur noch Broad- und Multicasts an einen normalen Port und nicht mehr den gesamten Traffic. Damit ist dann nichts mehr zu sehen in einem Netzwerk mit Analysetools an normalen Ports, auch nicht für noch so dolle IPS Software !
Und mit einmal werden dann solche Fragen wie Monitor Ports, VLAN Monitoring usw. wichtig ! Richtig lösen mit einer sinnvollen und professionellen Lösung lässt sich das nur wenn in solchem Umfeld die Switches NetFlow oder sFlow (www.sflow.org) supporten. Allerdings muss es dann das IPS/IDS System auch machen, was gute Systeme aber können.
Dann sind wir mal gespannt auf die Antwort des Technikers...... Vermutlich aber ein Server Mann der von Netzwerken bzw. Netzwerktechnik sicher nur bedingt Ahnung aht oder das berühmte gefährliche Halbwissen...
