20
Mitarbeiternotebook mit OSSEC+ überwachen
Hallo,
unsere ca. 280Mitarbeiter, die vermutlich auch "nach Corona" remote arbeiten werden, haben noch - aus historischen Gründen - immer noch Admin-Rechte am eigenen Notebook. Dieses dezentrale und instransparente Struktur würde wir gerne sicherheitstechnisch etwas mehr "im Griff" haben.
(Zumindest sollten wir rechtzeitig wissen wenn etwas schief geht. Wir gehen davon aus, dass die MItarbeiter bestimmte Art von Angriff möglicherweise gar nicht merken und so gar nicht melden ... )
Was Viren und Sonstiges betrifft läuft Sophos Antivirus auf den Clients, sollte gegen üblichen Bedrohungen OK sein.
Was wir bräuchten wäre eine Art Endpoint Security und Monitoring Lösung.
Wir haben aktuell schon zwei Angebote was kostenpflichtige Lösungen betrifft:
- Netmotion Mobility Complete
- Forticlient EPP / APT
Diese Lösungen sind natürlich primär Enterprise-VPN-Lösungen mit einem zusätzlichen Security Layer.
eine 3 Option wäre noch OSSEC+ ELK: https://medium.com/devoops-and-universe/ossec-and-elk-as-an-unified-secu ...
Dazu hätten wir die folgenden Fragen:
#1 wie weit kann OSSEC mit den Sicherheitsfunktionen von prop. Lösungen wie z. B. die von Forticlient verglichen werden? Eher eine Alternative oder eine Ergänzung?
#2 sind die Rulesets von OSSEC ausreichend oder sind diese zwangsläufig an die eigenen Gegebenheiten noch anzupassen?`
#3 Wie aufwändig ist es so ein OSSEC Server zu betreiben? Müssen wir für die Auswertung der Logs / Alerts jemanden einplanen oder sind die Meldungen des Servers soweit zuverlässig und verständlich?
#4 Gegen welche Bedrohungen setzt ihr OSSEC+ ein?
Vielen Dank für eure Meinungen und Rückmeldungen.
JoFla
unsere ca. 280Mitarbeiter, die vermutlich auch "nach Corona" remote arbeiten werden, haben noch - aus historischen Gründen - immer noch Admin-Rechte am eigenen Notebook. Dieses dezentrale und instransparente Struktur würde wir gerne sicherheitstechnisch etwas mehr "im Griff" haben.
(Zumindest sollten wir rechtzeitig wissen wenn etwas schief geht. Wir gehen davon aus, dass die MItarbeiter bestimmte Art von Angriff möglicherweise gar nicht merken und so gar nicht melden ... )
Was Viren und Sonstiges betrifft läuft Sophos Antivirus auf den Clients, sollte gegen üblichen Bedrohungen OK sein.
Was wir bräuchten wäre eine Art Endpoint Security und Monitoring Lösung.
Wir haben aktuell schon zwei Angebote was kostenpflichtige Lösungen betrifft:
- Netmotion Mobility Complete
- Forticlient EPP / APT
Diese Lösungen sind natürlich primär Enterprise-VPN-Lösungen mit einem zusätzlichen Security Layer.
eine 3 Option wäre noch OSSEC+ ELK: https://medium.com/devoops-and-universe/ossec-and-elk-as-an-unified-secu ...
Dazu hätten wir die folgenden Fragen:
#1 wie weit kann OSSEC mit den Sicherheitsfunktionen von prop. Lösungen wie z. B. die von Forticlient verglichen werden? Eher eine Alternative oder eine Ergänzung?
#2 sind die Rulesets von OSSEC ausreichend oder sind diese zwangsläufig an die eigenen Gegebenheiten noch anzupassen?`
#3 Wie aufwändig ist es so ein OSSEC Server zu betreiben? Müssen wir für die Auswertung der Logs / Alerts jemanden einplanen oder sind die Meldungen des Servers soweit zuverlässig und verständlich?
#4 Gegen welche Bedrohungen setzt ihr OSSEC+ ein?
Vielen Dank für eure Meinungen und Rückmeldungen.
JoFla
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3280088701
Url: https://administrator.de/forum/mitarbeiternotebook-mit-ossec-ueberwachen-3280088701.html
Ausgedruckt am: 12.04.2025 um 09:04 Uhr
20 Kommentare
Neuester Kommentar
Tach,
also, solange viele da noch immer Admin-Rechte auf den Rechnern haben braucht man sch um weitere Security kaum Gedanken machen. Ich würde es als zwingend erachten, das erst mal zu ändern.
Kreuzberger
also, solange viele da noch immer Admin-Rechte auf den Rechnern haben braucht man sch um weitere Security kaum Gedanken machen. Ich würde es als zwingend erachten, das erst mal zu ändern.
Kreuzberger
Hallo Kreuzberger,
ja, Admin-Rechte sind sicherlich der "Elefant im Raum".
Ich werde das Thema nochmals ansprechen, ob wir diese schlechte Praxis irgendwie einschränken könnten: eventuell nur für bestimmte Abteilungen?
Eine Alternative wäre, dass die User, die nicht ohne erhöhte Berechtigungen "leben" können, einen 2. lokalen User bekommen:
Mit dem Domainuser für die alltägliche Arbeit hätten sie keine Adminrechte fürs Notebook, dafür hätten sie einen 2. (lokalen) User, der nur fürs Notebook Berechtigungen hat. So etwas wäre möglicherweise akzeptiert und wäre auf jeden Fall sicherer als stets mit Admin-Rechten zu arbeiten.
JoFla
ja, Admin-Rechte sind sicherlich der "Elefant im Raum".
Ich werde das Thema nochmals ansprechen, ob wir diese schlechte Praxis irgendwie einschränken könnten: eventuell nur für bestimmte Abteilungen?
Eine Alternative wäre, dass die User, die nicht ohne erhöhte Berechtigungen "leben" können, einen 2. lokalen User bekommen:
Mit dem Domainuser für die alltägliche Arbeit hätten sie keine Adminrechte fürs Notebook, dafür hätten sie einen 2. (lokalen) User, der nur fürs Notebook Berechtigungen hat. So etwas wäre möglicherweise akzeptiert und wäre auf jeden Fall sicherer als stets mit Admin-Rechten zu arbeiten.
JoFla
Das macht so gar keinen Sinn.
Wenn es Dienstgeräte sind, sollten die User ALLE zwingend nur einen AD Account ohne Adminrechte haben, es sei denn es ist ein Admin.
Wenn du Lokale weitere Accounts einrichtest, dann kann dir ständig unerwünschte Schadsoftware, umlizensierte Software oder schlicht unerwünschte Software (Spiele für den Junior) drohen. Das kann man nicht administrieren und nicht verwalten.
Es sollte für Dienstrechner nur eine Whitelist geben, was da drauf sein darf, alles andere kommt weg.
Kreuzberger
Wenn es Dienstgeräte sind, sollten die User ALLE zwingend nur einen AD Account ohne Adminrechte haben, es sei denn es ist ein Admin.
Wenn du Lokale weitere Accounts einrichtest, dann kann dir ständig unerwünschte Schadsoftware, umlizensierte Software oder schlicht unerwünschte Software (Spiele für den Junior) drohen. Das kann man nicht administrieren und nicht verwalten.
Es sollte für Dienstrechner nur eine Whitelist geben, was da drauf sein darf, alles andere kommt weg.
Kreuzberger
Zitat von @JosephusFlavius:
Mit dem Domainuser für die alltägliche Arbeit hätten sie keine Adminrechte fürs Notebook, dafür hätten sie einen 2. (lokalen) User, der nur fürs Notebook Berechtigungen hat.
Mit dem Domainuser für die alltägliche Arbeit hätten sie keine Adminrechte fürs Notebook, dafür hätten sie einen 2. (lokalen) User, der nur fürs Notebook Berechtigungen hat.
Hallo,
"lokalen User nur fürs Notebook"? Also wenn jetzt Nutzer Adminrechte haben müssen, sollten das Domain-User sein, die nur auf dem persönlichen Rechner lokale Adminrechte haben. Mit zwei Nutzern zu arbeiten ist sinnvoll, um eine echte Nutzertrennung anstelle der UAC zu haben; das sind dann aber auch beides Domain-User.
Es ist nicht ganz klar, was du erreichen willst, wo der Schwerpunkt liegt. Im SIEM-Bereich kommen zahlreiche weitere Produkte in Betracht, für HIDS würde ich zu moderneren Projekten tendieren, wie wazuh, oder zumindest einer Appliance wie OSSIM, auch wenn sie der Kombination mit ELK unterlegen ist. Der OSSEC-Agent ist zur Überwachung mobiler Rechner praktisch nicht geeignet, weil er schlecht mit wechselnden IPs zurecht kommt.
Grüße
Richard
Guten Morgen
Mache eine GPO die den Usern die Admin-Rechte entzieht und, wenn sie jemand braucht ..... zuerst eine ausreichende schriftliche Begründung .... beim Chef 😂
Mache eine GPO die den Usern die Admin-Rechte entzieht und, wenn sie jemand braucht ..... zuerst eine ausreichende schriftliche Begründung .... beim Chef 😂
Vielen Dank für eure Rückmeldungen.
#1 Admin-Berechtigungen:
- ich werde das Thema nochmals ansprechen und vorschlagen, dass Admin-Berechtigungen extra freigegeben werden sollen.
- als Alternative schlage ich vor, dem normalen Domainuser die Admin-Rechte aufm lokalen Maschine zu entziehen. Dafür bekommen sie einen 2. Domainuser mit Admin-Rechten.
#2 @c.r.s, vielen Dank Richard für den Hinweis mit den wechselnden IP Adressen.
Wir werden nach Alternativen schauen. Ich denke dieser Artikel bietet einen guten Überblick:
https://www.dnsstuff.com/de/hostbasierte-intrusion-detection-systeme#ges ...
JoFla
#1 Admin-Berechtigungen:
- ich werde das Thema nochmals ansprechen und vorschlagen, dass Admin-Berechtigungen extra freigegeben werden sollen.
- als Alternative schlage ich vor, dem normalen Domainuser die Admin-Rechte aufm lokalen Maschine zu entziehen. Dafür bekommen sie einen 2. Domainuser mit Admin-Rechten.
#2 @c.r.s, vielen Dank Richard für den Hinweis mit den wechselnden IP Adressen.
Wir werden nach Alternativen schauen. Ich denke dieser Artikel bietet einen guten Überblick:
https://www.dnsstuff.com/de/hostbasierte-intrusion-detection-systeme#ges ...
JoFla
Moin JosephusFlavius
du kannst nicht beliebig irgend welchen Usern Admin-Rechte geben, egal ob im AD oder lokal. Wenn du sowas machst ist dein Netzwerk für dich als Admin unadministrierbar, weil jeder dieser „Admins“ dir ins Handwerk pfuschen kann.
Schliesslich ist es auch arbeitsrechtlich ein Riesen Problem.
Wenn dir zb einer dieser lokalen Admins eine Raubkopie auf sein Notebook installiert bist DU!!! erst einmal der Verantwortliche. Wenn mit dieser Software dann auch noch Betriebsdaten erzeugt werden, kann kein weiterer mit den Daten etwas anfangen.
ganz abgesehen von irgendwelchen Spielen für den Junior zuhause auf Dienstrechnern.
Egal was du da mit welcher Software noch zusätzlich überwachen möchtest. Mach deiner Geschäftsführung klar, dass Adminrechte nur du und IT Kollegen haben sollten und dürfen, nicht einmal die Geschäftsführung.
Eine weitere „Überwachung“ darf sich nur auf die Technik beziehen, niemals auf User. Auch hier bekommst du Probleme mit dem Arbeitsrecht. Das muss genau recherchiert werden, was in deinem Unternehmen gemacht werden darf, und was nicht.
Kreuzberger
du kannst nicht beliebig irgend welchen Usern Admin-Rechte geben, egal ob im AD oder lokal. Wenn du sowas machst ist dein Netzwerk für dich als Admin unadministrierbar, weil jeder dieser „Admins“ dir ins Handwerk pfuschen kann.
Schliesslich ist es auch arbeitsrechtlich ein Riesen Problem.
Wenn dir zb einer dieser lokalen Admins eine Raubkopie auf sein Notebook installiert bist DU!!! erst einmal der Verantwortliche. Wenn mit dieser Software dann auch noch Betriebsdaten erzeugt werden, kann kein weiterer mit den Daten etwas anfangen.
ganz abgesehen von irgendwelchen Spielen für den Junior zuhause auf Dienstrechnern.
Egal was du da mit welcher Software noch zusätzlich überwachen möchtest. Mach deiner Geschäftsführung klar, dass Adminrechte nur du und IT Kollegen haben sollten und dürfen, nicht einmal die Geschäftsführung.
Eine weitere „Überwachung“ darf sich nur auf die Technik beziehen, niemals auf User. Auch hier bekommst du Probleme mit dem Arbeitsrecht. Das muss genau recherchiert werden, was in deinem Unternehmen gemacht werden darf, und was nicht.
Kreuzberger
Hallo,
Snort in der DMZ und Suricata im LAN oder ähnliches?
PRTG für alle Geräte mit Alarmen oder, oder , oder......
Aktivitäten gemeldet die sonst so nicht vorgesehen sind bzw. vorkommen. Das kann man natürlich Zuhause
bei den MAs nicht so sagen!
Dobby
unsere ca. 280Mitarbeiter, die vermutlich auch "nach Corona" remote arbeiten werden, haben noch -
Ok, habt Ihr dort auch schon etwas womit Ihr dann überwacht und oder sichert?Snort in der DMZ und Suricata im LAN oder ähnliches?
PRTG für alle Geräte mit Alarmen oder, oder , oder......
eine 3 Option wäre noch OSSEC+ ELK: https://medium.com/devoops-and-universe/ossec-and-elk-as-an-
unified-secu ...
OSSec ist ein IDS System das auf dem Host arbeitet!unified-secu ...
#1 wie weit kann OSSEC mit den Sicherheitsfunktionen von prop. Lösungen wie z. B. die von
Forticlient verglichen werden? Eher eine Alternative oder eine Ergänzung?
Du vergleichst hier gerade ein IDS System mit einer VPN Software.Forticlient verglichen werden? Eher eine Alternative oder eine Ergänzung?
#2 sind die Rulesets von OSSEC ausreichend oder sind diese zwangsläufig an die eigenen Gegebenheiten
noch anzupassen?`
Das Verhalten Deiner Hosts ist Dir ja in der Firma bekannt und es werden dann eigentlich ungewöhnlichenoch anzupassen?`
Aktivitäten gemeldet die sonst so nicht vorgesehen sind bzw. vorkommen. Das kann man natürlich Zuhause
bei den MAs nicht so sagen!
#3 Wie aufwändig ist es so ein OSSEC Server zu betreiben?
Wie bei den anderen IDS / IPS Systemen nur das die Sensoren nun per Software auf dem Host selber sind.#4 Gegen welche Bedrohungen setzt ihr OSSEC+ ein?
Zusätzlich zu Snort und Suricata auf den Hosts (PCs und einige Server)Dobby
Zitat von @108012:
Ok, habt Ihr dort auch schon etwas womit Ihr dann überwacht und oder sichert?
Snort in der DMZ und Suricata im LAN oder ähnliches?
PRTG für alle Geräte mit Alarmen oder, oder , oder......
Snort in der DMZ und Suricata im LAN oder ähnliches?
PRTG für alle Geräte mit Alarmen oder, oder , oder......
Wir sind gerade dabei all das auszubauen, daher meine Fragerei ...
eine 3 Option wäre noch OSSEC+ ELK: https://medium.com/devoops-and-universe/ossec-and-elk-as-an-
unified-secu ...
OSSec ist ein IDS System das auf dem Host arbeitet!unified-secu ...
Ok, Danke!
#1 wie weit kann OSSEC mit den Sicherheitsfunktionen von prop. Lösungen wie z. B. die von
Forticlient verglichen werden? Eher eine Alternative oder eine Ergänzung?
Du vergleichst hier gerade ein IDS System mit einer VPN Software.Forticlient verglichen werden? Eher eine Alternative oder eine Ergänzung?
beide Programversionen bieten mehr als VPN. Im Sinne von SASE bieten sie Endpoint-Security
#3 Wie aufwändig ist es so ein OSSEC Server zu betreiben?
Wie bei den anderen IDS / IPS Systemen nur das die Sensoren nun per Software auf dem Host selber sind.Mit welcher Teamgröße hält ihr eure Combo von OSSEC, SNORT und SURICATA am laufen? Wie viele PT hat die Inbetriebnahme / Finetuning so in Anspruch genommen?
#4 Gegen welche Bedrohungen setzt ihr OSSEC+ ein?
Zusätzlich zu Snort und Suricata auf den Hosts (PCs und einige Server)Mein aktueller Ansatz wäre so etwas umzusätzen. Wäre - von Funktionalität her - mit eurem System vergleichbar:
https://www.elastic.co/de/blog/improve-security-analytics-with-the-elast ...
Solche Überwachungsmöglichkeiten bräuchten wir eigentlich wegen zwei Problembereiche:
#1 Angriffe mit krimineller Absichten
1. Botnetze
2. Verschlüsselungstrojaner
3. Illegale Zugriffe auf Netswerk von innen und außen
#2 Problem der Infrastruktur
1. wir würden gerne Probleme in den Logs entdecken bevor Hosts ausfallen
2. Datenbanken nicht erreicht werden
usw.
Das Problem ist, dass unser Nagios-Monitoring die Probleme erst reaktiv meldet. Wir haben nicht die Möglichkeit proaktiv zu reagieren.
Mit welchem Aufwand wertet ihr die Alerts aus? Habt ihr einen 24/7 Team oder habt ihr das Thema auf die übliche "Öffnungszeiten" beschränkt?
JoFla
Zitat von @JosephusFlavius:
Wir werden nach Alternativen schauen. Ich denke dieser Artikel bietet einen guten Überblick:
https://www.dnsstuff.com/de/hostbasierte-intrusion-detection-systeme#ges ...
Wir werden nach Alternativen schauen. Ich denke dieser Artikel bietet einen guten Überblick:
https://www.dnsstuff.com/de/hostbasierte-intrusion-detection-systeme#ges ...
Von den 8 "Top HIDS Tools" sind 4 keine HIDS nach konventionellem Verständnis: Papertrail, ME Log Analyzer, Splunk und Snort. Letzteres natürlich als NIDS; die anderen sind reine SIEMs (Splunk dies auch nur mit heftig bepreistem Addon oder gleichwertiger Eigenleistung des Nutzers, ansonsten Log-Management).
Ein HIDS ist insofern "Host-based", als dass eine Software auf dem Endpunkt eine Ereignis/Reaktions-Logik abbilden kann.
Ein Log-Management sammelt nur die Ereignisse auf einem zentralen Server, und ein SIEM wiederum kann diese Logs mit Security-Fokus korrelieren, anreichern (Threat-Intelligence) und Aktionen/Alarme generieren - aber eben Server-seitig.
Je nach Auslegung und Bündelung der Features sind die Grenzen natürlich fließend. Aber man muss sich klar werden, worauf genau eigentlich Wert gelegt wird, um die Produkte abwägen zu können. In deiner Situation würde ich auch z.B. Crowdstrike in Betracht ziehen.
Hallo nochmal,
Server gestützten AV Schutz auf allen PCs und Servern
aktuelle Backups
IDS/IPS im LAN und der DMZ
ProxyServer mit AV
Mitarbeiterschulungen
USB Ports gesperrt (auch Mechanisch)
WLAN Controller für die APs
gestapelte Switche mit MacSec "on"
HIDS/IDS/IPS (Sensoren und Server)
Radius Server mit Zertifikaten für WLAN/LAN/DMZ
"abraucht". 10 C im Serverraum sind 20 C im Rack und ca. ~30 C im Gerät!!! Bei ca. 33 C
werden die meisten Sensoren (Werkseinstellungen) aktiv! Also 5 C im Serverraum kosten
zwar mehr Strom aber man hat für die gesamte Hardware etwas Reserve. (Nur als Beispiel)
Wir nehmen PRTG dafür und sind damit gut bedient.
Elastic & Kibana für das Netzwerk
um Alarme per SMS an die Admins zu senden. PRTG kann das auch für Snort, APC USVs und Kentix
Sensoren. Einen Snort server mittels SMS Servertools nachzurüsten ist jetzt auch nicht so das Problem
und da es mittlerweile auch genug Hardware mit SIM Kartenslot und miniPCIe und/oder M.2 Slot gibt
sollte man da schon etwas zusammen bauen können, nur mittels PRTG geht eben noch mehr.
Alarme gehabt. Macht aber auch jeder anders.
Dobby
beide Programversionen bieten mehr als VPN. Im Sinne von SASE bieten sie Endpoint-Security
Ok dann würde ich wohl eher dazu tendieren wollen, bezüglich Eures Vorhabens.1. Botnetze
2. Verschlüsselungstrojaner
UTM am WAN2. Verschlüsselungstrojaner
Server gestützten AV Schutz auf allen PCs und Servern
aktuelle Backups
IDS/IPS im LAN und der DMZ
ProxyServer mit AV
Mitarbeiterschulungen
USB Ports gesperrt (auch Mechanisch)
3. Illegale Zugriffe auf Netswerk von innen und außen
LDAPWLAN Controller für die APs
gestapelte Switche mit MacSec "on"
HIDS/IDS/IPS (Sensoren und Server)
Radius Server mit Zertifikaten für WLAN/LAN/DMZ
1. wir würden gerne Probleme in den Logs entdecken bevor Hosts ausfallen
Dann auch mal die Hardware vorher austauschen und nicht so lange benutzen bis Sie"abraucht". 10 C im Serverraum sind 20 C im Rack und ca. ~30 C im Gerät!!! Bei ca. 33 C
werden die meisten Sensoren (Werkseinstellungen) aktiv! Also 5 C im Serverraum kosten
zwar mehr Strom aber man hat für die gesamte Hardware etwas Reserve. (Nur als Beispiel)
Wir nehmen PRTG dafür und sind damit gut bedient.
2. Datenbanken nicht erreicht werden
usw.
PRTG für die Geräteusw.
Elastic & Kibana für das Netzwerk
Das Problem ist, dass unser Nagios-Monitoring die Probleme erst reaktiv meldet. Wir haben nicht
die Möglichkeit proaktiv zu reagieren.
PRTG arbeitet mit sehr vielen "Sachen" zusammen und kann das SMS Gateway von Kentix mitbenutzendie Möglichkeit proaktiv zu reagieren.
um Alarme per SMS an die Admins zu senden. PRTG kann das auch für Snort, APC USVs und Kentix
Sensoren. Einen Snort server mittels SMS Servertools nachzurüsten ist jetzt auch nicht so das Problem
und da es mittlerweile auch genug Hardware mit SIM Kartenslot und miniPCIe und/oder M.2 Slot gibt
sollte man da schon etwas zusammen bauen können, nur mittels PRTG geht eben noch mehr.
Mit welchem Aufwand wertet ihr die Alerts aus?
PRTG und demnächst noch zusätzlich Elasticsearch & Kibana, mono und logtash für das Netzwerk.Habt ihr einen 24/7 Team oder habt ihr das Thema auf die übliche "Öffnungszeiten" beschränkt?
Wir bekommen Alarme per SMS und eMail und es ist immer jemand anwesend (IT) der reagieren kann.Mit welcher Teamgröße hält ihr eure Combo von OSSEC, SNORT und SURICATA am laufen?
300 MA im Haupthaus, und je 100 MA in drei Niederlassungen.Wie viele PT hat die Inbetriebnahme / Finetuning so in Anspruch genommen?
Wir haben das Stück für Stück und rule für rule gemacht und von daher fast keine False / PositiveAlarme gehabt. Macht aber auch jeder anders.
Dobby
Hallo Dobby,
vielen Dank für deine detaillierten Antworten.
Bezüglich eurer Teamgröße sind 600 Personen wirklich nur das IT Team oder die Gesamtanzahl der Mitarbeiter?
Meine Frage hat sich eher auf das Team bezogen, das OSSEC, SNORT, SURICATA als das gesamte ITSEC-Monitoring aufgesetzt und konfiguriert hat bzw. die Ergebnisse auswertet ...
JoFla
vielen Dank für deine detaillierten Antworten.
Bezüglich eurer Teamgröße sind 600 Personen wirklich nur das IT Team oder die Gesamtanzahl der Mitarbeiter?
Meine Frage hat sich eher auf das Team bezogen, das OSSEC, SNORT, SURICATA als das gesamte ITSEC-Monitoring aufgesetzt und konfiguriert hat bzw. die Ergebnisse auswertet ...
JoFla
Hallo,
widmen bzw. dafür zuständig sind.
OSSec ist auf den PCs und Servern, Snort in der DMZ und Suricata im LAN aktiv.
Das wird ausgewertet und das in regelmäßigen unregelmäßigen Abständen, also einmal in der Woche
im Monat usw....... (Mehr möchte ich dazu hier auch nicht erzählen)
Dobby
Bezüglich eurer Teamgröße sind 600 Personen wirklich nur das IT Team oder die Gesamtanzahl der Mitarbeiter?
Mitarbeiter!Meine Frage hat sich eher auf das Team bezogen,
Darf ich öffentlich nicht nennen!das OSSEC, SNORT, SURICATA als das gesamte ITSEC-Monitoring aufgesetzt und konfiguriert hat
bzw. die Ergebnisse auswertet ...
Wir haben für mehrere Aufgabenbereiche einen oder mehrere Admins die sich dann diesem Beschäftigungsfeldbzw. die Ergebnisse auswertet ...
widmen bzw. dafür zuständig sind.
OSSec ist auf den PCs und Servern, Snort in der DMZ und Suricata im LAN aktiv.
Das wird ausgewertet und das in regelmäßigen unregelmäßigen Abständen, also einmal in der Woche
im Monat usw....... (Mehr möchte ich dazu hier auch nicht erzählen)
Dobby
Hallo Dobby,
vielen Dank!
Noch zwei-drei technischen Fragen?
1. hat sich die Netzwerkauslastung wahrnehmbar erhöht, nachdem alle Clients und Server (auch via VPN) zentral geloggt haben?
2. habt ihr eure Auswertung DSGVO-konform machen können? Ich meine damit, dass jeder nur die zugelassenen Daten sehen kann (Jeder Projektleiter nur das eigene Projekt). Gemäß Konzeption hätten auch wir Admins nicht auf alle Daten Berechtigungen nur auf die der Infrastruktur ... Ist es mit euren Tools möglich diese Zugriffe z. B. mit AD-Gruppen zu steuern. Bei ELK wäre es z. B. auf Kibana-Filter ...
LG
JoFla
vielen Dank!
Noch zwei-drei technischen Fragen?
1. hat sich die Netzwerkauslastung wahrnehmbar erhöht, nachdem alle Clients und Server (auch via VPN) zentral geloggt haben?
2. habt ihr eure Auswertung DSGVO-konform machen können? Ich meine damit, dass jeder nur die zugelassenen Daten sehen kann (Jeder Projektleiter nur das eigene Projekt). Gemäß Konzeption hätten auch wir Admins nicht auf alle Daten Berechtigungen nur auf die der Infrastruktur ... Ist es mit euren Tools möglich diese Zugriffe z. B. mit AD-Gruppen zu steuern. Bei ELK wäre es z. B. auf Kibana-Filter ...
LG
JoFla
Hallo,
- Als wir MacSec bei den Switchen (gestapelt) angeschaltet haben
- Als wir den Radius Server mit dem Zertifikat und der Verschlüsselung in Betrieb genommen haben.
- Als wir anfingen die Sensoren am Switch anzubringen (Monitorport / Mirrorport)
Die Admins die dafür zuständig sind, haben Zugriff auf die IDS Server und kein anderer.
Ist zwar für den Notfall vorgesehen aber mehr kann ich dazu auch nicht sagen.
Dobby
1. hat sich die Netzwerkauslastung wahrnehmbar erhöht, nachdem alle Clients und Server (auch via VPN)
zentral geloggt haben?
Die Last wurde dreimal "richtig gut" erhöht.zentral geloggt haben?
- Als wir MacSec bei den Switchen (gestapelt) angeschaltet haben
- Als wir den Radius Server mit dem Zertifikat und der Verschlüsselung in Betrieb genommen haben.
- Als wir anfingen die Sensoren am Switch anzubringen (Monitorport / Mirrorport)
Die Admins die dafür zuständig sind, haben Zugriff auf die IDS Server und kein anderer.
Ist zwar für den Notfall vorgesehen aber mehr kann ich dazu auch nicht sagen.
Dobby
Danke!
hier werden also nur zugelassene MAC akzeptiert und dies wird gelogg?
(Bei uns kommen Geräte, die nicht im AD sind automatisch in einem 2. Netz. Ich denke dies ist irgendwie ein vergleichbarer Ansatz ... )
Du meinst hier wohl Suricata (LAN) und Snort (DMZ), oder?
Die Admins die dafür zuständig sind, haben Zugriff auf die IDS Server und kein anderer.
Ja, wir wollen eine Art "Service" ausbauen. Die Logs sollen auch den einzelnen Projekten zu Gute kommen. Ich meine damit natürlich nicht die Rohdaten sondern den Zugriff auf dei von uns eingerichtetet Filter / Charts. Wenn wir es nicht so granuliert hinkriegen, muss eine etwas andere Konzpetion her.
JoFla
- Als wir MacSec bei den Switchen (gestapelt) angeschaltet haben
hier werden also nur zugelassene MAC akzeptiert und dies wird gelogg?
(Bei uns kommen Geräte, die nicht im AD sind automatisch in einem 2. Netz. Ich denke dies ist irgendwie ein vergleichbarer Ansatz ... )
- Als wir den Radius Server mit dem Zertifikat und der Verschlüsselung in Betrieb genommen haben.
- Als wir anfingen die Sensoren am Switch anzubringen (Monitorport / Mirrorport)
Du meinst hier wohl Suricata (LAN) und Snort (DMZ), oder?
Die Admins die dafür zuständig sind, haben Zugriff auf die IDS Server und kein anderer.
Ja, wir wollen eine Art "Service" ausbauen. Die Logs sollen auch den einzelnen Projekten zu Gute kommen. Ich meine damit natürlich nicht die Rohdaten sondern den Zugriff auf dei von uns eingerichtetet Filter / Charts. Wenn wir es nicht so granuliert hinkriegen, muss eine etwas andere Konzpetion her.
JoFla
Du meinst hier wohl Suricata (LAN) und Snort (DMZ), oder?
Genau, Snort ist in der DMZ "stand alone" und Suricata im LAN.hier werden also nur zugelassene MAC akzeptiert und dies wird gelogg?
(Bei uns kommen Geräte, die nicht im AD sind automatisch in einem 2. Netz. Ich denke dies ist irgendwie ein
vergleichbarer Ansatz ... )
MacSec bedeutet dass die Daten "verschlüsselt" über den Switch gehen und somit nicht kompromittiert(Bei uns kommen Geräte, die nicht im AD sind automatisch in einem 2. Netz. Ich denke dies ist irgendwie ein
vergleichbarer Ansatz ... )
werden können und/oder man kann dann auch nicht mehr sniffen.
Dobby
Zitat von @108012:
MacSec bedeutet dass die Daten "verschlüsselt" über den Switch gehen und somit nicht kompromittiert
werden können und/oder man kann dann auch nicht mehr sniffen.
werden können und/oder man kann dann auch nicht mehr sniffen.
Cool, interessant. Welche Art von Logs werden da generiert? Was kannst du aus diesem verschlüsseltem "Grundrauschen" auswerten? Oder melden die Switche wenn nicht authentifizierte Geräte mit ihren (unverschlüsselten) Paketen entdeckt worden sind?
Als wir den Radius Server mit dem Zertifikat und der Verschlüsselung in Betrieb genommen haben.
Verschlüsselt dies die Netzwerkinternen-Authentifizierungsprozesse? Verhindert es entsprechend Analysen z. B. mit Wireshark? Wie kann ich mir es in der Praxis vorstellen?
Cool, interessant.
MacSecWelche Art von Logs werden da generiert?
3 mal wenn man denn möchte, kommt aber auch immer darauf an.- MacSec "on" aber logs auf einen USB Stick schreiben oder einen Logserver (USB)
- MacSec "on" aber mittels NMS300 (Netgear) Verwaltungssoftware für Netgear Geräte loggt mit
- die Logfiles über den Sensor vom Monitor Port eines Switches, endet aber auf dem Snort Server
Was kannst du aus diesem verschlüsseltem "Grundrauschen" auswerten?
Nichts, das ist aber auch der tiefere Sinn von MacSec dass dort eben niemand mitlesen (sniffen) kann!Außer dem Admin, via NMS300, USB Loggingfunktion und/oder IDS am Monitorport
Oder melden die Switche wenn nicht authentifizierte Geräte mit ihren (unverschlüsselten) Paketen
entdeckt worden sind?
Funktioniert hier nicht!entdeckt worden sind?
- LDAP für Kabel gebundene Klienten
- Nicht benutzte Ports werden abgeschaltet (Green Energy Mode)
- RadiusServer mit Zertifikat für LAN und WLAN Geräte! Der Switchport unterstützt mehrfach Auth,
und verhindert somit das man ein Gerät einfach so einsteckt!
Verschlüsselt dies die Netzwerkinternen-Authentifizierungsprozesse?
Das sind hier zwei Sachen von denen wir Reden!- MacSec (der Datenverkehr im Switch bzw. Stack)
- Radis und LDAP im LAN/WLAN
Verhindert es entsprechend Analysen z. B. mit Wireshark?
Also niemand außer dem Admin kann dann den Netzwerkverkehr zu sehen bekommen! Er kann nichtmit sniffen. Aber die Logfiles können A.) ausgewertet werden und B.) verdächtige Aktivitäten per IDS
festgestellt werden. Ist der Monitor port aktiviert, wird dort über diesen einzigen Port alles was über
den Switch "geht" unverschlüsselt drüber kopiert. Das kann man dann so oder so mitloggen.
Wie kann ich mir es in der Praxis vorstellen?
Man bildet einen Switch Stapel (Stack im Ring) und legt die VLANs an, aktiviert MacSec und eventuell dieMonitorports an denen die Sensoren lauschen sollen. Man nimm via NMS300 alle Netzwerkgeräte von
Netgear in die Software mit auf und loggt dort auch (unverschlüsselt)
Dobby
Hallo Dobby,
vielen Dank für deine ausführliche Antworten.
Du hast uns entscheidend weitergeholfen.
LG
JoFla
vielen Dank für deine ausführliche Antworten.
Du hast uns entscheidend weitergeholfen.
LG
JoFla
