11
IDS IPS-Lösungen Erfahrungen
Hallo,
weil das Thema gerade bei mir im Hause hoch aktuell ist, wollte ich mal in die Runde fragen, was bei euch anderen im Einsatz ist und was die Erfahrungen mit den Systemen sind?
Es ist schwierig die Systeme miteinander zu vergleichen und eine Auswahl zu treffen. Manche haben weniger Features als andere, oder verfolgen ein ganz anderes Konzept. Dazu kommt noch das man in einem geeigneten Zeitrahmen kaum bis gar keine Übersicht oder Testerfahrungen gewinnen kann, da alles nur über Teststellungen geht. Bis man etwas verwertbares erhält und sich durch das Marketing-Blabla gewühlt hat, vergehen mitunter Monate.
Aber ganz verzichten kann man eigentlich nicht mehr drauf, selbst mit den präventiven Maßnahmen werden die Angriffe immer schneller und ausgefeilter. Das Problem was ich sehe, hat man sich einmal entschieden, ist das wie ein Vertrag auf Lebenszeit.
Wir haben bisher zwei Systeme getestet:
Hat jemand andere Systeme im Einsatz und kann berichten? Hat jemand Erfahrungen zu Sentinel One, Mandiant, Fortinet FortiGuard, Checkpoint, Cisco Stealthwatch?
Grüße
weil das Thema gerade bei mir im Hause hoch aktuell ist, wollte ich mal in die Runde fragen, was bei euch anderen im Einsatz ist und was die Erfahrungen mit den Systemen sind?
Es ist schwierig die Systeme miteinander zu vergleichen und eine Auswahl zu treffen. Manche haben weniger Features als andere, oder verfolgen ein ganz anderes Konzept. Dazu kommt noch das man in einem geeigneten Zeitrahmen kaum bis gar keine Übersicht oder Testerfahrungen gewinnen kann, da alles nur über Teststellungen geht. Bis man etwas verwertbares erhält und sich durch das Marketing-Blabla gewühlt hat, vergehen mitunter Monate.
Aber ganz verzichten kann man eigentlich nicht mehr drauf, selbst mit den präventiven Maßnahmen werden die Angriffe immer schneller und ausgefeilter. Das Problem was ich sehe, hat man sich einmal entschieden, ist das wie ein Vertrag auf Lebenszeit.
Wir haben bisher zwei Systeme getestet:
- Snort - ohne Subscriber-Rules quasi nicht verwendbar, da sonst der Verwaltungsaufwand zu hoch ist, häufige False-Positive Meldungen. Als reines IDS in Kombination mit Traffic-Visualisierung bekommt man schon einen guten Überblick, dafür nicht schlecht, aber ist doch sehr statisch.
- Darktrace - eigene Hardware Appliance. KI-Unterstützt. Sehr transparent integrierbar. Skalierbarkeit im Netz eigentlich ok, VMsensoren sind kostenlos. Großer Nachteil: Kann nur mit Mirroring TAP eingebunden werden, keine richtige Mail-Secruity und wenn dann nur für Google/Exchange, Kosten.
Hat jemand andere Systeme im Einsatz und kann berichten? Hat jemand Erfahrungen zu Sentinel One, Mandiant, Fortinet FortiGuard, Checkpoint, Cisco Stealthwatch?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7176826661
Url: https://administrator.de/contentid/7176826661
Printed on: April 27, 2024 at 22:04 o'clock
11 Comments
Latest comment
Wir hatten IPS/IDS in unserer UTM Firewall von LANCOM/Rhode&Schwarz. Hat klaglos funktioniert.
Wenn ihr bereits eine UTM habt, kann man diese ggf. erweitern.
Wenn Du schon SNORT kennst, schau Dir mal Surricata an.
Gruß
Looser
Wenn ihr bereits eine UTM habt, kann man diese ggf. erweitern.
Wenn Du schon SNORT kennst, schau Dir mal Surricata an.
Gruß
Looser
1
Moin,
wir haben folgende Hersteller im Einsatz:
Wobei die Firewalls immer nur den groben Schmutz abfangen sollen und evtl. Zero Day Exploits zu entgehen. Ausschließlich Signaturen von den jeweiligen Herstellern. Alles andere Regeln wir an den Web Application Firewalls (WAFs) im Detail und da auch mit benutzerdefinierten Regeln.
Gruß,
Dani
wir haben folgende Hersteller im Einsatz:
- Barracuda NG Firewall
- Fortinet
- Palo Alto
Wobei die Firewalls immer nur den groben Schmutz abfangen sollen und evtl. Zero Day Exploits zu entgehen. Ausschließlich Signaturen von den jeweiligen Herstellern. Alles andere Regeln wir an den Web Application Firewalls (WAFs) im Detail und da auch mit benutzerdefinierten Regeln.
Gruß,
Dani
1
IPS läuft bei uns integriert über eine Watchguard - IDS über IRMA mit Anbindung an einen Kontaktschalter für Alarmierungen.
Die Watchguard bestand schon vorher als klassische Firewall, aufgrund des BSI und deren Vorgaben kam anschließend noch die IRMA hinzu. Die Einrichtung war aber relativ überschaubar. Inbetrieb nehmen, eine Weile scannen und anschließend die bekannten Einträge bestätigen.
So lernt das System.
Die Watchguard bestand schon vorher als klassische Firewall, aufgrund des BSI und deren Vorgaben kam anschließend noch die IRMA hinzu. Die Einrichtung war aber relativ überschaubar. Inbetrieb nehmen, eine Weile scannen und anschließend die bekannten Einträge bestätigen.
So lernt das System.
1
Im OpenSource Bereich steht auf jeden Fall nochmal ein Test von Surricata+Zeek an.
Was mich derzeit scheut, sind die immensen Kosten. Keine Frage, Sicherheit kann schon Geld kosten, aber irgendwo muss es ja auch im vertretbaren Rahmen bleiben und erstmal erwirtschaftet werden.
Die Lösung von Darktrace ruft derzeit 4€ pro dauerhafter Einheit (IP-Adressen von Rechnern, Geräten, Servern, etc.) auf und wäre ein autarkes System. Allerdings mit den genannten Nachteilen und vier Jahre Vertragsbindung.
Wenn das BSI soetwas empfiehlt, gibt es da auch eine Liste von Systemen die da ebenfalls in diesem Zuge genannt werden?
Was mich derzeit scheut, sind die immensen Kosten. Keine Frage, Sicherheit kann schon Geld kosten, aber irgendwo muss es ja auch im vertretbaren Rahmen bleiben und erstmal erwirtschaftet werden.
Die Lösung von Darktrace ruft derzeit 4€ pro dauerhafter Einheit (IP-Adressen von Rechnern, Geräten, Servern, etc.) auf und wäre ein autarkes System. Allerdings mit den genannten Nachteilen und vier Jahre Vertragsbindung.
Wenn das BSI soetwas empfiehlt, gibt es da auch eine Liste von Systemen die da ebenfalls in diesem Zuge genannt werden?
Laut unserem Stand (wir haben beim BSI nachgefragt), können/dürfen Sie uns kein System empfehlen, sie haben uns aber viel Glück bei der Umsetzung gewünscht.
Wie bereits gesagt, nutzen wir hier das System von Videc - Kostenpunkt ca. 10k € pro Jahr.
https://videc.de/produkte/irma-cybersecurity-risikomanagement-intrusion- ...
Ob sinnvoll oder nicht sei mal dahin gestellt. Bei uns leider Vorgabe und wir mussten das umsetzen.
Open Source werfe ich mal noch Wazuh in den Raum. Auch hier lässt sich einiges auslesen.
Wie bereits gesagt, nutzen wir hier das System von Videc - Kostenpunkt ca. 10k € pro Jahr.
https://videc.de/produkte/irma-cybersecurity-risikomanagement-intrusion- ...
Ob sinnvoll oder nicht sei mal dahin gestellt. Bei uns leider Vorgabe und wir mussten das umsetzen.
Open Source werfe ich mal noch Wazuh in den Raum. Auch hier lässt sich einiges auslesen.
1Zitat von @techSmile:
Laut unserem Stand (wir haben beim BSI nachgefragt), können/dürfen Sie uns kein System empfehlen, sie haben uns aber viel Glück bei der Umsetzung gewünscht.
Wie bereits gesagt, nutzen wir hier das System von Videc - Kostenpunkt ca. 10k € pro Jahr.
https://videc.de/produkte/irma-cybersecurity-risikomanagement-intrusion- ...
Ob sinnvoll oder nicht sei mal dahin gestellt. Bei uns leider Vorgabe und wir mussten das umsetzen.
Open Source werfe ich mal noch Wazuh in den Raum. Auch hier lässt sich einiges auslesen.
Laut unserem Stand (wir haben beim BSI nachgefragt), können/dürfen Sie uns kein System empfehlen, sie haben uns aber viel Glück bei der Umsetzung gewünscht.
Wie bereits gesagt, nutzen wir hier das System von Videc - Kostenpunkt ca. 10k € pro Jahr.
https://videc.de/produkte/irma-cybersecurity-risikomanagement-intrusion- ...
Ob sinnvoll oder nicht sei mal dahin gestellt. Bei uns leider Vorgabe und wir mussten das umsetzen.
Open Source werfe ich mal noch Wazuh in den Raum. Auch hier lässt sich einiges auslesen.
10k pro Jahr liest sich ja noch sehr gut. Wie groß seit ihr ungefähr? Nur als Anhaltspunkt.
Derzeit würde wir beim Angebot von Darktrace 100k pro Jahr bezahlen bei über 2000 Geräten.
Hier wird nicht nach Anzahl der Clients lizenziert, sondern nach gespiegeltem Port im jeweiligen Netz.
Derzeit haben wir 148 Assets im System, also noch relativ überschaubar.
Derzeit haben wir 148 Assets im System, also noch relativ überschaubar.
1Zitat von @techSmile:
Hier wird nicht nach Anzahl der Clients lizenziert, sondern nach gespiegeltem Port im jeweiligen Netz.
Derzeit haben wir 148 Assets im System, also noch relativ überschaubar.
Hier wird nicht nach Anzahl der Clients lizenziert, sondern nach gespiegeltem Port im jeweiligen Netz.
Derzeit haben wir 148 Assets im System, also noch relativ überschaubar.
Das ist schon eher ein Lizenzmodell das mir gefällt. Also wenn man pro Standort am Core den kompletten Traffic spiegelt, z.B. 5 Standorte, bezahlt man 50k pro Jahr und es ist egal wieviele Rechner sich dabei im Netz tummeln. Das finde ich ok.
Danke für den Tipp mit Wazuh, das sieht sehr vielversprechend aus. Werde testen.
Zitat von @Fenris14:
Das ist schon eher ein Lizenzmodell das mir gefällt. Also wenn man pro Standort am Core den kompletten Traffic spiegelt, z.B. 5 Standorte, bezahlt man 50k pro Jahr und es ist egal wieviele Rechner sich dabei im Netz tummeln. Das finde ich ok.
Das ist schon eher ein Lizenzmodell das mir gefällt. Also wenn man pro Standort am Core den kompletten Traffic spiegelt, z.B. 5 Standorte, bezahlt man 50k pro Jahr und es ist egal wieviele Rechner sich dabei im Netz tummeln. Das finde ich ok.
Falsch, bei den 10K pro Jahr handelt es sich um zwei Ports - ergo 5k pro Port/Jahr
Danke für den Tipp mit Wazuh, das sieht sehr vielversprechend aus. Werde testen.
Für unsere Office-IT sehr zu empfehlen, der Client wird einfach per MSI gepusht. Über das Webinterface können dann verschiedene Daten ausgelesen und auch Alarme definiert werden.
Nur mal als weiterführende Info für diejenigen die es interessiert: Nachdem ich Suricata+Zeek und Wazuh installiert hatte, war ich vorallem bei der ersten Kombi etwas erschlagen von der Unübersichtlichkeit. Ich habe dann die json von Suricata im Wazuh auswerten lassen, dann wurde es etwas übersichtlicher. Aber es war immer noch das Grauen. Viel zu viele Informationen, die dann im Endeffekt auch sinnlos sind, weil da jeder kleiner Pups gemeldet wurde und im Endeffekt ganz normales Verhalten war.
Man hätte jetzt noch weitere Auswerte-Tools hinzuziehen müssen, wie Kibana/Elasticsearch um besser nach den wirklich brauchbaren Infos suchen zu können. Aber das ist aufwendig.
Durch Zufall bin ich dann auf Security Onion 2 gestoßen. Das eigentlich alle diese Tools fertig in einer Linux-Distro anbietet. Open Source. Zur freien Verwendung ohne Lizensierung. Prinzipiell ist das die Minimal-Anforderung für Thread Hunting für Lau. Was man da geboten bekommt ist schon nicht schlecht, dafür das man nichts bezahlen muss. Derzeit habe ich den Evaluierungs-Modus am Laufen und es zeigt nach wie vor viele False-Positives an, jedoch werden diese wesentlich besser aufbereitet. Es ist ein NIDS und derzeit wird auch keine Prevention-Komponente supportet.
Man hätte jetzt noch weitere Auswerte-Tools hinzuziehen müssen, wie Kibana/Elasticsearch um besser nach den wirklich brauchbaren Infos suchen zu können. Aber das ist aufwendig.
Durch Zufall bin ich dann auf Security Onion 2 gestoßen. Das eigentlich alle diese Tools fertig in einer Linux-Distro anbietet. Open Source. Zur freien Verwendung ohne Lizensierung. Prinzipiell ist das die Minimal-Anforderung für Thread Hunting für Lau. Was man da geboten bekommt ist schon nicht schlecht, dafür das man nichts bezahlen muss. Derzeit habe ich den Evaluierungs-Modus am Laufen und es zeigt nach wie vor viele False-Positives an, jedoch werden diese wesentlich besser aufbereitet. Es ist ein NIDS und derzeit wird auch keine Prevention-Komponente supportet.
2