Hallo zusammen,

ich bin momentan auf der Suche nach einer IDS Lösung (z.b snort). Nun stellen sich allerdings folgende Fragen für mich:

- bremst eine IDS den/die Webserver aus ? Wenn ja, ab wann - bzw. wie ist das feststellbar

- falls die IDS ausbremst, was bleiben für Möglichkeiten - z.b. ein IDS Cluster aufbauen ?

- macht es sinn, auf jedem Webserver einzeln eine IDS Software zu installieren oder macht es nur sinn, wenn die ids eigenständig auf eigener hardware vor den webservern läuft ?

für jeden tipp bin ich dankbar


mfg
jan

(1) Ja. Ob feststellbar hängt vom jeweiligen Anwendungsfall ab.
(2) Seperater IDS - der muss allerdings ausreichend dimenstioniert sein...
(3) Kommt drauf an. Genaueres lässt sich mit den bisher gelieferten Fakten nicht sagen.

hallo,


(1) Ja. Ob feststellbar hängt vom jeweiligen Anwendungsfall ab.
(2) Seperater IDS - der muss allerdings ausreichend dimenstioniert sein...
(3) Kommt drauf an. Genaueres lässt sich mit den bisher gelieferten Fakten nicht sagen.


Momentan sind 4 Server in Betrieb
1x Web (apache)
1x Mail (imap,pop3)
1x static-storage (hochgeladene dateien der community mitglieder)
1x mysql db server

je nach wachstum der seite bekommt der webserver über kurz oder lang unterstützung.

meine frage ist dahin gehend, ob man pauschal irgendwas festmachen kann - z.b. das eine einzelne IDS hardware nur für bspw. 5000 gleichzeitige user ausgelegt ist.


brauchst du sonst noch irgendwelche daten ?

Hängen die Server alle im Internet oder ist eine Firewall vorgeschaltet (also ein ded. kleines und abgeschottetes Netz)?

Budget? Ansprüche?

Die Leistungsfähigkeit geht eigentlich mehr nach Duchsatz, nicht nach Userzahlen...

die server stehen alle in einem großen rechenzentrum. über einen cisco router wurden firewall regeln definiert


SSH -> auf alle
HTTP(S) -> web-server
SMTP/IMAP -> mail-server
Alle zu einer bestehenden Verbindung gehörenden Pakete werden zugelassen
Alle Pakete auf einen Port > 1023 von einem der RZ-Nameserver (udp) werden
zugelassen
Alles andere wird blockiert.

SQL und Static-Storage Server hängen hinter dem Webserver und somit nicht am Internet


Meine Ansprüche sind, dass die User der Seite keine fürchterlichen Geschwindigkeitseinbussen haben.

Weiters habe ich gelesen, dass manche ids dazu übergehen, weitere pakete einfach so ungefiltert durchlassen, wenn keine ressourcen zur 'überprüfung' da sind ?!

die server stehen alle in einem großen rechenzentrum. über einen cisco router wurden firewall regeln definiert
Es ist nach aussen hin also nur eine öff. IP zu sehen, die Server haben ein eigenes, privates Subnetz?

Also:


Unet -> Router/Firewall -> Switch -> Server
oder

Inet -> Router/Firewall -> Server1
-> Server2
-> Server3
-> Server4
?


[...]SQL und Static-Storage Server hängen hinter dem Webserver und somit nicht am Internet
das hiesst konkret?


Meine Ansprüche sind, dass die User der Seite keine fürchterlichen Geschwindigkeitseinbussen haben.
Wie fürchterlich ist "fürchterlich"?

Und warum willst Du ein IDS? Was soll es machen? Was erwartest Du Dir davon?

Einige der vorgehenden Fragen hast Du auch noch nicht zu 100% beantwortet...

Hallo,
1.ja nach aussenhin nur eine ip

2.damit ist gemeint, dass der SQL und der Storage nur über das interne netz angebunden sind

3. mit fürchterlich meine ich geschwindigkeitseinbußen > 15-20%

4. meine Erwartung ist ein zusätzliches Sicherheits+

5. hinsichtlich budget würde ich lieber auf eine vernünftige hardware + opensource lösung zurückgreifen, anstatt eine teure appliance.

gruß
jan

5. hinsichtlich budget würde ich lieber auf eine vernünftige hardware + opensource lösung zurückgreifen, anstatt eine teure appliance.

Wenn Du ein IDS mit OpenSource business-ready realisieren willst rechne mal einen monat für Einarbeitung, Verstehen der rules, Anpassen der Rules, Verstehen der Updateprozesse, ...

Ausserdem bringt ein IDS IMO so gut wie nichts - es sagt dir lediglich:
Rechner XY hat "warscheinlich" Attacke Z versucht.

Ich würde entweder:
a) ein IPS integrieren, das nicht nur loggt sondern diese Attacken blockt
b) die Zeit und das Geld in eine Verbesserung der Updateprozesse und Absicherung der Serverbetriebssysteme stecken.

b) ist mein Favorit, bringt dir warscheinlich viel mehr an Sicherheit.

mfg
cane

[QUOTE=marce;1598451]Es ist nach aussen hin also nur eine öff. IP zu sehen, die Server haben ein eigenes, privates Subnetz?

Also:


Unet -> Router/Firewall -> Switch -> Server
[QUOTE]

Aha, amerikanische Tastatur *g* ?!

@Thread:

Ein paar Punkte(keine Kritik, nur Ergaenzung):

Die Regeln verstehen und anpassen und updaten (oinkmaster).
Preprozessor RTFM!1elf

Die Frage ist, ob mod_security hier vielleicht ausreicht.
Welche Ansprueche werden an die Sicherheit gestellt?

Und warum soll ein gutes Update Konzept gegen die Installation von Security Software "getauscht" werden? Das Update Konzept sollte es
bereits geben :ugly:

Und wenn schon Snort, dann sollte es nicht auf der gleichen Maschine loggen.

@cane
Snort z.B. kann auch antworten. (das 'taggt' nicht nur) Ausserdem holt es eine Menge an Standard Angriffen/Obskuren Zugriffen heraus. Vermute
du gehst von wenig Zeit/Budget/Lust fuer Investionen fuer Security aus?


Gruss 403

Nein, nur vertippt. Knapp daneben ist eben auch vorbei.

Ein IDS kann schon ein mehr an Sicherheit bieten - wenn man damit umgehen kann. Es erfordert aber auch die Möglichkeit und den Willen, die daraus gemachten Erkenntnisse in die Software oder die Firewall umzusetzen. Beides ist nicht so recht ohne...

Ob man rein auf detection oder auch auf prevention setzt - Geschmacksache. Auch hier sollte man aber wieder wissen, was man tut ansonsten fällt die nächste Traffic-Abrechnung etwas niedirger aus und die Userzahlen streben gegen 0, bei etwas Pech inklussive dem Admin :-)

Ein I[DP]S ist auf jeden Fall nichts, was man "einfach so" mal nebenbei aufsetzt - idealerweise betriebt man es lange parallel zu den Livesystemen im Test- und Optimierungsbetrieb bevor man es Live nimmt. Ebenso am besten auf einem separaten System, welches nur dafür da ist und sonst nichts tut - und je nach Trafficmenge braucht man dafür dann eine recht ordentliche Maschine und einen potenten Switch...

Ob der Aufwand, den man in Einrichtung und Betrieb eines solchen Systems stecken muss den Nutzen rechtfertigt - kommt auf den Einzelfall drauf an, vermutlich ist es aber in 90% aller Fälle nicht so...

@marce

wie sind deine meinungen denn zu fertigen appliances ?

Ich gehe mal davon aus, dass die Handhabung wesentlich einfacher sein wird, als eine Lösung wie z.b mit snort.

Meine Sorge ist jedoch der Datendurchsatz / Belastbarkeit dieser Maschinen, wie ich bereits schon mehrfach angesprochen habe.

Es bringt nicht gerade viel, wenn eine IDS/IPS das Bottleneck im ganzen System darstelt.


viele rüße

Wenn Du ein IDS mit OpenSource business-ready realisieren willst rechne mal einen monat für Einarbeitung, Verstehen der rules, Anpassen der Rules, Verstehen der Updateprozesse, ...

Einen Monat einarbeitung halte ich für einigermaßen realistisch - ich hab' sowas selbst gerade gemacht.

Ich gehe mal davon aus, dass die Handhabung wesentlich einfacher sein wird, als eine Lösung wie z.b mit snort.
Handhabung etc. sind auch bei snort (zu einem fertigen IDS gehören ja auch noch ein paar andere Komponenten) nicht so übermäßig schwer - das Problem ist die Meldungen zu verstehen bzw. die Ahnung zu haben, das IDS an deine Infrastruktur anzupassen.
Sonst stehst du bis zu den Knien in false-positives oder schaltetst halt Dinge bei der Erkennung ab, die du eigentlich sehen willst.

Es bringt nicht gerade viel, wenn eine IDS/IPS das Bottleneck im ganzen System darstelt.
Naja, so fürchterlich anspruchsvoll ist zumindest Snort nicht *). Du hast allerdings auch noch nicht ein einziges Leistungsdatum deines Webservers genannt - also ists schwer, da was genaueres zu zu sagen.


Wo (und vor allem wie?) hattest du denn überhaupt dran gedacht, das IDS ans Nezwerk anzubinden? Wenn das Ding nämlich wie beschrieben auf dem Webserver läuft, siehst du nur den Traffic von und zum Webserver, den der anderen Maschinen nicht.



*)wenn man nicht auf die Idee kommt, ihn direkt nach mySql loggen zu lassen, dafür gibt's Barnyard.

*)wenn man nicht auf die Idee kommt, ihn direkt nach mySql loggen zu lassen, dafür gibt's Barnyard.


Das geht auch ohne Barnyard mit Postgres und mit OpenSSL :ugly: *g*

@MiGo: Ich habe zum DIDS geraten. + remotelogging Damit ist der SPOF weg.

Gruss 403

eine aussage zur auslastung des webservers kann ich nicht nennen , da das projekt erst jetzt bald an den start gehen wird.

es ist aber davon auszugehen, dass über kurz oder lang mehrere server inkl load balancer her müssen

daher meine frage ob es besser ist, auf jeden einzelnen webserver nen snort laufen zu lassen, anstatt ne einzelne maschine wo snort drauf läuft, die dann nachher alles bremsen würde

Eine ded. IDS bremst das restliche System nicht aus - es ist evtl. nur nicht in der Lage, alle Pakete zu verarbeiten und man verliert somit dann an Informationen.

Ein IDS auf jedem System jedoch kann die Einzel-Systeme ausbremsen - es kommt aber immer auf den Einzelfall an.

Fertige Appliances basieren oft auch auf OS-Lösungen, packen meist "nur" noch eine GUI drumherum und bieten eben garantierte (jedenfalls bei seriösen Herstellern) Durchsatzzahlen und Features, die man selbst nicht so einfach hinbekommt. Die Einarbeitungszeit hast Du damit auch (wie von MiGo schon angedeutet). Das Regelwerk an sich ist auch nicht so das Problem, da gibt es sehr gute vorgefertigte - nur wie alles vorgefertigte passt es meist nicht so 100% zum geforderten Einsatzfall (siehe auch SEL, AppArmor, mod_security).

also arbeiten ids/ips systeme generell nach dem prinzip "wenn keine ressourcen mehr frei sind, alls andere ungefiltert durchlassen" ?

"Filtern" tun IDS eh nicht (IPS nur "begrenzt" - wenn man das Filtern nennen will) - aber ansonsten, ja.

das is natürlich auch nich sinn und zweck.

wie machen die major websites das denn ?

ids/ips cluster ?

Von "gar nicht" bis hin zu Spezialhardware.

Budget?

das thema scheint recht interessant.

habt ihr vorschläge für gute appliances zum thema I"P"S, die in einem angemessen p/l - verhältnis sind ( 2000-4000€)

In dem Preisrahmen wirst Du glaube ich nur PC-Systeme mit entsprechender OS-Software finden.

Reine Appliances für den produktiven Einsatz (Juniper, Cisco, Nortel, ...) liegen "ein wenig" drüber - ist aber schon ein bisserl her, dass ich mich damit beschäftigt habe...