Hardwarefirewall - Intrusion Detection notwendig?

[Carlos03 10]

Hallo,

 

3 Techniker sollen die Möglichkeit bekommen, von außen auf das LAN zuzugreifen.

Zunächst ist dies per VPN (IPSEC oder SSL) vorgesehen.

Es ist ein Draytek 2930 vorhanden.

 

Eine Sache macht mich nun stutzig.

 

Der Draytek 2930 hat bis jetzt gute Dienste geleistet. Leider macht die Kiste kein IDP.

Solange der Zugriff per VPN erfolgt, mag das ja auch in Ordnung sein.

 

Es kann aber sein, dass die Techniker in naher Zukunft von unterwegs auf einen IIS zugreifen.

Das ganze soll dann ohne VPN geschehen.

 

Der Zugriff soll dann über SSL (https) erfolgen.

Mit dem Draytek 2930 lassen sich eventuelle Angriffe wohl kaum loggen. Intrusion Detection macht die Kiste ja nicht.

 

Deshalb meine Frage:

 

Reicht der Draytek 2930?

Oder ist die Kiste dann nicht mehr ausreichend?

Als Alternative habe ich mir die Zyxel Zywall USG 100 und den Draytek 5300 rausgesucht.

 

Würde mich freuen, wenn mir jemand nen Tipp geben kann.

 

mfg

Carlos03

[werner008 10]

moin,

ist ne philosophiefrage das IDS / IPS zeugs - ich behaupte, wenn du ihr nicht extrem viel freizeit habt oder it security euer geschäftsfeld ist, brauchst es nicht.

 

gruß

werner

[Carlos03 10]

....., wenn du ihr nicht extrem viel freizeit habt [..], brauchst es nicht.

 

 

Naja, wenn es danach geht, dann müßte ich ja nen Speedport einsetzen. ;)

 

Aber mal im Ernst, kannst du das auch begründen?

Mit dem Draytek 2930 habe ich doch keine Möglichkeit eine IP automatisch zu sperren, wenn viele Verbindungsversuche (Pakete / sec) auftreten.

 

Das Einzige was die Kiste kann ist eine Art "DoS Abwehr".

DrayTek Vigor2930

(Firewall --> DoS-Abwehr)

Inwieweit das ausreicht, kann ich nicht beurteilen.

 

Würde mich freuen wenn noch jemand nen Tipp hat.

 

mfg

Carlos03

[werner008 10]

moin,

es gibt haufenweise flamewars für und gegen IPS systeme, da kannst du dir pro und contra raussuchen.

 

der entscheidende punkt für mich ist an einem einfach beispiel eines ssh servers bildlich greifbar: auf standardport habe ich zwischen 500 und 50.000 loginversuche am tag.

 

wenn sichere passworte / public key auth vorhanden sind, stört mich das nicht im geringsten. ein IPS könnte antworttraffic sparen durch blocken, aber der ist zu billig, als dass eine IPS gerechtfertigt wäre.

 

auf einem nicht standardport alle paar wochen mal ein paar brute force spuren, so bis 1000 logins / tag.

 

grundsätzlich gilt halt immer: was will ich schützen, wie hoch ist die angriffswahrscheinlichkeit, lücken, eintrittswahrscheinlichkeit und potenzieller schaden. anhand dessen gilt es zu entscheiden.

 

gruß

werner

[nerd 28]

Hi,

 

das hängt wesentlich von eurem Schutzbedürfnis ab. Ich für meinen Teil verwende grundsätzlich zweistuffige Firewalls wenn ich Dienste nach extern anbiete. Handelt es sich wie in deinem Fall um einen Webservice, so lohnt sich in der Regel auch ein IDS. Allerdings reichen dafür die Systeme die mit einem Router mit kommen selten aus. Es gilt ja schließlich, dass der Traffic untersucht werden muss - und der ist bei ssl nicht wirklich lesbar. Man muss also einen SSL Proxy / Endpoint in die DMZ stellen welche IDS Funktionen bietet. Die Dinger liegen jedcoh preislich auch etwas über einem Draytek...

[Carlos03 10]

Aktuell greif ich zu administrativen Zwecken ja auch per VPN auf das LAN zu.

Da ist bis heute ja auch nichts passiert.

 

Ich denke solche Konfigurationen sind ja gerade bei kleineren Unternehmen tausendfach im Einsatz.

 

Das muss natürlich nicht heißen, dass sich nicht morgen jemand an meinem Draytek versucht.

 

Das Ganze muss aber im Verhältnis stehen. Wir können keine Aplliance für 5000 Euro kaufen.

 

Das Ganze LAN besteht ja nur aus 5 Rechnern.

 

Und was soll ich eurer Meinung nach nun tun? :rolleyes:

 

mfg

Carlos03

[Windowsbetatest 10]

Hallo,

 

lass es sein oder kauft Cisco.

 

Ich habe zuhause eine 876, der kann IPS, aber ich nutze es nicht.

 

Wenn ein IPS/IDS nicht ordentlich gepflegt wird, ist es kaum sinnvoll.

 

Was nützt es dir zu wissen, gestern kann ein Angriff von diesen 100 DSL Anschlüssen mit dynamischer IP?

 

Richtig nichts, da der Angfriff morgen von anderen kommen würde.

 

Wenn man Server bzw. Webseiten hostet, kann (wird) es nützlich sein, per IDS die Angriffsart festzustellen, wenn ihr sowas nicht habt, laßt es sein und gut ist.

 

Anbei, ein IDS erkennt nur, aber unternimmt nichts.

 

mfg

[Carlos03 10]

Bei den beiden angesprochenen Geräten (Draytek 5300 und Zywall USG 100) lassen sich für das IDP die Signaturen updaten.

 

Wenn ich eure Aussagen richtig interpretiere, scheint das aber auch eher Spielerei zu sein, als eine vernünftige Lösung.

 

Also belasse ich es beim Draytek 2930!?

Derzeit sind an dem Router außer VPN auch keine Ports offen, dies soll natürlich so bleiben.

 

mfg

Carlos03

[werner008 10]

moin,

für 5 rechner ist meiner meinung nach alles über nem plastikrouter überdimensioniert... alternativ irgend ne linux firewall mit vpn funktion, aber selbst die schluckt schon mehr strom als nötig...

 

gruß

werner

 

ps: für SSL-VPN ist ne IPS komplett sinnlos, was soll denn das ding finden? willst du SSL entschlüsseln und dann loginversuche sehen? statt der appliance würd ich nen flug in ein warmes land kaufen ;-)

[Carlos03 10]

Es ging mir nicht um den Zugang per VPN sondern den Fall, dass der IIS in naher Zukunft ohne VPN erreichbar sein soll.

Für diesen Fall war die IDP gedacht.

 

Aber ich sehe schon, ich mache mir zu viele Gedanken. :)

 

mfg

Alforno

[XP-Fan 215]

lass es sein oder kauft Cisco.

 

Ich habe zuhause eine 876, der kann IPS, aber ich nutze es nicht.

 

Ah so, sollten die Leuten welchen den CISCO dann gekauft haben es dir gleich tun ?

[Stephan Betken 43]

Anstatt nur IDP wäre ein Reverse-Proxy vielleicht auch nicht verkehrt. Ab Version 8 gibt es dann bei Astaro auch den Reverse-Proxy. Die Appliance bzw. die Software kann aber noch einiges mehr.

 

Hardware-Appliance / Astaro Security Gateway / Unsere Produkte / Astaro - Astaro

Aktuell gibt es Promos, bei denen es bei ensprechender Subscriptions die Hardware kostenlos dazu gibt.

[Windowsbetatest 10]

Ah so, sollten die Leuten welchen den CISCO dann gekauft haben es dir gleich tun ?

 

Das kommt auf die jeweiligen Anforderungen an. Es war nur ein Beispiel für ein relativ günstiges Gerät, was das kann.

 

Bei mir laufen alle Angriffe am NAT gegen die Wand. Daher habe ich keinen entsprechendne Bedarf.

 

Wobei die NBAR protocol-discovery sehr interessant ist, bei mir im Umkreis, wird z.B. noch Kazaa benutzt.

 

mfg

[nerd 28]

Aber ich sehe schon, ich mache mir zu viele Gedanken. :)

 

Hi,

 

ich würd eher sagen, du machst dir zu wenig bzw. die falschen Gedanken ;)

 

Du solltest zuerst euer Schutzbedürfnis ermitteln. Es ist dabei egal ob das Netz hinter der FW 10.000 user oder 1 user hat. Wenn die Daten auf dem Webserver was wert sind, dann findet sich auch jemand, der sie klauen möchte...

 

So, wenn du dir darüber im klaren bist, dann kannst du dir Gedanken darüber machen, wie du das Ziel erreichst. Einfach nur den Port 443 von extern auf den Webserver weiterleiten ist dabei die denkbar schlechteste Lösung welche ein recht großes Angriffspotential bietet.

[XP-Fan 215]

Wobei die NBAR protocol-discovery sehr interessant ist, bei mir im Umkreis, wird z.B. noch Kazaa benutzt.

 

Dann braucht man auch über keine Sicherheitsmaßnahmen nachdenken, lohnt nicht.