Intrusion detection system

[Mentallo2]

Moin,

mich würde mal Eure Erfahrungen in punkto IDS-Systeme interessieren.

Welche Systeme setzt Ihr ein? Was nutzt ihr zur Analyse der ermittelten Daten etc. etc. etc.

[Michelangelo]

Also IDS im eigentlichen Sinne setze ich nicht ein, aber zur iptables Logauswertung benutze ich PSAD welches mit fwsnort auch zu einem "IDS-Light" umgebaut werden kann.

[factorx]

Ein IDS für zu Hause ist ein bisschen mit Kanonen auf Spatzen geschossen. Wenn du es dennoch aufsetzen möchtest, empfehle ich dir snort. Nötig ist das aber echt nicht.

[Mentallo2]

Ein IDS für zu Hause ist ein bisschen mit Kanonen auf Spatzen geschossen. Wenn du es dennoch aufsetzen möchtest, empfehle ich dir snort. Nötig ist das aber echt nicht.

Es ging jetzt nicht explizit um private Zwecke, sondern eher um Erfahrungen. Was wird in Netzen eingesetzt und wie sind die Erfahrungen mit diesen Tools.

[factorx]

Hmm, in Unternehmensnetzen befinden sich vor allem kommerzielle Lösungen von etablierten Security Herstellern, wie Juniper, Check Point, Cisco, etcpp. im Einsatz. Von "Tools" kann man da eigentlich nicht mehr sprechen, denn diese Systeme setzen zumeist eigene (Hardware-)Appliances ein.

Erfahrungen habe ich da bisher nur mit Check Point gemacht, von daher kann ich deren IPS Lösungen weder subjektiv noch objektiv mit Konkurrenzprodukten vergleichen. Jedoch kann ich sagen, dass Check Point, was die Anomalieerkennung, die Verwaltungsmöglichkeiten und die Flexibilität angeht, schon ziemlich anständig sind.

Ich weiß ja nicht, wenn du etwas Spezielles wissen möchtest, solltest du vielleicht eine genauere Frage stellen?

[Mentallo2]

Genau Appliances haben aber ihren Preis. Ich würde gerne von Erfahrungen mit freien Tools hören. Angefangen von der Konzeptionierung/Installation bis zu der Auswertung (visuell, Reports)