Serverschutz IDS?

[Tom65A]

Hallo liebe Fachinformatiker

Ich betreibe einen kleinen RedHat Linux Server in meiner Firma. Er ist bereits mit einer guten Firewall von IPFire ausgestattet.Trotzdem will ich noch ein IDS hinzufügen. Dabei habe ich an ein host basiertes IDS gedacht. Ich hoffe ihr könnte mir eine opensource anwendung für  ein Intrusion Detection System empfehlen da ich mit diesem Thema nicht so gut auskenne.

Vielen Dank für eure Hilfe Tom

[JackInTheBox]

Hallo!

 

Ich kann dir hierfür nur wärmstens "Snort" ans Herz legen. Ist OpenSource, kostet die Firma für ein Abo der Siganturen (würde ich auf jeden Fall immer nehmen, zumal für den Preis...) 399 US$ im Jahr, wird regelmäßig upgedatet und ist durch verschiedene anbindbare Frontends (Snort selber kommt ohne GUI oder Frontend, dass muss man zwingend dazu installieren... das man in der Bash die ganzen reports und incidents nicht vernünftig auslesen kann sollte sich von selbst erklären :D) und mann auch eigene Rules konfigurieren. Die Dokumentation zu Snort ist phänomenal gut und es gibt überall Anleitungen zur Installation, Konfiguration und Administration.

Zudem ist es, je nach EInsatzszenario als HIDS, NIDS oder sogar als IPS verwendbar. Ganz nette Frontends sind Snorby, ACID, BASE (habe ich allerdings keine Erfahrungen mir) oder Sguil. Snorby ist was die web-based frontends angeht mein Favorit, wobei das echt tricky sein kann bei der Installation... das läuft mit ruby on rails und wenn da bei den gems dependencies fehlen muss man zeilen in der bash wälzen. Ist aber machbar und die Mühe wert, meiner Meinung nach. Zumal alle oben genannten frontends umsonst sind. Es gibt natürlich auch eine ganze Reihe von proprietären Tools die alles andere als günstig sein können, aber manchmal auch nicht mehr können als die kostenlosen Lösungen.

Dann gibts da noch Suricata, das ist auch gut und brauchbar. Am besten in der Distro SELKS, da ist dann gleich so ziemlich alles bei was sich das Adminherz wünscht.

SELKS: https://github.com/StamusNetworks/SELKS

Suricata standalone: https://suricata-ids.org/

Snort: https://www.snort.org/

Snorby: https://github.com/Snorby/snorby

BASE: https://sourceforge.net/projects/secureideas/

ACID: http://acidlab.sourceforge.net/

Sguil: https://bammv.github.io/sguil/index.html

 

Hoffe ich konnte etwas helfen

MfG