IDS notwendig?

Rund um die Sicherheit des Systems und die Applikationen
bjunix
Posts: 24
Joined: 2005-09-12 19:00

IDS notwendig?

Post by bjunix » 2005-09-15 12:58

Hallo,

nochmal das thema IDS.

Ich bin gerade dabei mich über IDS im generellen schlau zumachen. Nun bin ich mir aber unsicher ob ich ein umfangreiches IDS überhaupt benötige. Sowie ich das mitbekommen habe wird es hauptsächlich in größeren Netzwerken eingesetzt.

Ich betreibe einen root server privat und möchte nun kommerziell einen Shop mit osCommerce aufsetzen. Daher mache ich mir Sorgen über die Sicherheit. Inwieweit würde ich ein IDS benötigen. Ich denke es reicht aus die LogFiles zu anaylieren und eventuelle änderungen aufzudecken.
Ein Packetsniffer finde ich etwas übertrieben.

Wollte mir aber noch andere Meinungen einholen.

grüße bjunix

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: IDS notwendig?

Post by captaincrunch » 2005-09-15 13:38

Nun bin ich mir aber unsicher ob ich ein umfangreiches IDS überhaupt benötige. Sowie ich das mitbekommen habe wird es hauptsächlich in größeren Netzwerken eingesetzt.
Nicht unbedingt "nur" in "größeren", viel eher in solchen Netzen, die erhöhten Schutz benötigen.
Daher mache ich mir Sorgen über die Sicherheit.
Wie sieht denn dein sonstiges Sicherheitskonzept aus? Bist du wirklich schon so weit, dass du dich statt Prävention auf Dinge konzentrieren kannst, die zwar warnen können, es dann aber u.U. schon zu spät ist?
Ein Packetsniffer finde ich etwas übertrieben.
Wobei ein IDS auch noch ein wenig mehr ist als ein einfacher Paketsniffer. ;)

Ich betreibe zwar ein IDS (Prelude) auf einem Server, aber eher aus Neugierde und um ein wenig über die ganzen Kiddies schmunzeln zu können. Viel mehr Sinn macht ein IDS auf einem Rootie IMHO nicht, es sei denn, man will mit aller Gewalt CPU-Zyklen "verbraten". ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: IDS notwendig?

Post by lord_pinhead » 2005-09-15 15:58

bjunix wrote: Ich betreibe einen root server privat und möchte nun kommerziell einen Shop mit osCommerce aufsetzen. Daher mache ich mir Sorgen über die Sicherheit. Inwieweit würde ich ein IDS benötigen. Ich denke es reicht aus die LogFiles zu anaylieren und eventuelle änderungen aufzudecken.
Ein Packetsniffer finde ich etwas übertrieben.
Also mit ein Webshop würde ich mir schonmal zuerst gedanken machen wie ich den Apache absichere. Snort und Prelude dienen nur zur Einbrucherkennung, teilweiße könnte ich aber damit auch Verbindungen blockieren, ist aber nicht Sinn eines IDS. Ich nutze Prelude auf meinen Root um zu sehen mit welchen Mitteln die Versuchen zu kommen, daraus kann man dann auch neue Regeln bauen. Möchtest du allerdings das nie etwas passiert, dann ist vorarbeit von nöten. Neben dem durchsuchen von dem Forum hier, solltest du dir noch für Apache mod_rewrite ansehen (%20 und co. gleich damit sperren) und mod_security (Regeln für mod_sec), nachlesen wie man den Apachen Chrootet und was noch wichtig ist, das du ein Kernel mit GRSec hast und vielleicht RSBAC. Alleine die beiden Programme benötigen lange bis man sich darin wirklich auskennt :)

Btw.: Was willst du für ne Shopsoftware nutzen? Schonmal Gedanken gemacht?
Last edited by lord_pinhead on 2005-09-15 17:55, edited 1 time in total.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: IDS notwendig?

Post by captaincrunch » 2005-09-15 17:28

Lord_Pinhead wrote:Btw.: Was willst du für ne Shopsoftware nutzen? Schonmal Gedanken gemacht?
bjunix wrote:und möchte nun kommerziell einen Shop mit osCommerce aufsetzen
;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: IDS notwendig?

Post by lord_pinhead » 2005-09-15 18:00

Hoppla überlesen :D thx cc

Ok, osCommerce würde ich nicht gerade verwenden. Das Projekt wird nicht mehr weitergeführt und um osc ohne Register Globals zu nutzen ist ein bischen Arbeit nötig den Hack einzubauen. Ich bin da mehr der Fan von XTCommerce geworden. Kostet auch nix und hat mehr Features. Ausserdem hab ich bisher keine Exploits dafür gesehen, und mit mod_sec und mod_rewrite dürfte da Crossite Scripting auch relativ unmöglich sein.

prickelpit
Posts: 36
Joined: 2003-10-21 13:59

Re: IDS notwendig?

Post by prickelpit » 2005-09-15 21:37

Lord_Pinhead wrote:Das Projekt wird nicht mehr weitergeführt
Hä, wie kommst du denn darauf?
Ausserdem hab ich bisher keine Exploits dafür gesehen
Bei aktuellen Release von OSCommerce ist mir aber auch keiner bekannt.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: IDS notwendig?

Post by lord_pinhead » 2005-09-15 21:56

Prickelpit wrote:
Lord_Pinhead wrote:Das Projekt wird nicht mehr weitergeführt
Hä, wie kommst du denn darauf?
osCommerce 2.2 Milestone 2: <-- der aktuelle Meilenstein hab ich seit März 04 schon woanders laufen, seitdem gab es nur noch ein paar Module von der Community
Prickelpit wrote:
Lord_Pinhead wrote: Ausserdem hab ich bisher keine Exploits dafür gesehen
Bei aktuellen Release von OSCommerce ist mir aber auch keiner bekannt.
Ausser das Register Globals aktiv sein muss und in OSC meines wissens keine Prüfung der URL hat? Naja, würde lieber den OSC Fork nehmen, aber liegt bei jedem selbst, XTC war ja nur ein Vorschlag.

@Capt.Crunch
Ich erinnere mich aber jetzt gerade das Snort in seinen Regeln auch eine drop bzw. reject Aktion hatten und via IPTables dann die Packete verworfen haben, also kann man auch Angriffe aktiv blockieren. Da Prelude NIDS auf der Homepage von Prelude ja als deprecated gilt, wäre jetzt ein Verbund von Snort mit barnyard und schönen reject Regeln nicht mehr so CPU fressend.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: IDS notwendig?

Post by dodolin » 2005-09-16 00:14

Ich selbst habe auf meinem Rootserver weder IDS, Firewall, noch RSBAC oder andere Sicherheitsfeatures im Einsatz. Ich moechte nicht behaupten, dass da nichts passieren kann, aber er laeuft in diesem Zustand nun schon seit mehreren Jahren problemlos ohne einmal geknackt worden zu sein.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: IDS notwendig?

Post by captaincrunch » 2005-09-16 06:24

Da Prelude NIDS auf der Homepage von Prelude ja als deprecated gilt, wäre jetzt ein Verbund von Snort mit barnyard und schönen reject Regeln nicht mehr so CPU fressend.
Dass Prelude "deprectaed" ist, stimmt seit ca. einem Monat nicht mehr. Die Entwicklung geht seit ein paar Wochen wieder richtig voran.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

bjunix
Posts: 24
Joined: 2005-09-12 19:00

Re: IDS notwendig?

Post by bjunix » 2005-09-18 13:02

ersteinmal danke für die antworten.

habe das projekt IDS erstmal vertagt. vieleicht komme ich später drauf zurück aber ich denke auch das andere sicherheitsmaßen erstmal vorrang haben.

mod_security habe ich bereits im einsatz. allerdings habe ich zugegebenermaßen keine ahnung wie ich mod_rewrite zu sicherheitszwecken einsetze?! Ungültige URL anfragen umleiten? werd mich mal mit google schlau machen.

@lord_pinhead:

das osCommerce nicht mehr weiter geführt wird stimmt so nicht.
der letze offizielle release ist zwar schon einige monate her, aber die entwicklung ist keineswegs eingestellt.
obwohl ich es auch schade finde das es kein public cvs tree gibt.
bezüglich globals register bin ich auch nicht zufrieden, allerdings gibt es einen hack um dies zu umgehen. Ich denke ich bleibe erstmal bei osCommerce.