Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sind IPS und Networ-Access-Control lebensnotwendig?

Frage Sicherheit

Mitglied: CeMeNt

CeMeNt (Level 2) - Jetzt verbinden

19.09.2007, aktualisiert 20.09.2007, 3704 Aufrufe, 3 Kommentare

Moin Leute,

ich hab gerade mal wieder Werbe-Post auf meinen Schreibtisch bekommen.
Eine Firma wirbt darin für ein IPS-System, dass alle möglichen Gefahren "von innen" erkennen und ausschalten soll.

z.B.:
- Verhindert das unbemerkte Ausspionieren [...] und Löschen von Daten
- Protokolliert sämtliche Angriffsversuche
- erkennt und meldet neue Geräte, die ans Netz angeschlossen werden
- registriert Adressänderungen

usw. usw....

Nun mal meine Frage:

Verwendet Ihr solche Software?
Bzw. wo und wann seht Ihr die Notwendigkeit, so etwas einzusetzen?

Oder ist das mal wieder nur "Angst- und Bange-Macherei"...??

Danke für Eure Meinungen

Gruß CeMeNt
Mitglied: aqui
19.09.2007 um 09:32 Uhr
Ohne das Angebot zu kennen ist das sehr oft "Angst- und Bange-Macherei"... in der Absicht das Produkt zu verkaufen egal wie die Netzwerk Rahmenbedingungen sind. Genau davon hängt ein sinnvoller Einsatz eines IPS Systemes aber in entscheidendem Maße ab ! Das sind in der Regel alles Appliances mit SNORT drauf oder was noch schlimmer wäre einen SW auf Windows Basis... Da macht man dann den Bock zum Gärtner !!!

Ein großes Problem haben solche Anwendungen ebenfalls:
Stell dir mal vor du hast ein mittelgroßes Netzwerk, alles sauber mit VLANs segmentiert wie es sich gehört ! Nun willst du dieses IPS System installieren....
In welchem VLAN soll es denn nun bitteschön arbeiten ??? Wenn du es in eins packst dann sind 4 weitere IPS frei...das kann ja dann nicht der Sinn sein. Folglich müsstest du das IPS System 5 mal kaufen...das würde den Händler sicher freuen ist aber vollkommener Unsinn der auf der Hand liegt.

Das weitere Problem: Wie bringe ich so eine Appliance an mein geswitchtes Netzwerk. OK, normalerweise erledigen das sog. Monitorports an Switches. Das erzwingt aber managebare Switches. D.h. für Kunden die nach dem Prinzip Geiz ist geil.. ihr Netzwerk designed haben fällt dann eine sinnvolle Anwendung solcher Systeme von vorn herein aus.
Aber auch für die die es einsetzen könnten bedeutet das einen Eingriff in die Switchperformance, denn permanente Minitorports die den Traffic eines kompletten VLANs spiegeln sind niemals das Gelbe vom Ei ! Das Problem bei mehrfahcne VLANs löst der Monitorport ohnehin nicht.
Abgesehen davon kumuliert so ein Port allen Traffic. Wie soll das dann in einem GiG Netzwerk aussehen ???
Bei diesen Angeboten kann man wohl kaum davon ausgehen das deren Server 10 GiG Karten haben.... Also wird eine Skalierbarkeit auch nur sehr sehr bedingt wenn gar nicht gegeben sein.
Skalierbar sind solche IPS Lösungen in gut designeten Netzen nur mit Switchprotokollen wie NetFlow oder sFlow zur Überwachung. Etwas was Billig Lösungen schlimmerweise dann noch auf MS Basis meist nicht supporten !

Fazit: Meist eine Billigheimer Lösung für Kunden die Netze und Netzwerktechnik nicht kennen und sich mit einer (sorry..) DAU Lösung ein vermeintlich sanftes Ruhekissen erkaufen oder wenigstens denken es sich erkauft zu haben...
Nur verwendbar in dummen, flachen nicht strukturierten Layer 2 Netzwerken wo sowas außer bunten Bildchen nicht wirklich was bringt als nur dem Händler Geld. Meist durch die Monitor Port Problematik am Switch auch nur bedingt einsetzbar. Keine Lösung für strukturierte Netze ! Rausgeschmissenes Geld was man besser selber mit einem eigenen SNORT IPS Host lösen kann.
Drastisch...aber meist die Wahrheit
Bitte warten ..
Mitglied: CeMeNt
19.09.2007 um 10:41 Uhr
Uff, das hat gesessen!

Man bekommt ja fast den Eindruck, als ob Du schon mal schlechte Erfahrungen in dem Bereich gemacht hast...

Wir werden morgen unsere neuen Server / Router / Firewall / ... bekommen.
Ich werde dem Techniker das Papier mal vorlegen, und ihn fragen, wie er denn "sein" Netz in Bezug auf dieses Thema sieht.

Aber vielen Dank erstmal. (Ich denke das Anschreiben wäre sowieso im "Rund-Ordner" gelandet)...

Gruß CeMeNt
Bitte warten ..
Mitglied: aqui
20.09.2007 um 08:54 Uhr
Ja, so kann man es sehen... Viele fragen sich diese Details einfach nicht die aber für eine IPS Lösung in einem geswitchen Netzwerk essentiell wichtig sind !
Ein Switch forwardet eben nur noch Broad- und Multicasts an einen normalen Port und nicht mehr den gesamten Traffic. Damit ist dann nichts mehr zu sehen in einem Netzwerk mit Analysetools an normalen Ports, auch nicht für noch so dolle IPS Software !
Und mit einmal werden dann solche Fragen wie Monitor Ports, VLAN Monitoring usw. wichtig ! Richtig lösen mit einer sinnvollen und professionellen Lösung lässt sich das nur wenn in solchem Umfeld die Switches NetFlow oder sFlow (www.sflow.org) supporten. Allerdings muss es dann das IPS/IDS System auch machen, was gute Systeme aber können.
Dann sind wir mal gespannt auf die Antwort des Technikers...... Vermutlich aber ein Server Mann der von Netzwerken bzw. Netzwerktechnik sicher nur bedingt Ahnung aht oder das berühmte gefährliche Halbwissen...
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Router & Routing
gelöst Proxmox WAN IPs (13)

Frage von sebastian2608 zum Thema Router & Routing ...

Microsoft Office
gelöst Access 2007 (2)

Frage von Everest zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...