|
|
Besucher 746304
Ansichten 4267
Online 0 |
|
|
IDS-Angriffe versus normale Aktivitäten
| |
| Thema |
Verfasser |
Letzte Antwort |
| IDS-Angriffe versus normale Aktivitäten |
Anja ( ---.57.17.154) |
10 Jan 2007 06:54 | Hallo,
ich schreibe gerade an einer Hausarbeit zum Thema IDS. Da ich Zugang zu einem IDS-System erhalten habe und eine Kategorisierung vornehmen soll habe ich ein paar Fragen, was folgende Ereignisse bedeuten:
- ICMP Destination Unreachable Port Unreachable
- (portscan) UDP Portsweep
- (portscan) TCP Portscan
- VIRUS OUTBOUND bad file attachment
- INFO web bug 1x1 gif attempt
- MS-SQL version overflow attempt
- MS-SQL Worm propagation attempt
- (http_inspect) IIS UNICODE CODEPOINT ENCODING
- (portscan) TCP Portsweep
- (flowscan) Scantype 3
- (flowscan) Scantype 4
- (http_inspect) OVERSIZE CHUNK ENCODING
- ICMP PING NMAP
1)In wieweit handelt es sich um Angriffe oder sind es ganz normale Aktivitäten, die vernachlässigt werden können.
Können Unternehmen selbst festlegen, ob ein Ereignis für sie gefährlich ist oder nicht?
2)Wenn man ein IDS im Unternehmen einsetzt (Rechenzentrum),sollte man das System dann rund um die Uhr beobachten oder reicht als Beispiel: 1 mal pro Tag oder Woche!
3) Bietet ein IDS-System (hier Version 2.08) Schnittstellen zu Office-Anwendungen (z.B. Excel)?
4) Wo sollte man das IDS-System am besten platziern: vor- oder hinter eine Firewall oder muß das jedes Unternehmen individuell entscheiden.
Ich bedanke mich im voraus für Ihre Antwort!!!
MFG
Anja
|
| ||
| RE: IDS-Angriffe versus normale Aktivitäten | Ralf ( ---.dip.t-dialin.net) | 10 Jan 2007 06:54 |
Hallo,
On 9 Jan 2007 15:26 'Anja' wrote:
> Hallo,
>
> ich schreibe gerade an einer Hausarbeit zum Thema IDS.
Hmh, die weiter unten gestellten Fragen lassen mich zweifeln, ob Du für die Hausarbeit Dich nicht vorher mit den Grundlagen genauer beschäftigen solltest.
> Da ich Zugang zu einem IDS-System erhalten habe
Welcher Hersteller stellt das IDS zur Verfügung? Den Meldungen nach basiert es zumindest auf Snort. Unten erwähnst Du nur eine Versionsnummer.
> und eine Kategorisierung vornehmen soll habe ich ein paar Fragen, was folgende Ereignisse bedeuten:
>
Die folgenden Meldungen können auf einen Portscan hinweisen.
> - ICMP Destination Unreachable Port Unreachable
> - (portscan) UDP Portsweep
> - (portscan) TCP Portscan
Erklärt sich von selbst (potentielle Angriffe):
> - VIRUS OUTBOUND bad file attachment
> - INFO web bug 1x1 gif attempt
> - MS-SQL version overflow attempt
> - MS-SQL Worm propagation attempt
> - (http_inspect) IIS UNICODE CODEPOINT ENCODING
Portscan:
> - (portscan) TCP Portsweep
> - (flowscan) Scantype 3
> - (flowscan) Scantype 4
Potentieller Angriff:
> - (http_inspect) OVERSIZE CHUNK ENCODING
Portscan:
> - ICMP PING NMAP
>
> 1)In wieweit handelt es sich um Angriffe oder sind es ganz normale Aktivitäten, die vernachlässigt werden können.
Das muss der Betreiber selbst entscheiden. Wenn er Nmap in der täglichen Arbeit einsetzt, sind die Portscan möglicherweise normal. Bei den anderen Meldungen muss man genau nachschauen und sollte das IDS entsprechend finetunen.
> Können Unternehmen selbst festlegen, ob ein Ereignis für sie gefährlich ist oder nicht?
Ich hoffe doch, dass die Administratoren das bei dem IDS können und auch gemacht haben (Fine Tuning)
>
> 2)Wenn man ein IDS im Unternehmen einsetzt (Rechenzentrum),sollte man das System dann rund um die Uhr beobachten oder reicht als Beispiel: 1 mal pro Tag oder Woche!
Das kommt ganz auf das Budget, Personal und Sicherheitsbedürfnis an. 100% Sicherheit gibt es nicht. Es muss immer eine Risikoabschätzung erfolgen und daraus resultiert dann die maximale Antwortzeit bei einem Angriff (1 Stunde, Tag, Woche)
>
> 3) Bietet ein IDS-System (hier Version 2.08) Schnittstellen zu Office-Anwendungen (z.B. Excel)?
Gute Frage. Da Du nicht erwähnst von wem das IDS kommt, kann ich dazu nichts sagen. Snort selbst hat jedoch die Möglichkeit per CSV zu protokollieren. Ob das genutzt wird kann ich von hier nicht überprüfen. CSV kann in Excel importiert werden.
>
> 4) Wo sollte man das IDS-System am besten platziern: vor- oder hinter eine Firewall oder muß das jedes Unternehmen individuell entscheiden.
Was willst Du erkennen? Angriffe oder Einbrüche?
>
Gruß,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: