---

Hej alle!

Man læser ofte om både IDS-systemer og Scanningservices... ???
(bla. læste jeg om det på en OSS herfra gruppen).... ???

Hvad er egentlig forskellen på IDS-systemer og Scanning-services ???

Kan I anbefale nogle gode IDS-systemer ???

Hvilke IDS-systemer er meget brugte ???


Med venlig hilsen

CLAUS HANSEN

---

CLAUS HANSEN <claushansen@claushansen.dk> wrote:
> Man læser ofte om både IDS-systemer og Scanningservices... ???
> (bla. læste jeg om det på en OSS herfra gruppen).... ???
>
> Hvad er egentlig forskellen på IDS-systemer og Scanning-services ???

Jeg kan ikke mindes at have naevnt scanning services i OSS'en.

Et (netvaerksbaseret) IDS sniffer netvaerket og kan genkende bestemte typer
IP pakker som kunne vaere tegn paa indbrudsforsoeg. Scanning service er en
dyr konsulent der portscanner dit netvaerk og fortaeller dig hvilke porte
maskinerne har aabne.

> Kan I anbefale nogle gode IDS-systemer ???

Der er meget andet du boer have styr paa foer du installerer et IDS. Jeg
naevner mindst een ting i OSS'en som kommer foer et netvaerksbaseret IDS.

> Hvilke IDS-systemer er meget brugte ???

De IDS producenter som bruger mest paa reklame. Skal et IDS vaere meget
brugt for at I vil installere det?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> De IDS producenter som bruger mest paa reklame. Skal et IDS vaere meget
> brugt for at I vil installere det?

Næhh... jeg har ikke på noget tidspunkt i min mail nævnt at jeg vil
installere IDS - hvor har du det fra?

Jeg spørger ud fra interesse! Du skal ikke være ked af at du ikke kan nævne
nogle produkter og anbefalinger af IDS!

Med venlig hilsen

CLAUS HANSEN

---

Hej

Jeg forsøger lige med et mere nuanceret svar:

CLAUS HANSEN wrote:

>
>Hvad er egentlig forskellen på IDS-systemer og Scanning-services ???
>
Et IDS system er enten et program på en server, eller et system med
nogle netværkssensore (host eller netværksbaseret).

Begge kigger på netværkstrafikken for at afslører eventuelle indbrud
eller "grimme ting".

Der findes 2 typer signaturbaseret eller profilbaseret.

Den signaturbaserede kigger efter bestemte signature, ligesom et
Antivirus program, og alarmere når der opnås et match.
Den profilbaserede kigger på hvordan nettrafikken "plejer" at se ud, og
reagere så hvis der er en afvigelse.

Scanningservices eller penetreringstest, er at en kompetent og uddannet
person (Det skulle gerne være mere positivt ladet end "en dyr
netværkskonsulent") foretager et penetrerings forsøg på netværket, og
derefter beskriver hvilke risici man er eksponent for.

Naturligvis er en portscanning en del af dette, men det er , hvis man
benytter seriøse partnere, meget mere omfattende, f.eks. skal denne
konsulent gerne vide hvilke sårbarheder der findes på de komponenter man
benytter.

>
>Kan I anbefale nogle gode IDS-systemer ???
>
Ja

>
>Hvilke IDS-systemer er meget brugte ???
>
Nu er IDS ikke den de danske virksomheders mest fortrukne disiplin, men
jeg vil tro at Cisco IDS der også kaldes NetRanger er benytte af en del
store firmaer rundt omkring.
ISS laver et IDS der hedder RealSecure, der bl.a. kan benyttes sammen
med FW-1.

Hvis man er Linux-nørd, kan man sagtens opsætte en SNORT, som er
udemærket og BILLIG.


--
Med venlig hilsen

Lars P. Møller

Kongevejen 20
Endelave
8700 Horsens
Tlf. 29 48 06 38 - 75 68 94 14
mailto://larsmo@post3.tele.dk
http://www.wmsecurity.dk

---

Lars Møller <larsmo@post3.tele.dk> wrote:
> Scanningservices eller penetreringstest, er at en kompetent og uddannet
> person (Det skulle gerne være mere positivt ladet end "en dyr
> netværkskonsulent")

En stor del af "sikkerhedsmarkedet" bestaar af inkompetente konsulenter som
koerer Nessus eller en tilsvarende scanner.

> Naturligvis er en portscanning en del af dette, men det er , hvis man
> benytter seriøse partnere, meget mere omfattende, f.eks. skal denne
> konsulent gerne vide hvilke sårbarheder der findes på de komponenter man
> benytter.

Og saa kan konsulenten vende tilbage om 2 maaneder og udpege 25 nye fejl.
Det er naturligvis en god forretning for konsulenten, men det er ikke vejen
frem for kunden. I de fleste tilfaelde aner kunden intet og vil jo blot have
bedre sikkerhed saa de betaler gerne.

Vejen frem er at bestemme sig for hvilke services man skal tilbyde til
verdenen (og evt. internt). Saa saetter man sine servere og firewalls op til
at haandhaeve dette billede. Man opretter en process saa kan kan opdatere
services skulle der blive fundet sikkerhedsfejl, og man opretter en process
til at sikre sig at de rette patches er installeret. Hvis man ikke har
ekspertisen til at oprette disse, kan man hive en konsulent ind for at
hjaelpe.

Tiden gaar og processerne bliver fulgt.

Ind imellem hiver man saa en konsulent ind som man _ved_ er dygtig. Man
viser ham sin dokumentation og stiller ham 2 spoergsmaal. Det foerste er:
"Vi tror vores netvaerk ser _saadan ud_. Er vores opfattelse korrekt?" og
det andet spoergsmaal er: "Er der noget vi kan goere bedre?"

Hvis kundens opfattelse af deres netvaerk er forskellig fra hvordan
netvaerket ser ud, er der enten huller i processerne eller de er ikke blevet
fulgt korrekt.

I mine oejne boer man som konsulent kun benytte penetration tests i 2
situationer:

1) hvis kunden skal evaluere en partner (eller lignende) som ikke
vil udlevere deres dokumentation. Maaske fordi der ikke er nogen
dokumentation. Aldrig et godt tegn.
2) hvis kunden oensker at se om deres personale og teknik fungerer
korrekt. Ofte siger konsulenten: "Vi gjorde X og Y ved jeres
netvaerk. Opdagede I det, og er det tydeligt hvad vi gjorde?"

Risikoen for at man som pen-tester overser noget er ganske stor.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> En stor del af "sikkerhedsmarkedet" bestaar af inkompetente konsulenter som
> koerer Nessus eller en tilsvarende scanner.


Ja.

>>Naturligvis er en portscanning en del af dette, men det er , hvis man
>>benytter seriøse partnere, meget mere omfattende, f.eks. skal denne
>>konsulent gerne vide hvilke sårbarheder der findes på de komponenter man
>>benytter.


> Og saa kan konsulenten vende tilbage om 2 maaneder og udpege 25 nye fejl.
> Det er naturligvis en god forretning for konsulenten, men det er ikke vejen
> frem for kunden. I de fleste tilfaelde aner kunden intet og vil jo blot have
> bedre sikkerhed saa de betaler gerne.


Jeg plejer at pege på produkter der har haft få eller ingen exploits,
for at forhindre ovennævnte situation, hvilket faktisk er muligt.

> Vejen frem er at bestemme sig for hvilke services man skal tilbyde til
> verdenen (og evt. internt). Saa saetter man sine servere og firewalls op til
> at haandhaeve dette billede. Man opretter en process saa kan kan opdatere
> services skulle der blive fundet sikkerhedsfejl, og man opretter en process
> til at sikre sig at de rette patches er installeret. Hvis man ikke har
> ekspertisen til at oprette disse, kan man hive en konsulent ind for at
> hjaelpe.


Hvis kunden intet aner som du skrev i forrige afsnit, hvordan skal ovenstående processer så udarbejdes og følges.


Jeg ser dagligt patches der ikke er lagt rigtigt på, af selv uddannet
konsulenter.


> Tiden gaar og processerne bliver fulgt.
>
> Ind imellem hiver man saa en konsulent ind som man _ved_ er dygtig. Man


Hvordan ved man det?

Jeg plejer at anbefalde kunden i at prøve forskellige konsulent huse, og
derefter sammenligne.

> viser ham sin dokumentation og stiller ham 2 spoergsmaal. Det foerste er:
> "Vi tror vores netvaerk ser _saadan ud_. Er vores opfattelse korrekt?" og
> det andet spoergsmaal er: "Er der noget vi kan goere bedre?"
>
> Hvis kundens opfattelse af deres netvaerk er forskellig fra hvordan
> netvaerket ser ud, er der enten huller i processerne eller de er ikke blevet
> fulgt korrekt.


Ja.


> I mine oejne boer man som konsulent kun benytte penetration tests i 2
> situationer:
>
> 1) hvis kunden skal evaluere en partner (eller lignende) som ikke
> vil udlevere deres dokumentation. Maaske fordi der ikke er nogen
> dokumentation. Aldrig et godt tegn.
> 2) hvis kunden oensker at se om deres personale og teknik fungerer
> korrekt. Ofte siger konsulenten: "Vi gjorde X og Y ved jeres
> netvaerk. Opdagede I det, og er det tydeligt hvad vi gjorde?"
>
> Risikoen for at man som pen-tester overser noget er ganske stor.

Ja, ikke nok med den er ganske stor, der bliver altid overset noget!

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrna26nns.9cf.a@C-Tower.Area51.DK...

> Vejen frem er at bestemme sig for hvilke services man skal tilbyde til
> verdenen (og evt. internt). Saa saetter man sine servere og firewalls op
til
> at haandhaeve dette billede.

Burde indrammes og hænges op på alle IT-chefers kontor.

mvh
Jan

---

Kære Lars!

Rart at se, at der er en som svarer seriøst og hjælpsomt!
Tak for din hjælp og en god besvarelse!

Med venlig hilsen

CLAUS HANSEN

---

"Lars Møller" skrev

> Hvis man er Linux-nørd, kan man sagtens opsætte en SNORT, som er
> udemærket og BILLIG.

Snort findes også i Win32 udgave:

<URL: http://www.snort.org/releases/Snort183Win32.exe >

Dokumentation til Win32 udgaven:

<URL: http://www.snort.org/documentation.html#win32 >

Med venlig hilsen

Peder