Intrusion Detection neben Kerio PF

#1 Hallo,

bei Kerio PF ist ja kein Intrusion Detection System integriert. Ist es sinnvoll oder sogar notwendig, sich so ein Prog zu besorgen, das neben Kerio läuft?

Das einzige IDS was ich kenne, ist BlackIce PC Protection. Kann jemand von euch diese Prog einschätzen? Oder gibt es bessere IDS?

Gruß,
Anonymous

#2 http://www.cerias.purdue.edu/coast/ids/

Eine ziemlich komplette Liste. BlackIce hat keinen guten Namen

Gruß
__________
http://www.pieter-arntz.info/wordpressblog/

#3 wenn Du nicht gerade nen Server am Netz hast: nicht notwendig.
Hatte BlackIce parallel zur Kerio laufen, gab unter win98 zumindest keine Probleme. Aber eigentlich braucht ein PC, welcher ab und an mal mit dem Internet verbunden ist nicht x-erlei Schutz-Programme.
Eine gut konfigurierte Firewall reicht aus, denke ich.
Viel wichtiger ist, dass man absolut vertrauliche Daten nicht ohne besondere Gründe auf dem PC gespeichert hat, zumindest nicht unverschlüsselt.
Auch eine Software-Firewall bietet keinen 100%-igen Schutz, darüber sollte man sich immer im klaren sein. Sicherheit ist ein ganzes Bündel von Maßnahmen. Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Wie joschi schon sagte ist es auf einem normalen PC der am Netz hängt eigentlich unnötig neben einer FW auch noch ein IDS installiert zu haben. Anders sieht die Lage aus, wenn Du ein Netzwerk (evtl. mit einem/mehreren Servern) betreibst. Da sollte ein IDS schon drin sein. Hier kommt es auch ganz darauf an, welche Art von Netz und unter welchem OS Du dieses installiert/eingerichtet hast. Ein wichtiger Aspekt ist z.B. der, daß, je größer ein Netzwerk (d.h. die Zahl der "angehängten" Clients) ist, damit auch die Zahl der potentiellen "Innentäter" wird und Du diese (weitaus größerere Gefahr im Vergleich zu Angriffen von außen) effizient erkennnen und ggf. blocken/minimieren mußt.

Auf einem Einzelplatzrechner ist es sicherlich sinnvoller, den Rechner regelmäßig nach Viren und Trojanern mit den enstprechenden Tools zu scannen, als ein permanentes IDS mitlaufen zu lassen.

MfG
ToRRis

#5 Danke erst mal für die Infos.

@joschi und ToRRis
Ich hab kein Netzwerk, nur einen Einzelplatzrechner (WinXP Home). Daß es absolute Sicherheit nicht gegeben kann und Maßnahmen wie Virenscanner, Verschlüsselung, etc wohl erst mal wichtiger sind, sehe ich ja wohl ein.

Ich hab meine Frage auch wohl etwas ungenau gestellt: Wenn ich Kerio laufen lasse, kommt ja nur das durch, was ich in den rules entsprechend durchlassen will. Aber wenn ich mich jetzt auch nur auf die notwendigsten Ports, IPs, Protokolle usw. beschränke, über die kommuniziert werden darf, kann es da nicht sein, daß über diese Ports immer noch "Gefahren" drohen?

Bespiel: Rule 12 in Lukas Ruleset für einen Download Butler
Direction: Incoming
Protocol: TCP
Local Port: Any
Application: zB getrigt.exe
Remote Host: Any
Remote Port: 20
=> Permit

Kerio läßt das hier also alles durch. Ein IDS würde doch jetzt prüfen, ob das, was hier durchkommt, auch tatsächlich ungefährlich ist. Meine Frage ist also, ob ich dann, wenn ich meine Firewall so wie von Lukas beschrieben konfiguriert habe, mir dann noch das, was Kerio durchläßt, immer noch gefährlich werden kann, also ein Sicherheitsrisiko darstellen. Das meine ich jetzt nicht nur bezüglich FTP, sondern mal allgemein. Ich hab auch mal vom sniffing gehört, wo der Firewall vorgespielt wird, es handelt sich um die IP xy, in Wirklichkeit der Traffic von jemand anderem kommt. In Hinblick hierauf wollte ich eigentlich wissen, ob es bei dem beschriebenen Szenario überhautp zu Gefahren kommen kann und wenn ja, ob mir da dann ein IDS hilft.

@Metallica
Du sagtest, BlackIce hat keinen guten Namen. Ich hab mal die Liste überflogen, die Du mit dem Link empfohlen hast. Die IDS sind wohl nur solche für größere Netzwerke. Ich war eigentlich auf der Suche nach einem IDS für 'nen Einzelplatzrechner. BlackIce PC Protection ist das einzige IDS, das ich kenne, daß für Einzelplatzrechner konzipiert ist. Ich suche daher eigentlich IDS aus diesem Bereich.

Gruß,
Anonymous

#6 IDS kann sinvoll sein aber eigentlich nur wenn du einen Server laufen hast z.B IIS von Microsoft oder einen FTP server wenn du nur im Internet surfst und ein paar spiele spielst halte ich es für absoluten blödsinn wer will dich dann schon häcken. Besser eine richtig konfigurierte Firewall als 100 ander Programme



Was hast du denn noch so alles laufen ?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7

Zitat

´Anonymous postete

@Metallica
Du sagtest, BlackIce hat keinen guten Namen. Ich hab mal die Liste überflogen, die Du mit dem Link empfohlen hast. Die IDS sind wohl nur solche für größere Netzwerke. Ich war eigentlich auf der Suche nach einem IDS für 'nen Einzelplatzrechner. BlackIce PC Protection ist das einzige IDS, das ich kenne, daß für Einzelplatzrechner konzipiert ist. Ich suche daher eigentlich IDS aus diesem Bereich.
[/i]

Daher das diese IDS nur für größere Netzwerke gemeint sind hat wahrscheinlich BlackIce den schlechten Namen besorgt. Aber (wie joschi und ToRRis schon sagten) für einen Solo-Rechner ist IDS "overkill"

Gruß,
__________
http://www.pieter-arntz.info/wordpressblog/

#8 @Metallica
OK, ich seh es ein: IDS wäre bei mir wohl etwas zu viel des Guten.

@spunki
Bei mir laufen auf WinXP Home hinsichtlich "Online-Sicherheit":
Kerio PF
Blackice PC Protection (versuchsweise)
YAW
Norton AntiVirus
The Cleaner (TCActive! und TCMonitor)

Gruß,
Anonymous

#9 schön 2 Firewalls sauber mach erstens Norton runter für was braucht man norton schlechteste Firewall aller Zeiten zumal man nie 2 firewalls parralel laufen lassen soll


Sinnvoll finde ich den Regmonitor erspart einen das nachgucken in der msconfig und registry auch ein guter Schutz vor Viren die erst beim nächsten system start aktiv werden
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#10 @spunki
Von Norton hab ich nur den Virenscanner (Norton AntiVirus!), nicht die Firewall! Und der Virenscanner von Norton gehört wohl - im Gegensatz zu den anderen Progs von Symantec - zu den Besseren.

Gruß

#11 stimmt der Norton antiviren scanner ist spitze finde ich was schön wäre wenn er einen regmonitor besäse

Sorry @anonymous habe nicht richtig gelesen hab gedacht du hättest die Norton firewall

aber as genau ist den Blackice schon davon gehört aber weis nichts genaues drüber
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 @spunki
So ganz genau kann ich das auch nicht sagen, sonst hätte ich ja auch hier nicht die Anfrage gestellt ;-)

Im IT-Secure-X Forum hatte ich auch mal 'ne Anfrage gestartet. Dort gab's nur eine Antwort, aber sehr ausführlich:
http://it-secure-x.de/modules.php?op=modload&name=Forum&file=viewtopic&topic=156&forum=3

Homepage von Black Ice PC Protection:
http://www.iss.net/products_services/hsoffice_protection/blkice_protect_pc.php