Gebruik dan gewoon snort of suricata

En draai dat op een oude pc. Maar handiger kon het wel eens zijn om Opnsense te starten, daar zit van alles in, inclusief goede firewall, en IDS/IPS.

En bingo - het forum waar een topic en een titel alleen dienen om een eigen stokpaardje te berijden.

TS vraagt advies welke _hardware_ voor een bepaalde functie (meer) geschikt zou zijn. [met te weinig informatie, maar alla].

De eerste reactie geeft alleen een opinie dat een bepaald stuk software gebruikt moet worden.
En de tweede geeft een heel zijdelingse reactie en heeft natuurlijk ook een mening over weer andere software .

@TS : Voor je hardware vraag is het natuurlijk wel zinvol om erbij te zetten hoeveel verkeer je dan wilt inspecteren.
Het enige wat we nu hebben is "Meer dan R Pi 2 aankan" .
Advies is dan "hardware krachtiger dan een R Pi 2" .

Hoeveel krachtiger hangt ook nogal af van hoe diep/ingrijpend je gaat inspecteren - welke rules, hoeveel rules.
Met de natte vinger,een willekeurige 'oude PC' kun je tot 100Mbit/sec makkelijk inzetten , alleen wordt dat voor permanent gebruik vrij duur qua stroom. En meestal niet stil. Ben je vooral bezig met het bouwen en leren maakt dat minder uit.
Ook een oude laptop kan het wel af, en is gewoon stiller dan een oude desktop.

Ik heb wat twijfels of dingen als (OpenWRT) access points krachtig genoeg zijn voor IDS - dat kost wel veel meer werk dan gewoon routeren en packet filteren. En het is veel lastiger bouwen.
Of doe het andersom - kijk wat je wilt/kunt kopen aan kleine hardware die stil is, en google dan naar specs van IDS software ,en kijk of je genoeg hebt voor jouw verkeersvolume.
Met 'snort hardware specs' vind je een hoop ervaringen over snort en welk soort verkeersvolumes door welke hardware afgehandeld woprden.

Misschien kan je er dan ook bij vertellen wat je bandbreedte is? Want er zit nog al een verschil tussen een 10Mbit ADSL en een 500Mbit glas verbinding.
Nog afgezien het aantal rules wat je er op los laat. Maar een beetje moderne oude PC heeft meestal voldoende.

Ik zie bij tweakers een 2de hands Dell Optiplex 3010 SFF voor 75 euro staan. Perfecte en goede machine.

Waarom zou je een "oude pc" kopen als je gewoon een speciaal hiervoor bedoelde "network appliance" kan kopen, een stille computer met enkele netwerkpoorten in 19" behuizing of compact kastje?
Die dingen zijn te kust en te keur verkrijgbaar van een simpel dingetje wat nauwelijks meer dan een Raspberry Pi is tot een krachtige machine die zelfs VMware ESXi kan draaien...
Het lastigste blijft het om in te schatten wat je nodig hebt.

Tenzij je echt oude of simpele hw gebruikt is dat niet zo boeiend. Een core2duo trekt hier (jaja, met het door mij genoemde opnsense) de 500 Mbit lijn dicht.


En wil je ook nog snelle TLS decryptie hebben dan heeft het zin om een i5 te kiezen met ingebouwde AES-NI.

Nogmaals, je kunt dan ook firewalling op wirespeed doen. Ik doe dat overigens niet met Opnsense maar met OpenBSD, uiteraard met suricata als IDS.

Je zult de combinatie firewall/IDS erg vaak tegenkomen, simpelweg omdat deze *in* het verkeer geplaatst kan worden.

Vergeet de zure reactie van anoniem 19.40. Hoe hij er bij komt om access points als IDS te willen gebruiken is mij niet duidelijk, afgezien het door hem zelf aangehaalde stokpaardje.Ook snapt hij nog niet hoe je de IDS gaat voeden met verkeer.

Eigenlijk kan je met je vraag alle kanten op, de eerste vraag is eigenlijk of je het systeem dat je wilt ontwikkelen in je eigen realtime netwerk wilt hangen(heb je wat meer processor kracht nodig) om te kijken wat er gebeurd of wil je een geissoleerde test omgeving realiseren waarin je de oplossing gaat testen.(minder processor kracht)

Hierboven zijn al een paar goede voorbeelden gegeven van hardware die je kan gebruiken, Als je bijvoorbeeld een 2e hands Dell Optiples haalt, die ik ook gebruik om locaal een opnsense firewall te draaien (ideaal die dingen van dell)

Kan je daarin bijvoorbeeld ook kiezen om een soort honeypot te bouwen, deze kan je dan in je eigen netwerk hangen of voor je router, of erachter whatever. En zon honeypot kan je helemaal kaal gaan ontwikkelen.

Een rasberri pi of dat soort mini electronica zou ik voor dit soort toepassingen niet gebruiken. Ga voor iets met wat meer processingpower.

Als je het echt goed wilt doen regel dan een Dell PowerEdge R410 bijvoorbeeld. Zijn voor een habbekrats te vinden.

-S

19:40 hier.
Beetje gepikeerd dat ik je wees op het feit dat je hele vraag van TS niet gelezen had ?
En dan lees (of snap) je mijn antwoord ook duidelijk niet.

Ik had TS juist OpenWRT AP's _af_geraden als eventuele optie.

Waarom ?

Omdat TS zocht naar klein, stil, en (al) een R Pi 2 geprobeerd had. Als je denkt in die klasse van heel kleine en passief gekoelde (netwerk) doosjes is een OpenWRT AP (feitelijk ingezet als router , wireless is secundair) iets waar je ook best aan zou kunt denken.

Alleen zijn die m.i. dus te klein om als IDS te gebruiken - en des te meer als je - zoals TS expliciet zegt - bezig bent met leren/oefenen/ontdekken van het concept IDS . Dan is een busybox omgeving en evt crosscompilen gewoon ontzettend onhandig.
Vandaar dat ik die optie genoemd heb als niet zo geschikt voor gebruik/omstandigheden die TS aangaf.

Ik gebruik Security Onion op een oud PCtje dat lag te verstoffen.
Met OpenWRT in de router mirror ik alle packages naar dit IDS IP

@15:41, je reageert zuur omdat je stom begint te roeptoeteren over stokpaardjes. Blijkbaar heb je ook geen ervaring met IDS'en omdat je *blijft* roepen over OpenWRT op een klein, stil doosje.

IDS'en hebben compute power nodig. Die vind je simpelweg niet in een klein, simpel en stil doosje, tenzij je een PC inzet, zoals al voorgesteld door Tha Cleaner.

Hoeveel netwerkverkeer moet er geïnspecteerd worden? Bij een normaal gezin is dat niet zoveel en dan kom je met een lichte CPU al heel ver. Daarnaast is er nog de vraag hoe CPU-intensief je gaat monitoren. Ik heb wel mijn bedenkingen over de Raspberry PI: er zit maximaal 1 GB RAM in, dat kan beperkingen opleggen aan tabellen met "bad packet" informatie.

19:40 en 14:51 weer.

Blijkbaar kun je ECHT NIET LEZEN.

Heb je soms ADHD of dyslexie, dat je na drie woorden meteen denkt de rest te weten, en niet meer doorhebt of iets AF danwel AANgeraden wordt ? En dat je na de titel de rest van de vraag niet meer leest ?

Ik heb al mijn eerste reply TS aangegeven dat het (waarschijnlijk - afhankelijk van volume) met een oude PC kan - maar als nadeel dat die niet stil is . En niet zuinig.
Of als alternatief een oude laptop - een stuk stiller en zuiniger .

Jouw eerste reply op een vraag van iemand die kleine stille hardware zoekt voor "een IDS" was een software advies.
Vervolgens lees je het AFraden van een optie kleine stille hardware als aanraden en vervolgens lees je de uitleg *waarom* ik iemand die kleine stille hardware optie zoekt een bepaalde kleine stille hardware optie AFraad als nog een een aanrader.

Overigens : 14:15 ben ik niet.

Maar poster 14:15 gebruikt OpenWRT dus niet als IDS, maar puur als in-line tap die het verkeer mirror'ed naar een echt IDS.
Dat is een veel lichtere taak dan volledig inspecteren en dat zal een typisch OpenWRT doosje tot redelijke volumes wel kunnen. Zinvolle keuze, wanneer je IDS beter in je 'serverruimte' staat terwijl je beste inspectiepunt elders (ISRA) elders in huis zit en je de boel niet enorm wilt omkabelen.