Express IDS/IPS en waarom niet van de provider modem?

N

Nepkenny

UniFier
28 feb 2021
44
5
8
Wat is het nut van IDS/IPS (ik las dat de express dit dus niet heeft) In een thuissituatie?

Hiervoor heb je toch je modem van je provider? (Uitgezonderd als deze in bridge zou staan)

Of zie ik hier functionaliteit / beveiliging over het hoofd?
 
Dit zegt Unifi er over. Ik heb hier nog 1 port forward naar een Minecraft server en dan zie je dit proces wel z`n werk doen inderdaad. Mijn zoon gebruikt torents om bestanden te delen en ook dan zet je onder de motorkap een poort open en gaat IPS helemaal los.

Je ISP modem kan dit niet. De engine achter dit proces is van https://suricata.io/ en de rulesets worden elke dag bijgewerkt.
 
Laatst bewerkt:
  • Leuk
Waarderingen: m4v3r1ck en PcRene
Begrijp ik deze goed: Dit is dan een beveiliging die “gewone” consumenten niet hebben? Maar ook niet nodig hebben zolang ze zelf geen porten open zetten?
 
Het is niet beperkt tot portscanning, vele protocollen worden gecontroleerd maar laten we zeggen dat de meningen verdeeld zijn op de verschillende forums. Iedereen moet zelf uitmaken welk belang hij/zij aan IPS hecht. Voor mij persoonlijk wel belangrijk, vandaar mijn keuze voor een UDM-SE om de maximale IPS aan te kunnen. Het proces drukt zwaar op de CPU/RAM dus daarom kunnen de ISP modems dit niet aan en is het bijvoorbeeld weggelaten bij de Express.
 
Laatst bewerkt:
  • Leuk
Waarderingen: m4v3r1ck en PcRene
Nepkenny zei:
Begrijp ik deze goed: Dit is dan een beveiliging die “gewone” consumenten niet hebben? Maar ook niet nodig hebben zolang ze zelf geen porten open zetten?
Klik om te vergroten...
Deze functionaliteit is niet beperkt tot aanvallen van buitenaf; ook een 'rogue' systeem aan de binnenkant kan door IDS gedetecteerd en door IPS voorkomen worden.

Met IDS/IPS leg je een extra controle/beveiligingslaag in je netwerk. Zonder deze laag ben je voor de beveiliging afhankelijk van je clients zelf en is je netwerk transparant. Dan kunnen 'dingen' gebeuren en heb je ze simpelweg niet eens in de gaten.
Overigens zijn er nog wel andere dingen die je kunt doen, een Pihole of Adguard kan je ook waarschuwen of beveiligen tegen kwaadaardig verkeer dat DNS resolving nodig heeft om zijn kwade dingen te doen; dat kan natuurlijk ook met een provider-modem, mits je custom DNS settings kunt opgeven in je DHCP scope.
 
Davey400 zei:
Met IDS/IPS leg je een extra controle/beveiligingslaag in je netwerk.
Klik om te vergroten...

Vooropgesteld....ik ben het helemaal met je eens. Wat ik er over lees, is dat verkeer met TLS / SSL niet gescanned kan worden en daarmee de kracht van de tool beperkt(er) wordt omdat steeds meer verkeer dit heeft.
 
Nou ja, dat is ten dele waar. Op inhoud kan dan inderdaad veel niet gescand worden, maar wel op soort verkeer en op basis van ip-adressen.
Zo zag ik bijvoorbeeld met kerst dat iemand mijn HA instance probeerde te misbruiken:
1704629437736.png
(En dat die pogingen dus ook succesvol geblokkeerd worden; in ieder geval die pogingen die gedetecteerd worden.)
M.a.w.: volledig nutteloos is het echt niet.
 
  • Leuk
Waarderingen: PcRene
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..

Vergelijkbare onderwerpen

J
WAN verbinding valt onregelmatig weg sinds wissel modem
Reacties
26
Weergaven
1K
Routers
Jasper_2024
J
M
Sinds UXG Lite disconnect vpn van werk steeds
Reacties
9
Weergaven
531
Routers
mennog
M
J
Advies vervanging / upgraden hoofdswitch (flex mini) en 3-rd party (TP-link) switch
Reacties
28
Weergaven
643
Aankoop vragen
S1KRR
S1KRR
J
IPS en IDS vragen
Reacties
4
Weergaven
808
Protect
Eddie the Eagle
Eddie the Eagle
S
Unifi router opties
Reacties
1
Weergaven
253
Routers
Eddie the Eagle
Eddie the Eagle
Bovenaan Onderaan
Terug