Bedreigingen van buitenaf

Bedreigingen van buitenaf

Toen ik nog een paar poorten had openstaan, waren de meeste thread meldingen daarop gericht. Die zijn weg nu ik alleen nog via VPN werk. Wat overblijft zijn deze meldingen. Het behoeft geen uitleg dat er hier iemand fanatiek Roblox speelt 😂 . Geen idee of ik hier iets mee moet.

1643270078727.png
 
Wat ik me al langer afvraag: de IDS/IPS engine die UI gebruikt is van Suricata maar:

- komt de ruleset dan ook van Suricata of wordt die beheerd door UI zelf ?
- is die ruleset lokaal ingebakken in de S/W of wordt die ergens online afgetest ?
- hoe up to date is die ruleset dan ?
 
Laatst bewerkt:
  • Leuk
Waarderingen: m4v3r1ck
Bij mijn weten is de IDS/IPS engine afhankelijk van de versie en zijn de regels ingebakken, je kunt ze wel zelf aanpassen/toevoegen maar dat is het betere shell/ssh werk. Ik weet dat bij de UDM SE 2.3.11 Suricata 5.0.8 zit ingebakken en dat ze bezig zijn deze te upgraden naar de 6.x range in de toekomstige versie, wanneer blijft uiteraard altijd de vraag bij UI.
 
De IPS/IDS software zelf is idd wel redelijk helder maar waar die ruleset vandaan komt die wij gebruiken (en hoe die up to date gehouden wordt) blijft een wazig verhaal. Op de website van Suricata lees je dat hun S/W kan werken met rulesets van cybersecurity companies als Proofpoint maar welke hebben wij ? Die ruleset en het onderhoud daaraan bepaalt natuurlijk alles :unsure: .
 
  • Leuk
Waarderingen: m4v3r1ck
De rulesets worden bijgehouden door verschillende berdrijven/organisaties, beetje hetzelfde als met de PiHole rulesets. Deze kun je toevoegen en/of aanpassen maar als ik zo kijk gebruikt UI de basis ruleset van Suricata.

Op de UDM-SE:
/usr/share/suricata
Code:
cat reference.config

# config reference: system URL

config reference: bugtraq   http://www.securityfocus.com/bid/
config reference: bid       http://www.securityfocus.com/bid/
config reference: cve       http://cve.mitre.org/cgi-bin/cvename.cgi?name=
#config reference: cve       http://cvedetails.com/cve/
config reference: secunia   http://www.secunia.com/advisories/

#whitehats is unfortunately gone
config reference: arachNIDS http://www.whitehats.com/info/IDS

config reference: McAfee    http://vil.nai.com/vil/content/v_
config reference: nessus    http://cgi.nessus.org/plugins/dump.php3?id=
config reference: url       http://
config reference: et        http://doc.emergingthreats.net/
config reference: etpro     http://doc.emergingthreatspro.com/
config reference: telus     http://
config reference: osvdb     http://osvdb.org/show/osvdb/
config reference: threatexpert http://www.threatexpert.com/report.aspx?md5=
config reference: md5       http://www.threatexpert.com/report.aspx?md5=
config reference: exploitdb http://www.exploit-db.com/exploits/
config reference: openpacket https://www.openpacket.org/capture/grab/
config reference: securitytracker http://securitytracker.com/id?
config reference: secunia   http://secunia.com/advisories/
config reference: xforce    http://xforce.iss.net/xforce/xfdb/
config reference: msft      http://technet.microsoft.com/security/bulletin/

*** aanvulling:

De draaiende config sepcifiek voor UI staat in /usr/share/ubios-udapi-server/ips/config/suricata_ubios_high.yaml
 
Laatst bewerkt:
Vanwege de vele meldingen die waars komen door het iot netwerk, ga ik dit eruit doen en alles op 1 hoop zetten.

Is er echt een significant voordeel aan het hebben van twee netwerken?
 
  • Leuk
Waarderingen: PcRene
*snip*

Is er echt een significant voordeel aan het hebben van twee netwerken?
Ja! IoT apparaten staan niet bekend om hun up to date of veilige firmware. Da's voor een beetje script kiddie makkelijk te hacken. En als ze dan op jouw IoT device zitten, zitten ze in je netwerk. Brrrr!!! 😱
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.