frage zu intrusion detection systems mit vorgeschaltetem Tab

RaistlinMajere · 16.05.2006, 20:08

ich mache mich gerade über IDS schlau und bin folglich auch auf tabs gestoßen, die ja in diesem zusammenhang gern verwendet werden.

nun habe ich in mehreren quellen, u.a. diesem paper (seite 4, letzter absatz vor überschrift "varity allows costumization...") gelesen, daß es empfehlenswert ist, wenn ein IDS 2 interfaces hat. eines, das an den Tab angeschlossen und für das restliche netzwerk "unsichtbar" ist sowie ein anderes, das teil eines vom übrigen, "normalen" netzwerk abgeschotteten netzwerks ist und nur dazu dient, das IDS zu administrieren.
soweit, so gut. nur ist in dem verlinkten paper davon die rede, daß über dieses administrationsnetzwerk auch andere administrationsarbeiten gemacht werden können, die aber auf das "normale" netwerk zugreifen. nur wie soll das gehen? entsprechende pakete (z.b. zum killen einer session) müßten dann doch über das interface ausgesandt werden, das im "normalen" netzwerk hängt. nur das ist doch unsichtbar... (= hat keine ip-adresse)

kann mir jemand bitte erklären, wie das funktionieren soll?

RaistlinMajere · 16.05.2006, 21:27

eine grundsätzliche frage stellt sich mir auch noch: sinn eines Taps ist es ja angeblich, ein dahinterliegendes IDS gegen bestimmte angriffe aus dem netzwerk, in dem es snifft, zu schützen.

nur passiert das nicht ohnedies, in dem sich die NIC des IDS im promiscous mode befindet (und daher keine IP-adresse hat)?

ich sehe hier keinen zusätlichen schutz, da sich das IDS ja selbst in den promiscous mode schaltet. den einzigen sinn, den ich in dem Tap sehe, ist der, daß es sich dabei um das element handelt, das es dem IDS erst ermöglicht, überhaupt zu sniffen, weil es sich dort "unsichtbar" dort platziert, wo der traffic vorbeikommt.

dasselbe könnte man auch mit hilfe eines hubs erreichen, nur davon wird zurecht wegen der daraus resultierenden kollisionen im fullduplex-betrieb abgeraten. kann ich mir ein Tap also wie einen fullduplex-fähigen hub vorstellen? ähnlich sind sie ja, das wurde auch in einer dokumentation so geschrieben.

16.05.2006, 20:08	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	frage zu intrusion detection systems mit vorgeschaltetem Tab ich mache mich gerade über IDS schlau und bin folglich auch auf tabs gestoßen, die ja in diesem zusammenhang gern verwendet werden. nun habe ich in mehreren quellen, u.a. diesem paper (seite 4, letzter absatz vor überschrift "varity allows costumization...") gelesen, daß es empfehlenswert ist, wenn ein IDS 2 interfaces hat. eines, das an den Tab angeschlossen und für das restliche netzwerk "unsichtbar" ist sowie ein anderes, das teil eines vom übrigen, "normalen" netzwerk abgeschotteten netzwerks ist und nur dazu dient, das IDS zu administrieren. soweit, so gut. nur ist in dem verlinkten paper davon die rede, daß über dieses administrationsnetzwerk auch andere administrationsarbeiten gemacht werden können, die aber auf das "normale" netwerk zugreifen. nur wie soll das gehen? entsprechende pakete (z.b. zum killen einer session) müßten dann doch über das interface ausgesandt werden, das im "normalen" netzwerk hängt. nur das ist doch unsichtbar... (= hat keine ip-adresse) kann mir jemand bitte erklären, wie das funktionieren soll? ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

16.05.2006, 21:27	#2
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	eine grundsätzliche frage stellt sich mir auch noch: sinn eines Taps ist es ja angeblich, ein dahinterliegendes IDS gegen bestimmte angriffe aus dem netzwerk, in dem es snifft, zu schützen. nur passiert das nicht ohnedies, in dem sich die NIC des IDS im promiscous mode befindet (und daher keine IP-adresse hat)? ich sehe hier keinen zusätlichen schutz, da sich das IDS ja selbst in den promiscous mode schaltet. den einzigen sinn, den ich in dem Tap sehe, ist der, daß es sich dabei um das element handelt, das es dem IDS erst ermöglicht, überhaupt zu sniffen, weil es sich dort "unsichtbar" dort platziert, wo der traffic vorbeikommt. dasselbe könnte man auch mit hilfe eines hubs erreichen, nur davon wird zurecht wegen der daraus resultierenden kollisionen im fullduplex-betrieb abgeraten. kann ich mir ein Tap also wie einen fullduplex-fähigen hub vorstellen? ähnlich sind sie ja, das wurde auch in einer dokumentation so geschrieben. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)