# IDS & IPS: Die intelligente Gefahrenabwehr im Netzwerk
TL;DR / Management Summary Eine Firewall (Artikel 751) prüft nur das “Schild” des Pakets. IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) hingegen lesen den “Inhalt” (Deep Packet Inspection). Sie vergleichen den Datenstrom mit bekannten Angriffsmustern (Signaturen). Ein Senior Admin nutzt Suricata oder Snort, um Trojaner-Kommunikation, Ransomware-Scanning und Exploit-Versuche am Gateway automatisch zu erkennen und im IPS-Modus sofort zu blockieren.
# 1. IDS vs. IPS: Die zwei Modi
Erkennen vs. Handeln.
- IDS (Intrusion Detection): Passiver Beobachter. Liest eine Kopie des Traffics (via Mirror-Port). Meldet Alarme, greift aber nicht ein.
- Vorteil: 0% Risiko für Fehlblockaden (False Positives).
- IPS (Intrusion Prevention): Aktiver Türsteher. Sitzt direkt in der Leitung (Inline). Erkennt er ein bösartiges Paket, wird es sofort gelöscht.
- Vorteil: Verhindert den Angriff in Echtzeit.
- Nachteil: Ein Fehlalarm kann produktive Dienste blockieren.
# 2. Erkennungsmethoden
Wie das System ‘denkt’.
- Signaturbasiert: Vergleicht Pakete mit einer Datenbank bekannter Malware-Muster (ähnlich wie ein Virenscanner).
- Vorteil: Sehr genau bei bekannter Malware.
- Anomaliebasiert: Lernt das “normale” Verhalten des Netzes. Meldet alles, was abweicht (z.B. ein Drucker, der plötzlich 1 GB Daten ins Internet schickt).
- Vorteil: Kann neue (“Zero-Day”) Angriffe finden.
# 3. Deep Dive: Suricata in OPNsense
Die Engine unter der Haube.
Suricata ist die moderne Wahl für OPNsense (Artikel 589).
- Multi-Threaded: Nutzt alle CPU-Kerne für den Scan (Wichtig bei 1G+ Leitungen).
- Protocol Decoding: Versteht HTTP, DNS, TLS und viele mehr.
- Regelsätze: Nutzt die Emerging Threats (ET) Listen, die täglich aktualisiert werden.
# 4. Day-2 Operations: False Positive Management
Den ‘guten’ Traffic befreien.
Jedes IPS wird am Anfang legitimen Traffic blockieren.
- Strategie:
- IDS für 2-4 Wochen im “Log Only” Modus betreiben.
- Alarme analysieren: Welche Regeln treffen harmlose Dienste?
- Diese Regeln deaktivieren oder anpassen (Supressing).
- Erst dann den IPS mode (Blocking) aktivieren.
# 5. Troubleshooting & “War Stories”
Wenn die Sicherheit bremst.
# Top 3 Fehlerbilder
-
Symptom: Internet-Bandbreite bricht ein (z.B. von 1G auf 200M).
- Ursache: Die CPU der Firewall ist zu schwach für das Scan-Niveau.
- Lösung: Hardware-Offloading deaktivieren oder schnellere CPU nutzen (Artikel 588).
-
Symptom: SSL/TLS Webseiten lassen sich nicht mehr öffnen.
- Ursache: Suricata blockiert “seltsame” Zertifikate oder nutzt SNI-Filtering zu aggressiv.
-
Symptom: Keine Alarme im Log.
- Ursache: Regeln wurden heruntergeladen, aber nicht auf die Interfaces (WAN/LAN) angewendet.
# “War Story”: Der “Log-Zerstörer”
Ein Admin aktivierte alle verfügbaren Regelsätze (über 50.000 Regeln) gleichzeitig. Das Ereignis: Die Firewall war sofort bei 100% CPU-Last. Da er “Log all alerts” aktiv hatte, füllte der Suricata-Dienst das Log-Volume (ZFS) innerhalb von 2 Stunden mit 100 GB an Datenmüll. Das Ergebnis: Der Host fror ein, da der Kernel keinen Platz mehr für Metadaten hatte. Lehre: Aktivieren Sie nur die Regelsätze, die zu Ihrer Infrastruktur passen (z.B. keine SCADA-Regeln in einer Werbeagentur). Starten Sie schlank und wachsen Sie nach Bedarf.
# 6. Monitoring & Reporting
Security-Audit.
# EVE JSON Log
Suricata liefert detaillierte JSON-Daten.
- Aktion: Senden Sie diese Logs an ein SIEM (z.B. Graylog oder Splunk).
- KPI:
Top 10 Attacks per Country.Top Blocked Internal Hosts(Suche nach infizierten PCs).
# 7. Fazit & Empfehlung
IDS/IPS ist die “Versicherung” für das Netzwerk.
- Empfehlung: Nutzen Sie Suricata im IPS-Modus auf Ihrem WAN-Interface.
- Wichtig: Verwenden Sie für verschlüsselten Traffic (HTTPS) einen Reverse Proxy (Artikel 564), da Suricata in verschlüsselten Paketen ohne SSL-Interception nur den Header, nicht aber die Payload scannen kann.
# Anhang: Cheatsheet (Common Rule Categories)
| Kategorie | Zweck | Empfehlung |
|---|---|---|
| ET CINS | Bekannte Botnet-IPs | Immer Ein |
| ET MALWARE | Trojaner-Signaturen | Immer Ein |
| ET SCAN | Portscanner Erkennung | Nur WAN |
| ET GAMES | Blockiert Spiele | Optional (Policy) |