Hallo zusammen,
in letzter Zeit habe ich Einlogversuche auf meiner FritzBox festgestellt, die nicht von mir stammen. Sie war bis dato via https aus dem Internet ansprechbar. Diese Möglichkeit habe ich nun temporär deaktiviert.
Vor der Zeit der FritzBoxen hatte ich einen Softwarerouter (Smoothwall) in Betrieb. Dieser beschäftigte auch ein IDS und es war erschreckend, was da auf mein Heimnetzwerk einprasselte.
Unter der Woche habe ich auf der FritzBox immer den Port 22 mit einer Weiterleitung auf mein NAS geöffnet. Das NAS läuft mit Debian 12. Selbstverständlich ist ein root Login darauf nicht möglich. Jetzt kann ich auch nicht wirklich Einlogversuche über diesen Port in den Log Dateien lokalisieren.
Macht es Sinn ein IDS auf der Maschine zu installieren?
Ist für mich ein IDS sinnvoll?
Re: Ist für mich ein IDS sinnvoll?
Bezogen auf die (automatisierten) Loginversuche auf den SSH-Port? Nein – ein IDS verhindert sowas nicht. Es verhindert nicht mal einen erfolgreichen Einbruch – es soll dich in dem Fall optimalerweise darüber informieren. Wenn dich die Logeinträge stören: die Scripte klappern in der Regel nur die bekannten Ports, seltener die unteren 1024 Ports komplett ab → Daemon auf einen Port etwa bei 30k legen und schon ist das Rauschen in den Logs weg.
Ansonsten: wenn sich jemand damit besser fühlt und insbesondere die Zeit und die Energie aufbringen möchte, sich da einzuarbeiten, sollte er das machen. Nachdem alles Andere getan ist, um Einbrüche zu verhindern, natürlich. Ist aber auch nur meine persönliche Meinung – YMMV.
„I fought in the Vim-Emacs-War.“ Quelle