Рекомендуйте систему обнаружения проникновения (IDS/IPS), и действительно ли они стоят того?

Я знаю, что много людей выведет фырканье как решение, и это хорошо - фырканье и sguil являются хорошей комбинацией для контроля различных подсетей или VLAN, также.

Мы в настоящее время используем Strataguard от StillSecure, это - реализация фырканья на укрепленном дистрибутиве GNU/Linux. Очень легко встать и работающий (намного легче, чем одно только фырканье), имеет бесплатную версию для сред более низкой пропускной способности и очень интуитивный и полезный веб-интерфейс. Это делает довольно легким обновить, настроить, изменить, и исследовать правила.

В то время как это может быть установлено в режиме IPS и автоматически заблокировать вниз брандмауэр для Вас, мы используем его в режиме IDS только - установил его на порте монитора на нашем центральном коммутаторе, быстро всунул второй NIC для управления, и это работало отлично для тщательного исследования трафика. Количество ложных положительных сторон (особенно предварительная настройка) является единственным недостатком, но это действительно сообщает нам, что работает, и интерфейс делает очень легким исследовать подпись правила, осмотреть захваченные пакеты и перейти по ссылкам для исследования уязвимости, таким образом, можно решить, является ли предупреждение действительно проблемой или не, и скорректируйте предупреждение или правило по мере необходимости.

Системы обнаружения проникновения являются больше, чем просто NIDS (основанный на сети). Я нахожу, что для моей среды, HIDS намного более полезен. В настоящее время я использую OSSEC, который контролирует мои журналы, файлы, и т.д.

Так, если Вы не получаете достаточно значения Фырканья, попробуйте другой подход. Возможно, modsecurity для апача или ossec для анализа журнала.

Фырканье, объединенное с ACID/основой для создания отчетов, является довольно гладким для продукта OSS. Я попробовал бы это, по крайней мере, чтобы намочить ноги.

Задолго до того, как можно ответить, в чем IDS/IPS Вы нуждаетесь, я хотел бы лучше понять Вашу архитектуру безопасности. Что Вы используете для маршрута и переключаете свою сеть, что другие меры безопасности Вы имеете в своей архитектуре безопасности?

Каковы риски, которые Вы пытаетесь снизить, т.е. какие информационные активы находятся в опасности и от какой?

Ваш вопрос слишком универсален, чтобы дать Вам что-либо, но, какие люди думают о продукте X и это является лучшим по X причинам.

Безопасность является процессом уменьшения рисков, и реализация решений для безопасности IT-систем должна быть встроена с определенными рисками. Просто бросок IDS/IPS в Вашу сеть на основе того, какие люди думают, является лучшим продуктом, непроизводительно и пустая трата времени и деньги.

Аплодисменты Shane

Я думаю, что любая система IDS/IPS должна быть пользовательская настроенный на Вашу среду для наблюдения любой реальной выгоды. Иначе Вы просто лавинно рассылаетесь ложными положительными сторонами. Но IDS/IPS никогда не будет заменять надлежащие брандмауэры и укрепление сервера.

Мы использовали единицу Fortigate, где я работаю в течение прошлого года и был действительно доволен ею. Это делает намного больше, чем просто IDS/IPS, таким образом, это не может быть точно, что Вы ищете, но это достойное внимания.

Правила IDS/IPS обновляются автоматически (значение по умолчанию) или могут быть обновлены вручную. Я нахожу, что это - правила IDS/IPS, довольно управляемы также через, он - веб-интерфейс. Я думаю, что это - простота управления происходит из-за разрушения защиты в профили защиты, которые Вы затем присваиваете правилам о брандмауэре. Так вместо того, чтобы смотреть на все правила о каждом пакете в сети Вы получаете намного более сфокусированную защиту и предупреждения.

Чтобы иметь хороший IDS, Вам нужны многочисленные источники. Если IDS будет иметь несколько предупреждений от многочисленных источников для того же нападения, то он сможет запустить предупреждение, которое имеет намного больше значения затем просто стандартное предупреждение.

Поэтому необходимо коррелировать вывод от HIDS (Идентификаторы хоста), такие как OSSEC и NIDS (Идентификаторы сети), такие как Фырканье. Это может быть сделано с помощью Вводной части, например. Вводная часть агрегирует и коррелировать предупреждения, чтобы смочь генерировать реальные предупреждения системы безопасности, которые имеют намного больше значения. Скажите на пример, у Вас есть сетевая атака, если это остается сетевая атака, это - вероятно, ничто слишком плохо, но если это становится нападением хоста, что wil инициировали соответствующие предупреждения с важным высоким уровнем.

По-моему, стандартный IDS/IPS не стоит того, если Вы не знаете точный характер всего действия, которое должно быть замечено в Вашей сети. Можно управлять собой гаек исключения создания для глупого пользовательского поведения и неправильно себя ведущих (законных) приложений. В сетях, которые не высоко заблокированы вниз, я нашел, что шум является подавляющим в любой из систем, которые я использовал. Вот почему мы в конечном счете передали магистраль по каналу в единственную машину Linux, которая выполнила пользовательскую часть кода C. Та одна часть кода инкапсулировала все странности, о которых мы знали, и что-либо еще было подозреваемым.

Если Вы действительно будете иметь высоко заблокированный вниз сеть, то лучшие системы будут иметь своего рода интеграцию с Вашим устройством периметра, так, чтобы было полное соответствие политики.

До знания, делает ли это свое задание, лучший способ состоит в том, чтобы выполнить некоторые нападения самостоятельно периодически.

Одна мысль; Вы спрашиваете, "они стоящий того". Я очень не хочу дать не технический ответ, но если Ваша организация должна иметь IDS, чтобы указать к регулятивному органу, что Вы соответствуете некоторому регулированию или другому, даже если Вы находите, что с технологической точки зрения устройство не дает Вам, что Вы хотите, они могут по определению "стоить того", если они сохраняют Вас в соответствии.

Я не предполагаю, что "не имеет значения, если его польза или не", очевидно, что-то, что делает хорошее задание, предпочтено чему-то, что не делает; но достижение соответствия установленным требованиям является целью сам по себе.

Системы обнаружения проникновения являются неоценимыми инструментами, но они должны использоваться правильно. При обработке NIDS как основанной на предупреждении системы где предупреждение является концом, Вы будете расстроены (хорошо, предупреждение X было сгенерировано, что я делаю теперь?).

Я рекомендую смотреть на NSM (контроль сетевой безопасности) подход, где Вы смешиваете NIDS (предупреждающий системы) с сессией и данными содержания, таким образом, можно правильно исследовать любую аварийную и лучшую мелодию система IDS.

*Я не могу связаться, поэтому просто Google для taosecurity или NSM

В дополнение к основанной на сети информации при смешивании HIDS + КРЫШКИ (основанное на журнале обнаружение проникновения) Вы получите четкое представление о том, что продолжается.

** Плюс, не забывайте, что эти инструменты не предназначены защищение Вас от нападения, но действовать как камера видеонаблюдения (физическое сравнение), таким образом, надлежащее реагирование на инциденты может быть взято.

Sourcefire имеет хорошую систему, и у них есть компоненты, которые обнаруживает справка, когда новый неожиданный трафик начинает происходить от системы. Мы выполняем его в режиме IDS, а не режиме IPS, потому что существуют проблемы, где правомерный трафик мог бы быть заблокирован, таким образом, мы контролируем отчеты, и в целом это, кажется, делает довольно достойное задание.

Когда люди просят обнаружение проникновения, я думаю о сервере IDSs, поскольку не имеет значения, кто проникает через Вашу сеть, если они ничего не делают однажды в. IDS как ПОМОЩНИК сделает хеши снимка сервера, разрешающего Вам видеть точно, что изменилось на диске за определенный период.

Некоторые люди предпочитают повторно отображать все свои серверы после нарушения защиты, но я думаю, может быть немного излишества для большинства проблем.

Я рекомендовал бы Фырканье. Фырканье поддерживается почти всеми другими средствами обеспечения безопасности, учебные руководства легко доступны, и много приложений фронтенда - также. Нет никакого секретного соуса, который делает один IDS лучше, чем другой. Общедоступные и локальные наборы правила обеспечивают питание.

Но любой IDS (HIDS или NIDS) является пустой тратой денег, если Вы не готовы проверить журналы и предупреждения, почасовые или ежедневные. Вам требуются время и персонал, чтобы удалить ложные положительные стороны и создать новые правила для локальных аномалий. IDS лучше всего описан как видеокамера для Вашей сети. Кто-то должен наблюдать его, и иметь полномочия для реакции на информацию, которую это отправляет. Иначе это бесполезно.

Нижняя строка. Сэкономьте деньги на программном обеспечении, используйте IDS с открытым исходным кодом. Потратьте деньги на обучение и разработайте великую службу безопасности.

В нашей организации у нас в настоящее время есть много IDSes на месте, включая соединение коммерческих систем и открытый. Это должно частично к типу исторических соображений, которые происходят в университете и причинах производительности. Однако я собираюсь говорить о Фырканье для немного.

Я развертывал предприятие широкий датчик фырканья disbursal в течение некоторого времени теперь. Это в настоящее время - небольшой размерный массив (думайте <10), ограниченный по объему для достижения нескольких дюжин. Что я узнал, что прохождение через этого процесса было неоценимо; преимущественно с методами для управления обоими количество предупреждений, проникающих, а также управляющих этим много высоко распределенных узлов. Используя MRTG как руководство, у нас есть датчики, видящие в среднем 5 Мбит/с до 96 Мбит/с. Следует иметь в виду, что в целях этого ответа я говорю о IDS, не IDP.

Основные результаты:

1. Фырканье является очень полнофункциональным IDS и легко содержит его собственный w.r.t. набор функций намного более крупным и поставщикам Network Appliance без имени.
2. Самые интересные предупреждения прибывают из Появляющегося проекта Угроз.
3. WSUS приводит к глупо большому количеству ложных положительных сторон, в основном от sfPortscan препроцессора.
4. Больше, чем 2/3 датчики требует хорошей конфигурации и системы управления исправлениями.
5. Ожидайте видеть очень большое количество ложных положительных сторон, пока агрессивная настройка не будет выполнена.
6. ОСНОВА не масштабируется очень хорошо с большим количеством предупреждений, и фырканье имеет не созданный в аварийной системе управления.

Для ярмарки для фырканья я заметил 5 в большом количестве систем, включая Juniper и Cisco. Я также был рассказанными историями того, как Фырканье может быть установлено и настроено легче, чем TippingPoint, хотя я никогда не использовал тот продукт.

В целом, я был очень доволен Фырканьем. Я в основном предпочел включать большинство правил и проводить мое время, настроившись вместо того, чтобы пройти тысячи правил и решить, которые включить. Это сделало потраченную настройку времени немного выше, но я запланировал ее с самого начала. Кроме того, поскольку этот проект рос, мы также прошли покупку SEIM, которая помогла скоординировать два. Таким образом, мне удалось усилить хорошую корреляцию журнала и агрегирование во время настраивающего процесса. Если у Вас нет такого продукта, Ваша настройка опыта может отличаться.

Откровенно говоря, IDS обычно является общей пустой тратой времени, поскольку операторы проводят все свое время, настраивая ложные положительные стороны. Это становится такой нагрузкой, которую систему оставляют в углу и игнорируют.

Большинство организаций помещает датчик за пределами сети и удивлено видеть тысячи нападений. Это похоже на помещение сигнализации за пределами дома и будучи удивленным, что это уходит каждый раз, кто-то идет.

IDS любим консультантами по безопасности, чтобы показать, насколько опасный это там, аудиторы как поле галочки, и проигнорировано всеми остальными, как это - полная пустая трата их времени и ресурсов.

Время было бы лучше проведено, признавая, что существуют тысячи нападений каждый день, разрабатывая внешний доступ, и больше всего удостоверяясь, что внешние системы направления правильно укреплены.

Dave