Я пробовал различные сетевые системы IDS и IPS на протяжении многих лет и никогда не был доволен результатами. Либо системами было слишком сложно управлять, они запускались только при хорошо известных эксплойтах, основанных на старых сигнатурах, либо просто слишком болтали с выводом.
В любом случае я не думаю, что они предоставили настоящий защита нашей сети. В некоторых случаях они были вредными из-за разрыва действующих соединений или просто сбоя.
Я уверен, что за последние несколько лет все изменилось, поэтому какие системы IDS рекомендуются в наши дни? Есть ли у них эвристики, которые работают и не предупреждают о легитимном трафике?
Или лучше полагаться на хорошие брандмауэры и надежные хосты?
Если вы рекомендуете систему, как узнать, что она выполняет свою работу?
Как уже упоминалось в ответах ниже, давайте также получим отзывы о хост-системы обнаружения вторжений поскольку они тесно связаны с IDS на основе сети.
Для нашей текущей настройки нам нужно будет контролировать две отдельные сети с общей пропускной способностью 50 Мбит / с. Я ищу здесь реальную обратную связь, а не список устройств или служб, способных выполнять IDS.
Одна мысль; вы спрашиваете «а они того стоят». Я не хочу давать нетехнических ответов, но если вашей организации требуется IDS, чтобы указать регулирующему органу, что вы соблюдаете те или иные нормативные требования, даже если вы обнаружите, что с технологической точки зрения устройство не дает вы чего хотите, они могут быть по определению «того стоят», если будут держать вас в согласии.
Я не утверждаю, что «неважно, хорошо это или плохо», очевидно, что то, что хорошо работает, предпочтительнее того, что нет; но достижение соответствия нормативным требованиям - самоцель.
Системы обнаружения вторжений - бесценный инструмент, но их нужно использовать правильно. Если вы относитесь к NIDS как к системе, основанной на предупреждениях, где предупреждение является концом, вы будете разочарованы (хорошо, предупреждение X было создано, что мне теперь делать?).
Я рекомендую взглянуть на подход NSM (мониторинг сетевой безопасности), при котором вы смешиваете NIDS (системы оповещения) с данными сеанса и контента, чтобы вы могли правильно изучить любое оповещение и лучше настроить свою систему IDS.
* Я не могу связать, поэтому просто Google для taosecurity или NSM
В дополнение к сетевой информации, если вы смешаете HIDS + LIDS (обнаружение вторжений на основе журнала), вы получите четкое представление о том, что происходит.
** Кроме того, не забывайте, что эти инструменты не предназначены для защиты вас от атаки, а предназначены для работы в качестве камеры безопасности (физическое сравнение), чтобы можно было правильно реагировать на инциденты.
Несколько лет назад я рассмотрел несколько систем предотвращения вторжений.
Я хотел развернуть что-то между парой локаций и корпоративной сетью.
Система должна была обеспечить простоту управления и мониторинга (что-то, что можно было бы передать сотруднику службы поддержки второго уровня). Также требовались автоматические сигналы тревоги и отчеты.
В итоге я выбрал систему IPS от Tipping Point. Нам он по-прежнему нравится после нескольких лет работы. Наша реализация включает подписку на их Цифровую вакцину, которая еженедельно выводит правила об уязвимостях и эксплуатации.
Система была очень полезна для наблюдения за происходящим (предупреждать, но не предпринимать никаких действий), а также для автоматической блокировки или помещения в карантин.
В конечном итоге это стало очень полезным инструментом для обнаружения и изоляции компьютеров, зараженных вредоносным ПО, а также для блокировки трафика, связанного с перегрузкой полосы пропускания или политикой безопасности, без необходимости работы со списками контроля доступа маршрутизатора.
Чтобы иметь хорошую IDS, вам нужно несколько источников. Если IDS имеет несколько предупреждений из нескольких источников для одной и той же атаки, она сможет выдать предупреждение, которое имеет гораздо большее значение, чем просто стандартное предупреждение.
Вот почему вам необходимо сопоставить вывод HIDS (Host IDS), такой как OSSEC, и NIDS (Network IDS), например Snort. Это можно сделать с помощью Прелюдия например. Prelude будет агрегировать и сопоставлять предупреждения, чтобы иметь возможность генерировать реальные предупреждения системы безопасности, которые имеют гораздо большее значение. Скажем, например, у вас сетевая атака, если она остается сетевой атакой, вероятно, ничего страшного, но если она перерастет в атаку хоста, это вызовет соответствующие предупреждения с высоким уровнем важности.
На мой взгляд, готовые IDS / IPS того не стоят. если только вы знаете точный характер всей активности, которая должна происходить в вашей сети. Вы можете свести себя с ума, создавая исключения для глупого поведения пользователей и некорректных (законных) приложений. В сетях, которые не сильно заблокированы, я обнаружил, что шум слишком велик в любой из используемых мной систем. Вот почему мы в конечном итоге объединили магистраль в единую Linux-машину, на которой выполнялся специальный фрагмент кода C. В этом единственном фрагменте кода заключены все странности, о которых мы знали, а все остальное было подозрительным.
если ты делать Имея сильно заблокированную сеть, лучшие системы будут иметь некоторую интеграцию с вашим устройством периметра, так что будет полное соответствие политике.
Что касается определения того, выполняет ли он свою работу, лучший способ - периодически выполнять некоторые атаки самостоятельно.
Я думаю, что любая система IDS / IPS должна быть настроена специально для вашей среды, чтобы увидеть реальные преимущества. В противном случае вас просто завалит ложными срабатываниями. Но IDS / IPS никогда не заменит надлежащие брандмауэры и усиление защиты серверов.
Мы использовали установку Fortigate, на которой я работаю в течение прошлого года, и нам очень понравилось. Он делает гораздо больше, чем просто IDS / IPS, поэтому, возможно, это не совсем то, что вы ищете, но на него стоит взглянуть.
Правила IDS / IPS обновляются автоматически (по умолчанию) или могут быть обновлены вручную. Я считаю, что это правила IDS / IPS, которыми также можно управлять через веб-интерфейс. Я думаю, что простота управления связана с разбивкой защиты на профили защиты, которые затем назначаются правилам брандмауэра. Таким образом, вместо того, чтобы смотреть на все правила для каждого пакета в сети, вы получаете гораздо более целенаправленную защиту и предупреждения.
В нашей организации в настоящее время действует ряд IDS, в том числе как коммерческие, так и открытые системы. Отчасти это связано с историческими соображениями, которые происходят в университете, и с показателями успеваемости. При этом я собираюсь немного поговорить о Snort.
Я уже некоторое время разворачиваю рассылку датчиков snort для всего предприятия. В настоящее время это небольшой массив (думаю, <10), объем которого составляет пару десятков. То, что я узнал в ходе этого процесса, было бесценным; в основном с методами управления как количеством поступающих предупреждений, так и управлением этим множеством сильно распределенных узлов. Используя MRTG в качестве ориентира, у нас есть датчики, которые видят в среднем от 5 до 96 Мбит / с. Имейте в виду, что в данном ответе я говорю об IDS, а не о IDP.
Основные выводы:
Честно говоря, я заметил 5 в большом количестве систем, включая Juniper и Cisco. Мне также рассказывали истории о том, как Snort можно установить и настроить проще, чем TippingPoint, хотя я никогда не использовал этот продукт.
В целом, Snort мне очень понравился. Я в основном предпочитал включать большинство правил и тратил свое время на настройку, а не просматривал тысячи правил и решал, какие из них включить. Это немного увеличило время настройки, но я планировал это с самого начала. Кроме того, по мере того, как этот проект набирал обороты, мы также приобрели SEIM, что упростило их координацию. Так что мне удалось использовать хорошую корреляцию и агрегирование журналов в процессе настройки. Если у вас нет такого продукта, ваш опыт настройки может быть другим.
Sourcefire имеет хорошую систему, и у них есть компоненты, которые помогают обнаруживать, когда новый неожиданный трафик начинает исходить из системы. Мы запускаем его в режиме IDS, а не в режиме IPS, потому что есть проблемы, при которых может быть заблокирован законный трафик, поэтому мы отслеживаем отчеты, и в целом, похоже, он выполняет довольно приличную работу.
Прежде чем вы сможете ответить, какая IDS / IPS вам нужна, я хотел бы лучше понять вашу архитектуру безопасности. Что вы используете для маршрутизации и переключения сети, какие еще меры безопасности предусмотрены в вашей архитектуре безопасности?
Какие риски вы пытаетесь снизить, т.е. какие информационные активы подвержены риску и от чего?
Ваш вопрос слишком общий, чтобы дать вам что-либо, кроме того, что люди думают о продукте X и его лучшем по X причинам.
Безопасность - это процесс снижения рисков, и внедрение решений для ИТ-безопасности должно соответствовать выявленным рискам. Простое добавление IDS / IPS в вашу сеть на основании того, что люди считают лучшим продуктом, непродуктивно и пустая трата времени и денег.
Ура Шейн
Snort в сочетании с ACID / BASE для создания отчетов - это очень удобно для продукта OSS. Я бы попробовал, по крайней мере, чтобы намочить вам ноги.
Системы обнаружения вторжений - это больше, чем просто NIDS (сетевая). Я считаю, что для моей среды HIDS гораздо более полезен. В настоящее время я использую OSSEC, который отслеживает мои журналы, файлы и т. Д.
Итак, если вы не получаете достаточной ценности Snort, попробуйте другой подход. Может быть, modsecurity для apache или ossec для анализа логов.
Я знаю, что многие люди выберут snort как решение, и это хорошо - snort и sguil также являются хорошей комбинацией для мониторинга различных подсетей или VLAN.
В настоящее время мы используем Strataguard от StillSecure, это реализация snort в защищенном дистрибутиве GNU / Linux. Его очень легко установить и запустить (намного проще, чем просто snort), есть бесплатная версия для сред с низкой пропускной способностью и очень интуитивно понятный и полезный веб-интерфейс. Это позволяет довольно легко обновлять, настраивать, изменять и исследовать правила.
Хотя его можно установить в режиме IPS и автоматически заблокировать брандмауэр для вас, мы используем его только в режиме IDS - установили его на порт монитора на нашем центральном коммутаторе, подключили вторую сетевую карту для управления, и она отлично работает для изучение трафика. Количество ложных срабатываний (особенно предварительная настройка) является единственным недостатком, но это дает нам знать, что он работает, а интерфейс позволяет очень легко изучить подпись правила, проверить захваченные пакеты и перейти по ссылкам для исследования уязвимости. так что можно решить, действительно ли предупреждение является проблемой или нет, и при необходимости настроить предупреждение или правило.
Я бы порекомендовал Snort. Snort поддерживается почти всеми другими инструментами безопасности, уроки доступны, как и многие интерфейсные приложения. Нет никакого секрета, который делает одну IDS лучше другой. Общедоступные и местные наборы правил обеспечивают власть.
Но любые IDS (HIDS или NIDS) - это пустая трата денег, если вы не хотите проверять журналы и предупреждения, ежечасно или ежедневно. Вам нужно время и персонал, чтобы удалить ложные срабатывания и создать новые правила для локальных аномалий. IDS лучше всего описать как видеокамеру для вашей сети. Кто-то должен следить за ним и иметь право действовать в соответствии с отправляемой им информацией. Иначе ничего не стоит.
Нижняя граница. Сэкономьте на программном обеспечении, используйте IDS с открытым исходным кодом. Потратьте деньги на обучение и создайте отличную команду безопасности.
Когда люди просят об обнаружении вторжений, я думаю о серверных IDS, поскольку не имеет значения, кто проникает в вашу сеть, если они ничего не делают один раз. IDS вроде Помощник создаст хэши моментальных снимков сервера, что позволит вам точно увидеть, что изменилось на диске за определенный период.
Некоторые люди предпочитают переоснащать все свои серверы после нарушения безопасности, но я думаю, что для большинства проблем может оказаться немного излишним.
Откровенно говоря, IDS обычно является пустой тратой времени, поскольку операторы тратят все свое время на устранение ложных срабатываний. Это становится такой обузой, что система остается в стороне и игнорируется.
Большинство организаций размещают зонд вне сети и с удивлением видят тысячи атак. Это как поставить охранную сигнализацию снаружи дома и удивляться, что она срабатывает каждый раз, когда кто-то проходит мимо.
IDS любят консультанты по безопасности, чтобы показать, насколько это опасно, аудиторы как галочку, и игнорируют все остальные, поскольку это пустая трата их времени и ресурсов.
Было бы лучше потратить время на осознание того, что каждый день происходят тысячи атак, на разработку внешнего доступа и, прежде всего, на то, чтобы убедиться, что внешние системы должным образом защищены.
Дэйв