İzinsiz giriş tespit sistemi (IDS / IPS) önerin ve buna değer mi?

Yıllar boyunca çeşitli ağ tabanlı IDS ve IPS sistemlerini denedim ve sonuçlardan hiç memnun olmadım. Sistemlerin yönetilmesi zordu, yalnızca eski imzalara dayanan iyi bilinen istismarları tetikledi ya da sadece çıktıyla çok konuşkandı.

Her durumda, ağımız için gerçek bir koruma sağladıklarını sanmıyorum . Bazı durumlarda, geçerli bağlantıların kesilmesi ya da sadece düz başarısızlık nedeniyle zararlıdırlar.

Son birkaç yılda, işlerin değiştiğinden eminim, bu günlerde önerilen IDS sistemleri nelerdir? İşe yarayan ve meşru trafik konusunda tetikte olmayan sezgisel mi?

Yoksa, iyi güvenlik duvarlarına ve sertleşmiş ana bilgisayarlara güvenmek daha mı iyi?

Bir sistem önerirseniz, işini yaptığını nereden biliyorsunuz?

Aşağıdaki cevaplarda bazılarının belirttiği gibi, ana bilgisayar izinsiz giriş tespit sistemleri hakkında , ağ tabanlı IDS ile yakından ilgili olduğu için biraz geri bildirim alalım .

Mevcut kurulumumuz için, toplam bant genişliği 50mbps olan iki ayrı ağı izlememiz gerekir. IDS yapabilen cihazların veya hizmetlerin bir listesini değil, burada bazı gerçek dünya geri bildirimlerini arıyorum.

Birkaç yıl önce birkaç izinsiz giriş önleme sistemini inceledim.

Birkaç lokasyon ile şirket ağı arasında birşeyler kurmak istedim.
Sistem, yönetilmesi ve izlenmesi kolay bir işlem sağlamaktaydı (ikinci kademe yardım masası görevlisine verilebilecek bir şey). Otomatik alarm ve raporlama da gerekiyordu.

Seçmeyi bıraktığım sistem, Bahşiş Noktasındaki IPS idi. Yıllarca yürüdükten sonra hala hoşumuza gidiyor. Uygulamamız, haftalık olarak güvenlik açığından yararlanan ve kurallardan yararlanan Dijital Aşı aboneliğini içermektedir.

Sistem, neler olup bittiğini izlemek (alarm vermek ancak işlem yapmak) ve otomatik olarak sistemleri engellemek veya karantinaya almak için çok yararlı oldu.

Bu, kötü amaçlı yazılım bulaşmış bilgisayarları bulmak ve izole etmek, ayrıca yönlendirici erişim kontrol listeleriyle çalışmak zorunda kalmadan bant genişliği sallanma veya güvenlik politikasıyla ilgili trafiği engellemek için çok yararlı bir araç haline geldi.

http://www.tippingpoint.com/products_ips.html

Bir düşünce; "Buna değer mi" diye soruyorsunuz. Teknik olmayan bir cevap vermekten nefret ediyorum, ancak kuruluşunuzun bir yasal düzenlemeye bazı düzenlemelere veya diğerlerine uygun olduğunuzu belirten bir IDS'ye sahip olması gerekiyorsa, bunu bir teknoloji perspektifinden cihazın vermemiş olduğunu bulsanız bile İstediğiniz ne olursa olsun, sizi uyum içinde tutarlarsa, "değer" olarak tanımlayabilirler.

Ben "iyi olsun ya da olmasın önemli değil" demek istemiyorum, açık bir şekilde iyi bir iş yapan bir şey tercih etmeyen bir şeye tercih edilir; ancak yasal uygunluğa ulaşmak başlı başına bir amaçtır.

Saldırı tespit sistemleri paha biçilmez bir araçtır, ancak doğru kullanılması gerekir. NIDS'inize uyarı tabanlı bir sistem olarak davranırsanız, uyarının sona erdiği yerde sinirleneceksiniz (tamam, X uyarısı oluşturuldu, şimdi ne yapacağım?).

NIDS'i (uyarı sistemleri) oturum ve içerik verileriyle karıştırdığınız NSM (Ağ güvenliği izleme) yaklaşımına bakmanızı öneririm, böylece herhangi bir uyarıyı doğru bir şekilde inceleyebilir ve IDS sisteminizi daha iyi ayarlayabilirsiniz.

* Bağlantı kuramıyorum, bu yüzden sadece güvenlik güvenliği veya NSM için google

Ağ tabanlı bilgilere ek olarak, HIDS + LIDS'i (log tabanlı izinsiz giriş tespiti) karıştırırsanız, neler olup bittiğini net bir şekilde göreceksiniz.

** Artı, bu araçların sizi bir saldırıya karşı korumak anlamına gelmediğini, ancak bir güvenlik kamerası (fiziksel karşılaştırma) olarak hareket etmenin uygun olacağı anlamına geldiğini unutmayın.

İyi bir IDS'ye sahip olmak için birden fazla kaynağa ihtiyacınız vardır. Bir IDS'nin aynı saldırı için birden fazla kaynaktan birden fazla uyarısı varsa, sadece standart bir uyarıdan çok daha fazla anlamı olan bir uyarıyı çalıştırabilir.

Bu nedenle, OSSEC gibi HIDS (Host IDS) ve Snort gibi NIDS (Network IDS) çıktılarını ilişkilendirmeniz gerekir. Bu, örneğin Prelude kullanılarak yapılabilir . Prelude, çok daha fazla anlamı olan gerçek güvenlik uyarıları üretebilmek için uyarıları onaylar ve ilişkilendirir. Örneğin, bir ağ saldırınız olduğunu söyleyin, eğer bir ağ saldırısı kalırsa, muhtemelen çok da kötü bir şey değil, ancak bir ana bilgisayar saldırısı olursa, bu önemli uyarıları uygun bir şekilde tetikler.

Bence, ağda görünmesi gereken tüm aktivitelerin doğasını bilmediğiniz sürece kullanıma hazır IDS / IPS buna değmez . Kendinizi aptal kullanıcı davranışı ve yanlış davranış (meşru) uygulamaları için istisnalar oluşturarak kendinizi deliğe sokabilirsiniz. Çok fazla kilitlenmeyen ağlarda, kullandığım sistemlerin hiçbirinde bunaltıcı bir ses buldum. Bu yüzden sonunda omurgayı özel bir C kodu parçasını çalıştıran tek bir linux makineye aktardık. Bu bir kod parçası bildiğimiz tüm tuhaflıkları kapsıyordu ve başka bir şey şüpheliydi.

Eğer varsa yapmak son derece kilitli ağına sahibiz, en iyi sistemleri tam politika maç var ki, senin çevre cihazı ile entegrasyon çeşit olacak.

İşini yapıp yapmadığını bilmek kadarıyla, en iyi yol, periyodik olarak bazı saldırılar yapmaktır.

Herhangi bir IDS / IPS sisteminin, gerçek faydaları görmek için ortamınıza göre ayarlanması gerektiğini düşünüyorum. Aksi takdirde yanlış pozitiflerle doluyorsun. Ancak IDS / IPS hiçbir zaman uygun güvenlik duvarlarının ve sunucu sertleştirmenin yerine geçmez.

Geçen yıl çalıştığım ve gerçekten çok mutlu olduğum bir Fortigate ünitesi kullanıyorduk. IDS / IPS'den çok daha fazlasını yapar, bu nedenle tam olarak aradığınız şey olmayabilir, ancak bakmaya değer.

IDS / IPS kuralları otomatik olarak güncellenir (varsayılan) veya manuel olarak güncellenebilir. IDS / IPS kurallarının web arayüzü üzerinden de oldukça iyi yönetilebildiğini biliyorum. Bence yönetim kolaylığı, korumayı güvenlik duvarındaki kurallara atadığınız koruma profillerine bölmekten kaynaklanıyor. Böylece ağdaki her paketteki tüm kurallara bakmak yerine, çok daha fazla odaklanmış koruma ve uyarılar elde edersiniz.

Kuruluşumuzda, halihazırda yürürlükte olan ve ticari sistemlerin bir karışımını içeren bir dizi IDS'ye sahibiz. Bu, kısmen üniversitede meydana gelen tarihi düşünceler ve performans nedenlerinden kaynaklanmaktadır. Olduğu söyleniyor, Snort hakkında biraz konuşacağım.

Bir süredir şirket çapında bir snort sensörünün kullanıldığını gördüm. Bu, ufak boyutlu bir dizidir (şu an için <10). Bu süreçten geçerken öğrendiklerim paha biçilmezdi; Prensip olarak, gelen birçok uyarıyı yönetme tekniklerinin yanı sıra bu çok yüksek oranda dağılmış düğümü yönetme. MRTG'yi bir kılavuz olarak kullanarak, 96 MBps'ye kadar ortalama 5 Mbps algılayan sensörlere sahibiz. Bu cevabın amaçları için IDP hakkında değil IDS'den bahsettiğimi unutmayın.

Başlıca bulgular:

1. Snort, çok tam özellikli bir IDS'dir ve kendi wrt özelliğini çok daha büyük ve isim verilmeyen ağ cihazı satıcılarına ayarlayarak kolayca tutar.
2. En ilginç uyarılar Yeni Gelişen Tehditler projesinden geliyor.
3. WSUS, büyük ölçüde sfPortscan ön işlemcisinden aptalca çok sayıda yanlış pozitif sonuçlanır.
4. 2/3 sensörden fazlası iyi bir konfigürasyon ve yama yönetimi sistemi gerektirir.
5. Bir görmeyi beklediğiniz çok agresif ayar yapılana kadar yanlış pozitif sayıda.
6. BASE, çok sayıda uyarıyla çok iyi ölçeklenmiyor ve snort'un yerleşik bir alarm yönetim sistemi yok.

Snort için adil olmak gerekirse, Juniper ve Cisco dahil olmak üzere çok sayıda sistemde 5 fark ettim. Ayrıca, bu ürünü hiç kullanmamış olmama rağmen, Snort'un TippingPoint'ten daha kolay nasıl kurulabildiği ve yapılandırılabileceği ile ilgili hikayeler de verildi.

Sonuçta, Snort ile çok mutlu oldum. Çoğu kuralı açmayı ve zamanlarımı binlerce kurala geçip hangilerinin açılacağına karar vermek yerine ayarlamayı harcamayı tercih ettim. Bu, ayar yapmak için harcanan zamanı biraz daha yükseğe çıkardı, ancak başlangıçta bunun için planladım. Ayrıca, bu proje hız kazanırken, aynı zamanda ikisini koordine etmeyi kolaylaştıran bir SEIM alımını gerçekleştirdik. Bu yüzden, ayarlama işlemi sırasında iyi bir günlük korelasyonundan ve toplamından yararlanmayı başardım. Eğer böyle bir ürününüz yoksa, deneyim ayarınız farklı olabilir.

Sourcefire'ın iyi bir sistemi var ve beklenmedik yeni trafiklerin bir sistemden yayılmaya başladığını keşfetmeye yardımcı olan bileşenlere sahipler. IPS modu yerine IDS modunda çalıştırıyoruz, çünkü meşru trafiğin engellenebileceği sorunlar var, bu yüzden raporları izliyoruz ve genel olarak oldukça iyi bir iş çıkarmış gibi görünüyor.

İhtiyacınız olan IDS / IPS'ye cevap vermeden önce, güvenlik mimarinizi daha iyi anlamak istiyorum. Ağınızı yönlendirmek ve değiştirmek için ne kullanıyorsunuz, güvenlik mimarisinde başka hangi güvenlik önlemleri alıyorsunuz?

Azaltmaya çalıştığınız riskler nelerdir, yani hangi bilgi varlıkları risk altındadır ve neden?

Sorunuz size hiçbir şey vermeyecek kadar geneldir, insanların X ürünüyle ilgili düşünceleri ve X nedenleriyle en iyisidir.

Güvenlik bir risk azaltma sürecidir ve BT güvenlik çözümlerinin uygulanmasının belirlenen risklerle aynı hizada olması gerekir. İnsanların en iyi ürün olduğunu düşündüğüne, verimsiz olduğuna ve zaman ve para kaybına bağlı olarak IDS / IPS'yi ağınıza atmanız yeterli.

Şerefe Shane

Raporlama için ACID / BASE ile birleştirilen Snort, bir OSS ürünü için oldukça kaygandır. Bunu denerdim, en azından ayaklarını ıslatmak için.

Saldırı tespit sistemleri sadece bir NIDS'ten (ağ tabanlı) daha fazlasıdır. Çevrem için HIDS'in çok daha faydalı olduğunu biliyorum. Şu anda günlüklerimi, dosyalarımı vb. İzleyen OSSEC kullanıyorum.

Bu nedenle, Snort'un yeterli değerini alamıyorsanız, farklı bir yaklaşım deneyin. Belki apache için modsecurity veya log analizi için ossec.

Birçok insanın snortu bir çözüm olarak atacağını biliyorum ve bu iyi - snort ve sguil farklı alt ağları veya VLAN'ları izlemek için de iyi bir kombinasyon.

Halen StillSecure'dan Strataguard kullanıyoruz , bu sertleştirilmiş bir GNU / Linux dağıtımında bir snort uygulaması. Kalkması ve çalışması çok kolaydır (yalnız snorttan çok daha kolaydır), düşük bant genişlikli ortamlar için ücretsiz bir sürüme ve çok sezgisel ve kullanışlı bir web arayüzüne sahiptir. Kuralların güncellenmesini, ayarlanmasını, değiştirilmesini ve araştırılmasını oldukça kolaylaştırır.

IPS modunda kurulabilen ve güvenlik duvarını sizin için otomatik olarak kilitleyebilse de, onu yalnızca IDS modunda kullanıyoruz - merkezi anahtarımızın üzerindeki monitör bağlantı noktasına kurduktan sonra yönetim için ikinci bir NIC açtı ve trafiği incelemek. Sahte pozitiflerin sayısı (espeically ön ayarlama) tek dezavantajıdır, ancak bu bize çalıştığını bildirir ve arayüz kural imzasını incelemeyi, yakalanan paketleri incelemeyi ve güvenlik açığını araştırmak için bağlantıları takip etmeyi çok kolaylaştırır. Bu nedenle, uyarının gerçekten bir sorun olup olmadığına karar verebilir ve uyarıları veya kuralı gerektiği gibi ayarlayabilirsiniz.

Snort'u tavsiye ederim. Snort hemen hemen tüm diğer güvenlik araçları tarafından desteklenir, öğreticiler hazırdır ve birçok ön uç uygulaması da vardır. Bir IDS'yi diğerinden daha iyi yapan gizli bir sos yok. Kamu ve yerel kural kümeleri gücü sağlar.

Ancak herhangi bir IDS (HIDS veya NIDS), günlükleri ve uyarıları saatlik veya günlük olarak kontrol etmeye istekli olmadığınız sürece, bir para israfıdır. Yanlış pozitifleri kaldırmak ve yerel anomaliler için yeni kurallar oluşturmak için zamana ve personele ihtiyacınız var. Bir IDS, ağınız için en iyi video kamera olarak tanımlanır. Birisinin onu izlemesi ve gönderdiği bilgilere göre hareket etme yetkisi olması gerekiyor. Aksi takdirde değersizdir.

Alt çizgi. Yazılımdan tasarruf edin, açık kaynak kodlu bir IDS kullanın. Eğitime para harcayın ve mükemmel bir güvenlik ekibi geliştirin.

İnsanlar izinsiz giriş tespiti istediğinde, sunucu IDS'lerini bir keresinde bir şey yapmazlarsa ağınıza kimin girdiğinin bir önemi olmadığını düşünüyorum. AIDE gibi bir IDS bir sunucunun anlık görüntüsünü tam olarak ne olduğunu görmenizi sağlar diskte belirli bir süre boyunca değişti.

Bazı insanlar güvenlik ihlalinden sonra tüm sunucularını yeniden düzenlemeyi tercih ediyorlar, ancak çoğu sorun için biraz fazla sorumluluk alabileceğimi düşünüyorum.

Açıkçası, IDS genellikle operatörler bütün zamanlarını yanlış pozitifleri ayarlamak için harcadıkları için toplam zaman kaybıdır. Öyle bir sistem olur ki, sistem bir köşede bırakılır ve ihmal edilir.

Çoğu kuruluş probu ağın dışına yerleştirir ve binlerce saldırı görmekten şaşırır. Evin dışına hırsız alarmı koymak ve birinin her yanına geldiğinde onu şaşırtmak gibi.

IDS, güvenlik danışmanları tarafından orada ne kadar tehlikeli olduğunu, denetçilerin bir onay kutusu olduğunu ve zamanlarının ve kaynaklarının tamamen israfı olduğu için herkes tarafından göz ardı edildiğini göstermek için seviliyor.

Her gün binlerce saldırı bulunduğunu, dış erişimi tasarladığını ve çoğu da dış cephe kaplama sistemlerinin uygun şekilde sertleştirildiğinden emin olmak için zaman harcanması daha iyi olacaktır.

Dave