Frage Empfehlen Sie ein Intrusion Detection System (IDS / IPS), und sind sie das wert?


Ich habe im Laufe der Jahre verschiedene netzwerkbasierte IDS- und IPS-Systeme ausprobiert und bin mit den Ergebnissen nie zufrieden gewesen. Entweder waren die Systeme zu schwierig zu verwalten, nur auf bekannten Exploits basierend auf alten Signaturen ausgelöst, oder waren einfach zu geschwätzig mit der Ausgabe.

Auf jeden Fall fühle ich nicht, dass sie zur Verfügung gestellt werden echt Schutz für unser Netzwerk. In einigen Fällen waren sie schädlich, weil sie gültige Verbindungen verloren oder einfach fehlgeschlagen waren.

Ich bin mir sicher, dass sich die Dinge in den letzten Jahren geändert haben. Was sind die empfohlenen IDS-Systeme in diesen Tagen? Haben sie Heuristiken, die funktionieren und nicht über legitimen Verkehr alarmieren?

Oder ist es besser, sich auf gute Firewalls und gehärtete Hosts zu verlassen?

Wenn Sie ein System empfehlen, wie wissen Sie, dass es seine Aufgabe erfüllt?

Wie einige in den Antworten unten erwähnt haben, lassen Sie uns auch etwas Feedback dazu bekommen Host-Intrusion-Detection-Systeme da sie eng mit netzwerkbasierten IDS verbunden sind.

Für unser derzeitiges Setup müssten wir zwei separate Netzwerke mit einer Gesamtbandbreite von 50mbps überwachen. Ich suche hier ein reales Feedback, nicht eine Liste von Geräten oder Diensten, die IDS ausführen können.


23
2018-06-02 21:02


Ursprung


Das ist eine gute Frage! Ich hatte die gleichen Gedanken über ein falsches Gefühl der Sicherheit. Ich freue mich auf die Empfehlungen. - BillN
Es wäre schön, noch ausführlichere Bewertungen der empfohlenen IDS-Systeme zu sehen. :) - Doug Luxem


Antworten:


Vor einigen Jahren überprüfte ich mehrere Intrusion Prevention-Systeme.

Ich wollte etwas zwischen einigen Standorten und dem Unternehmensnetzwerk bereitstellen.
Das System sollte leicht zu verwalten und zu überwachen sein (etwas, das an einen Helpdesk-Mitarbeiter der zweiten Ebene weitergegeben werden könnte). Automatisierte Alarmierung und Berichterstattung wurden ebenfalls benötigt.

Das System, das ich am Ende ausgewählt habe, war das IPS von Tipping Point. Wir mögen es immer noch, nachdem wir mehrere Jahre dort waren. Unsere Implementierung umfasst das Abonnement ihres Digital Vaccine, das die Schwachstellen und die Exploit-Regeln wöchentlich ausschaltet.

Das System war sehr nützlich, um zu beobachten, was vor sich geht (Alarm, aber nichts zu tun), sowie Systeme automatisch zu blockieren oder zu isolieren.

Dies war ein sehr nützliches Tool zum Lokalisieren und Isolieren von mit Schadsoftware infizierten Computern sowie zum Blockieren von Bandwidth-Hogging oder Sicherheitsrichtlinien-bezogenem Datenverkehr, ohne mit Router-Zugriffskontrolllisten arbeiten zu müssen.

http://www.tippingpoint.com/products_ips.html


4
2018-06-11 21:24



Vielen Dank. Wie gut behandelt der Tipping Point Falschpositivitäten? - Doug Luxem
Ich hatte kein Problem mit falschen positiven Ergebnissen. Das kann an der Art liegen, wie ich es betreibe. Es gibt eine große Anzahl von Regeln, da die meisten Regeln in einer Warnung ausgeführt werden, aber nicht blockiert werden. Warnungen reichen von der Zählung und Anzeige im Dashboard bis hin zur automatischen Quarantäne, zum Blockieren und E-Mail-Alarm. Es ist sehr flexibel. Wenn der Helpdesk auf einen infizierten Computer stößt, wird dieser manuell im System unter Quarantäne gestellt, bis er sie aufrufen kann. Ich werde über die GUI nach diesem Computer suchen und nachsehen, ob es ein charakteristisches Muster gibt, wenn es auf eine aktivere Antwort eingestellt ist. - JayC
JayC macht es genau richtig. Sie können sich nicht darauf verlassen, dass diese Systeme (von jedem Hersteller) das Problem zu 100% korrekt identifizieren, und manuelle Eingriffe sind erforderlich, um sie ordnungsgemäß zu implementieren. - Jim B


Ein Gedanke; Sie fragen "sind sie es wert". Ich hasse es, eine nicht-technische Antwort zu geben, aber wenn Ihre Organisation ein IDS haben muss, um einer Aufsichtsbehörde anzuzeigen, dass Sie irgendeine Vorschrift einhalten, selbst wenn Sie das aus technologischer Sicht nicht finden Sie, was Sie wollen, können sie per Definition "es wert" sein, wenn sie Sie in Übereinstimmung halten.

Ich behaupte nicht, dass "es egal ist, ob es gut ist oder nicht", offensichtlich wird etwas, das einen guten Job macht, einem etwas vorgezogen, das das nicht tut; Die Einhaltung der Vorschriften ist jedoch selbst ein Ziel.


13
2018-06-02 22:20



Ich denke, dass Sie für viele IT-Sicherheitsprodukte den Nagel auf den Kopf getroffen haben. Wie viele Leute installieren etwas, nur damit ein Auditor es auf einer Box überprüfen kann? - Doug Luxem
aber in diesem Fall, wenn es gut ist oder nicht, würde ich lieber nichts haben, als etwas, das behauptet etwas zu tun !!! Ist dieses Feuer auf der Seite eines 40-stöckigen Bauwerks möglich? Ich bevorzuge ....... es gibt keine Feuerleiter überhaupt !! Komm damit klar - The Unix Janitor


Intrusion Detection Systeme sind unschätzbare Werkzeuge, aber sie müssen richtig verwendet werden. Wenn Sie Ihren NIDS als ein alertbasiertes System behandeln, bei dem die Warnung das Ende ist, werden Sie frustriert sein (OK, Alarm X wurde generiert, was mache ich jetzt?).

Ich empfehle, den NSM-Ansatz (Network Security Monitoring) zu betrachten, bei dem Sie NIDS (Alarmierungssysteme) mit Sitzungs- und Inhaltsdaten mischen, so dass Sie jeden Alarm richtig untersuchen und Ihr IDS-System besser abstimmen können.

* Ich kann nicht verlinken, also googeln Sie einfach nach taosecurity oder NSM

Wenn Sie zusätzlich zu den netzwerkbasierten Informationen HIDS + LIDS (log-based intrusion detection) mischen, erhalten Sie eine klare Übersicht über die Vorgänge.

Vergessen Sie außerdem nicht, dass diese Tools nicht dazu gedacht sind, Sie vor Angriffen zu schützen, sondern als Überwachungskameras (physischer Vergleich), damit eine angemessene Reaktion auf Vorfälle erfolgen kann.


6
2018-06-03 16:02



+1 für Netzwerksicherheitsüberwachung und TaoSecurity - Josh Brower


Um ein gutes IDS zu haben, benötigen Sie mehrere Quellen. Wenn ein IDS mehrere Alarme für denselben Angriff aus mehreren Quellen enthält, kann es einen Alarm auslösen, der viel mehr Bedeutung als nur einen Standardalarm hat.

Aus diesem Grund müssen Sie die Ausgabe von HIDS (Host IDS) wie OSSEC und NIDS (Network IDS) wie Snort korrelieren. Dies kann unter Verwendung von Auftakt zum Beispiel. Prelude aggregiert und korreliert Warnungen, um echte Sicherheitswarnungen generieren zu können, die viel mehr Bedeutung haben. Sagen wir zum Beispiel, Sie haben einen Netzwerkangriff, wenn es ein Netzwerkangriff bleibt, ist es wahrscheinlich nichts schlimmes, aber wenn es ein Hostangriff wird, werden entsprechende Warnungen mit einem hohen Grad an Wichtigkeit ausgelöst.


4
2018-06-03 05:19





Meiner Meinung nach ist IDS / IPS von der Stange nicht wert es sei denn Sie kennen die genaue Art aller Aktivitäten, die in Ihrem Netzwerk angezeigt werden sollten. Sie können sich selbst verrückt machen, indem Sie Ausnahmen für dummes Benutzerverhalten und sich schlecht benehmende (legitime) Anwendungen erstellen. In Netzwerken, die nicht stark gesperrt sind, habe ich festgestellt, dass das Rauschen in jedem der Systeme, die ich verwendet habe, überwältigend ist. Aus diesem Grund haben wir das Backbone schließlich in eine einzige Linux-Maschine verwandelt, die einen benutzerdefinierten C-Code ausführt. Dieses eine Stück Code verkapselte all die Unheimlichkeiten, von denen wir wussten, und alles andere war verdächtig.

Wenn du tun Wenn Sie ein hochgradig abgesperrtes Netzwerk haben, verfügen die besten Systeme über eine Art Integration in Ihr Perimeter-Gerät, so dass eine vollständige Übereinstimmung der Richtlinien gewährleistet ist.

Was das Wissen angeht, ob es seine Aufgabe erfüllt, ist der beste Weg, einige Angriffe selbst periodisch auszuführen.


2
2018-06-02 21:57





Ich denke, jedes IDS / IPS-System muss auf Ihre Umgebung abgestimmt sein, um echte Vorteile zu sehen. Sonst werden Sie nur mit falschen Positivs überflutet. Aber IDS / IPS wird nie die richtigen Firewalls und Server-Hardening ersetzen.

Wir haben eine Fortigate-Einheit benutzt, in der ich das letzte Jahr gearbeitet habe und ich war wirklich glücklich damit. Es ist viel mehr als nur IDS / IPS, also ist es vielleicht nicht genau das, wonach Sie suchen, aber es ist einen Blick wert.

Die IDS / IPS-Regeln werden automatisch aktualisiert (Standard) oder können manuell aktualisiert werden. Ich finde, dass die IDS / IPS-Regeln über das Web-Interface auch ziemlich überschaubar sind. Ich denke, es liegt an der Einfachheit des Managements, den Schutz in Schutzprofile zu zerlegen, die Sie dann Regeln auf der Firewall zuweisen. Anstatt alle Regeln für jedes Paket im Netzwerk zu betrachten, erhalten Sie viel gezielter Schutz und Warnungen.


2
2018-06-02 22:05



+1 für die Empfehlung von Fortigate. Wir verwenden hier eine Fortifate 50B, sie war felsenfest und sehr einfach zu konfigurieren. - Chris Driver


In unserer Organisation haben wir eine Reihe von IDS derzeit vorhanden, einschließlich einer Mischung aus kommerziellen Systemen und Open. Dies ist teilweise auf die Art von historischen Überlegungen zurückzuführen, die an einer Universität auftreten, und auf Leistungsaspekte. Davon abgesehen werde ich für ein bisschen über Snort sprechen.

Ich habe schon seit geraumer Zeit einen unternehmensweiten Schnupfensensor ausgetragen. Dies ist derzeit ein kleineres Array (glaube <10), das auf ein paar Dutzend beschränkt ist. Was ich durch diesen Prozess gelernt habe, war von unschätzbarem Wert; hauptsächlich mit Techniken, um sowohl die Anzahl von Alarmen, die durchkommen, als auch die Verwaltung dieser vielen hoch verteilten Knoten zu verwalten. Unter Verwendung von MRTG haben wir Sensoren, die im Durchschnitt 5 Mbit / s bis 96 Mbit / s sehen. Denken Sie daran, dass ich für die Zwecke dieser Antwort über IDS, nicht IDP spreche.

Die wichtigsten Ergebnisse sind:

  1. Snort ist ein sehr voll ausgestattetes IDS und leicht hält seinen eigenen w.r.t. Feature-Set für viel größere und unbenannte Netzwerk Appliance-Anbieter.
  2. Die interessantesten Warnungen kommen von der Neue Bedrohungen Projekt.
  3. WSUS führt zu einer dümmlich großen Anzahl von Fehlalarmen, größtenteils vom sfPortscan-Präprozessor.
  4. Mehr als 2/3 Sensoren erfordern ein gutes Konfigurations- und Patch-Management-System.
  5. Erwarten Sie, ein zu sehen sehr eine große Anzahl von falsch positiven Ergebnissen, bis eine aggressive Abstimmung durchgeführt wird.
  6. BASE skaliert mit einer großen Anzahl von Alarmen nicht sehr gut und snort verfügt über kein integriertes Alert-Management-System.

Um fair zu schnüffeln, habe ich 5 in einer großen Anzahl von Systemen bemerkt, einschließlich Juniper und Cisco. Ich habe auch Geschichten erzählt, wie Snort einfacher installiert und konfiguriert werden kann als TippingPoint, obwohl ich dieses Produkt noch nie benutzt habe.

Alles in allem war ich sehr glücklich mit Snort. Ich zog es am liebsten vor, die meisten Regeln einzuschalten, und verbrachte meine Zeit mit dem Tuning, anstatt Tausende von Regeln durchzugehen und zu entscheiden, welche aktiviert werden sollten. Das hat die Zeit für das Tuning etwas höher gemacht, aber ich habe es von Anfang an geplant. Als dieses Projekt auf den Weg gebracht wurde, haben wir auch einen SEIM-Kauf durchge- führt, wodurch es einfacher wurde, die beiden zu koordinieren. So habe ich es geschafft, während des Tuning-Prozesses eine gute logarithmische Korrelation und Aggregation zu nutzen. Wenn Sie kein solches Produkt haben, kann Ihre Erfahrung stimmen.


2
2018-06-12 03:10



Es scheint, als ob das Bleeding Threats-Projekt einige Webprobleme hat. Es genügt zu sagen, dass es sich um eine gemeinschaftlich angelegte Unterschriftensammlung handelt. In der Regel werden neue Bedrohungen von diesem Projekt erkannt, lange bevor für den offiziellen Regelsatz Warnungen ausgegeben werden. - Scott Pack


Sourcefire verfügt über ein gutes System und verfügt über Komponenten, mit deren Hilfe erkannt werden kann, wann ein neuer unerwarteter Datenverkehr von einem System ausgeht. Wir verwenden es im IDS-Modus und nicht im IPS-Modus, da es Probleme gibt, bei denen legitimer Datenverkehr möglicherweise blockiert wird. Daher überwachen wir die Berichte und insgesamt scheint es einen ziemlich guten Job zu machen.


1
2018-06-02 22:49





Bevor Sie antworten können, was IDS / IPS Sie benötigen, würde ich Ihre Sicherheitsarchitektur besser verstehen wollen. Was verwenden Sie, um Ihr Netzwerk zu routen und zu wechseln? Welche anderen Sicherheitsmaßnahmen haben Sie in Ihrer Sicherheitsarchitektur?

Was sind die Risiken, die Sie zu mindern versuchen, dh welche Informationsressourcen sind von welchem ​​Risiko betroffen?

Ihre Frage ist zu allgemein, um Ihnen etwas anderes zu geben als, was Leute über Produkt X denken und das Beste aus X-Gründen.

Sicherheit ist ein Risikominderungsprozess und die Implementierung von IT-Sicherheitslösungen muss mit den identifizierten Risiken einhergehen. IDS / IPS in Ihr Netzwerk zu werfen, basierend auf dem, was die Leute für das beste Produkt halten, ist unproduktiv und eine Verschwendung von Zeit und Geld.

Prost Shane


1
2018-06-03 04:10