Đề xuất một hệ thống phát hiện xâm nhập (IDS / IPS), và chúng có đáng không?

Tôi đã thử các hệ thống IDS và IPS dựa trên mạng khác nhau trong nhiều năm và chưa bao giờ hài lòng với kết quả này. Các hệ thống quá khó quản lý, chỉ được kích hoạt trên các khai thác nổi tiếng dựa trên chữ ký cũ, hoặc đơn giản là quá trò chuyện với đầu ra.

Trong mọi trường hợp, tôi không cảm thấy họ cung cấp sự bảo vệ thực sự cho mạng của chúng tôi. Trong một số trường hợp, chúng có hại do mất kết nối hợp lệ hoặc chỉ đơn giản là không thành công.

Trong vài năm qua, tôi chắc chắn mọi thứ đã thay đổi, vậy những hệ thống IDS được đề xuất hiện nay là gì? Họ có heuristic hoạt động và không cảnh báo về lưu lượng truy cập hợp pháp?

Hoặc, nó chỉ tốt hơn để dựa vào tường lửa tốt và máy chủ cứng?

Nếu bạn đề xuất một hệ thống, làm sao bạn biết nó đang hoạt động?

Như một số đã đề cập trong các câu trả lời dưới đây, chúng ta cũng sẽ nhận được một số phản hồi về các hệ thống phát hiện xâm nhập máy chủ vì chúng có liên quan chặt chẽ với IDS dựa trên mạng.

Đối với thiết lập hiện tại của chúng tôi, chúng tôi sẽ cần giám sát hai mạng riêng biệt với tổng băng thông là 50mbps. Tôi đang tìm kiếm một số phản hồi trong thế giới thực ở đây, không phải là danh sách các thiết bị hoặc dịch vụ có khả năng thực hiện IDS.

Vài năm trước tôi đã xem xét một số hệ thống phòng chống xâm nhập.

Tôi muốn triển khai một cái gì đó giữa một vài địa điểm và mạng công ty.
Hệ thống này là để cung cấp một cách dễ dàng để quản lý và giám sát (thứ gì đó có thể được trao cho người trợ giúp ở tầng thứ hai). Báo động và báo cáo tự động cũng cần thiết.

Hệ thống mà cuối cùng tôi chọn là IPS từ Tipping Point. Chúng tôi vẫn thích nó sau khi ở vị trí trong vài năm. Việc triển khai của chúng tôi bao gồm đăng ký vào Vaccine kỹ thuật số của họ, giúp đẩy ra các lỗ hổng và khai thác các quy tắc hàng tuần.

Hệ thống này rất hữu ích để xem những gì đang diễn ra (cảnh báo nhưng không có hành động) cũng như tự động chặn hoặc kiểm dịch hệ thống.

Đây cuối cùng là một công cụ rất hữu ích để định vị và cách ly các máy tính bị nhiễm phần mềm độc hại cũng như chặn lưu lượng băng thông hoặc lưu lượng liên quan đến chính sách bảo mật mà không phải làm việc với danh sách kiểm soát truy cập bộ định tuyến.

http://www.tippingpoint.com/products_ips.html

Một ý nghĩ; bạn hỏi "họ có đáng không". Tôi ghét đưa ra câu trả lời không mang tính kỹ thuật, nhưng nếu tổ chức của bạn cần có IDS để chỉ ra cho cơ quan quản lý rằng bạn tuân thủ một số quy định hoặc khác, ngay cả khi bạn thấy rằng từ góc độ công nghệ, thiết bị không cung cấp theo những gì bạn muốn, họ có thể theo định nghĩa "đáng giá" nếu họ tuân thủ bạn.

Tôi không gợi ý rằng "không thành vấn đề nếu nó tốt hay không", rõ ràng thứ gì đó làm tốt công việc được ưu tiên hơn thứ không; nhưng đạt được sự tuân thủ quy định là một mục tiêu trong chính nó.

Hệ thống phát hiện xâm nhập là công cụ vô giá, nhưng chúng cần được sử dụng đúng cách. Nếu bạn coi NIDS là một hệ thống dựa trên cảnh báo, trong đó cảnh báo là kết thúc, bạn sẽ cảm thấy thất vọng (ok, cảnh báo X đã được tạo, tôi phải làm gì bây giờ?).

Tôi khuyên bạn nên xem cách tiếp cận NSM (Giám sát an ninh mạng) nơi bạn trộn NIDS (hệ thống cảnh báo) với dữ liệu phiên và nội dung, để bạn có thể kiểm tra chính xác mọi cảnh báo và điều chỉnh tốt hơn hệ thống IDS của mình.

* Tôi không thể liên kết, vì vậy chỉ cần google cho taosecurance hoặc NSM

Ngoài thông tin dựa trên mạng, nếu bạn trộn HIDS + LIDS (phát hiện xâm nhập dựa trên nhật ký), bạn sẽ có được cái nhìn rõ ràng về những gì đang diễn ra.

** Ngoài ra, đừng quên rằng các công cụ này không có nghĩa là bảo vệ bạn khỏi một cuộc tấn công, mà là hoạt động như một camera an ninh (so sánh vật lý) để có thể thực hiện phản ứng sự cố thích hợp.

Để có một IDS tốt, bạn cần nhiều nguồn. Nếu một IDS có nhiều cảnh báo từ nhiều nguồn cho cùng một cuộc tấn công, nó sẽ có thể bắn một cảnh báo có ý nghĩa hơn rất nhiều sau đó chỉ là một cảnh báo tiêu chuẩn.

Đây là lý do tại sao bạn cần tương quan đầu ra từ HIDS (ID máy chủ) như OSSEC và NIDS (ID mạng) như Snort. Điều này có thể được thực hiện bằng cách sử dụng Prelude chẳng hạn. Mở đầu sẽ kết hợp và tương quan các cảnh báo để có thể tạo ra các cảnh báo bảo mật thực sự có ý nghĩa hơn nhiều. Giả sử mỗi ví dụ bạn có một cuộc tấn công mạng, nếu nó vẫn là một cuộc tấn công mạng, có lẽ không có gì quá tệ nhưng nếu nó trở thành một cuộc tấn công máy chủ, điều đó sẽ kích hoạt các cảnh báo thích hợp với mức độ quan trọng cao.

Theo tôi, IDS / IPS ngoài luồng không có giá trị trừ khi bạn biết bản chất chính xác của tất cả các hoạt động nên thấy trên mạng của bạn. Bạn có thể tự lái các loại hạt tạo ra ngoại lệ cho hành vi ngu ngốc của người dùng và các ứng dụng hoạt động sai (hợp pháp). Trên các mạng không bị khóa chặt, tôi đã thấy tiếng ồn tràn ngập trong bất kỳ hệ thống nào tôi đã sử dụng. Đó là lý do tại sao cuối cùng chúng tôi đã đưa đường trục vào một máy linux chạy một đoạn mã C tùy chỉnh. Đó là một đoạn mã gói gọn tất cả những điều kỳ lạ mà chúng ta biết, và bất cứ điều gì khác là nghi ngờ.

Nếu bạn làm có một mạng đánh giá cao khóa xuống, các hệ thống tốt nhất sẽ có một số loại tích hợp với các thiết bị ngoại vi của bạn, do đó có phù hợp với chính sách hoàn chỉnh.

Theo như biết liệu nó có thực hiện công việc của mình hay không, cách tốt nhất là tự mình thực hiện một số cuộc tấn công.

Tôi nghĩ rằng bất kỳ hệ thống IDS / IPS nào cũng phải được điều chỉnh theo môi trường của bạn để thấy bất kỳ lợi ích thực sự nào. Nếu không, bạn chỉ bị ngập trong dương tính giả. Nhưng IDS / IPS sẽ không bao giờ thay thế tường lửa và máy chủ cứng.

Chúng tôi đã sử dụng một đơn vị Fortigate nơi tôi làm việc trong năm qua và đã thực sự hài lòng với nó. Nó không chỉ đơn thuần là IDS / IPS nên có thể không chính xác những gì bạn đang tìm kiếm nhưng nó đáng để xem xét.

Các quy tắc IDS / IPS được cập nhật tự động (mặc định) hoặc có thể được cập nhật thủ công. Tôi thấy rằng các quy tắc IDS / IPS cũng khá dễ quản lý thông qua giao diện web. Tôi nghĩ rằng việc quản lý dễ dàng là do phá vỡ sự bảo vệ thành các hồ sơ bảo vệ mà sau đó bạn gán cho các quy tắc trên tường lửa. Vì vậy, thay vì nhìn vào tất cả các quy tắc trên mỗi gói trên mạng, bạn sẽ nhận được sự cảnh báo và bảo vệ tập trung hơn nhiều.

Tại tổ chức của chúng tôi, chúng tôi có một số IDS hiện tại, bao gồm cả hệ thống thương mại và hệ thống mở. Điều này một phần là do các loại cân nhắc lịch sử xảy ra tại một trường đại học, và lý do hiệu suất. Điều đó đang được nói, tôi sẽ nói về Snort một chút.

Bây giờ tôi đã triển khai một bộ cảm biến khịt mũi rộng cho doanh nghiệp. Đây là một mảng có kích thước nhỏ hiện tại (nghĩ <10), nằm trong phạm vi để đạt đến một vài chục. Những gì tôi đã học được trải qua quá trình này là vô giá; chủ yếu với các kỹ thuật để quản lý cả số lượng cảnh báo đi qua cũng như quản lý nhiều nút phân tán cao này. Sử dụng MRTG làm hướng dẫn, chúng tôi có các cảm biến nhìn thấy tốc độ trung bình 5Mbps lên tới 96MBps. Hãy nhớ rằng vì mục đích của câu trả lời này, tôi đang nói về IDS, không phải IDP.

Những phát hiện chính là:

1. Snort là một IDS rất đầy đủ tính năng và dễ dàng giữ tính năng wrt của riêng nó được đặt cho các nhà cung cấp thiết bị mạng lớn hơn và chưa được đặt tên.
2. Các cảnh báo thú vị nhất đến từ dự án Mối đe dọa mới nổi .
3. WSUS dẫn đến một số lượng lớn các kết quả dương tính giả, phần lớn là từ bộ tiền xử lý sfPortscan.
4. Bất kỳ hơn 2/3 cảm biến đều yêu cầu một hệ thống quản lý bản vá và cấu hình tốt.
5. Hy vọng sẽ thấy một số lượng rất lớn các dương tính giả cho đến khi điều chỉnh tích cực được thực hiện.
6. BASE không có quy mô rất tốt với một số lượng lớn cảnh báo và snort không được tích hợp trong hệ thống quản lý cảnh báo.

Để công bằng để khịt mũi, tôi đã nhận thấy 5 trong một số lượng lớn các hệ thống, bao gồm Juniper và Cisco. Tôi cũng đã được kể những câu chuyện về cách Snort có thể được cài đặt và định cấu hình dễ dàng hơn TippingPoint, mặc dù tôi chưa bao giờ sử dụng sản phẩm đó.

Nói chung, tôi rất hài lòng với Snort. Tôi chủ yếu thích bật hầu hết các quy tắc và dành thời gian điều chỉnh thay vì trải qua hàng ngàn quy tắc và quyết định nên bật quy tắc nào. Điều này làm cho thời gian điều chỉnh cao hơn một chút, nhưng tôi đã lên kế hoạch cho nó ngay từ đầu. Ngoài ra, khi dự án này được triển khai, chúng tôi cũng đã thực hiện giao dịch mua SEIM, điều này giúp dễ dàng phối hợp cả hai. Vì vậy, tôi đã quản lý để tận dụng mối tương quan và tổng hợp nhật ký tốt trong quá trình điều chỉnh. Nếu bạn không có sản phẩm như vậy, điều chỉnh kinh nghiệm của bạn có thể khác.

Sourcefire có một hệ thống tốt và họ có các thành phần giúp khám phá khi lưu lượng truy cập bất ngờ mới bắt đầu phát ra từ một hệ thống. Chúng tôi chạy nó ở chế độ IDS thay vì chế độ IPS vì có vấn đề về lưu lượng truy cập hợp pháp có thể bị chặn, vì vậy chúng tôi giám sát các báo cáo và nhìn chung nó có vẻ làm rất tốt.

Ngay trước khi bạn có thể trả lời IDS / IPS nào bạn cần, tôi sẽ muốn hiểu rõ hơn về kiến ​​trúc bảo mật của bạn. Bạn sử dụng gì để định tuyến và chuyển đổi mạng, bạn có biện pháp bảo mật nào khác trong kiến ​​trúc bảo mật của mình?

Những rủi ro bạn đang cố gắng giảm thiểu, tức là những tài sản thông tin nào có nguy cơ và từ những gì?

Câu hỏi của bạn quá chung chung để cung cấp cho bạn bất cứ điều gì nhưng, mọi người nghĩ gì về sản phẩm X và nó tốt nhất vì lý do X.

Bảo mật là một quá trình giảm thiểu rủi ro và việc thực hiện các giải pháp bảo mật CNTT cần phải phù hợp với các rủi ro đã xác định. Chỉ cần ném IDS / IPS vào mạng của bạn dựa trên những gì mọi người nghĩ là sản phẩm tốt nhất, không hiệu quả và lãng phí thời gian và tiền bạc.

Chúc mừng Shane

Snort kết hợp với ACID / BASE để báo cáo, khá hấp dẫn cho một sản phẩm OSS. Tôi sẽ thử điều đó, ít nhất là để chân bạn ướt.

Các hệ thống phát hiện xâm nhập không chỉ là một NIDS (dựa trên mạng). Tôi thấy rằng đối với môi trường của tôi, HIDS hữu ích hơn nhiều. Hiện tại tôi đang sử dụng OSSEC, theo dõi nhật ký, tệp, v.v.

Vì vậy, nếu bạn không nhận đủ giá trị của Snort, hãy thử một cách tiếp cận khác. Có thể modsecurance cho apache hoặc ossec để phân tích nhật ký.

Tôi biết nhiều người sẽ loại bỏ tiếng khịt mũi như một giải pháp, và điều đó thật tốt - snort và sguil là một sự kết hợp tốt để theo dõi các mạng con hoặc Vlan khác nhau.

Chúng tôi hiện đang sử dụng Strataguard từ StillSecure , đây là một triển khai khịt mũi trên bản phân phối GNU / Linux đã được làm cứng. Rất dễ dàng để khởi động và chạy (dễ dàng hơn nhiều so với hít một mình), có phiên bản miễn phí cho môi trường băng thông thấp hơn và giao diện web rất trực quan và hữu ích. Nó làm cho nó dễ dàng hợp lý để cập nhật, điều chỉnh, sửa đổi và nghiên cứu các quy tắc.

Mặc dù nó có thể được cài đặt ở chế độ IPS và tự động khóa tường lửa cho bạn, chúng tôi chỉ sử dụng nó ở chế độ IDS - cài đặt nó trên cổng màn hình trên công tắc trung tâm của chúng tôi, bật một NIC thứ hai để quản lý và nó hoạt động rất tốt cho rà soát giao thông. Số lượng dương tính giả (điều chỉnh trước một cách bí mật) là nhược điểm duy nhất, nhưng điều này cho chúng ta biết nó hoạt động và giao diện giúp dễ dàng kiểm tra chữ ký quy tắc, kiểm tra các gói bị bắt và theo liên kết để nghiên cứu lỗ hổng vì vậy người ta có thể quyết định xem cảnh báo có thực sự là vấn đề hay không và điều chỉnh cảnh báo hoặc quy tắc khi cần thiết.

Tôi muốn giới thiệu Snort. Snort được hỗ trợ bởi hầu hết tất cả các công cụ bảo mật khác, hướng dẫn có sẵn và nhiều ứng dụng front-end cũng vậy. Không có nước sốt bí mật, làm cho một IDS tốt hơn một IDS khác. Các bộ quy tắc công cộng và địa phương cung cấp sức mạnh.

Nhưng bất kỳ IDS nào (HIDS hoặc NIDS) đều lãng phí tiền trừ khi bạn sẵn sàng kiểm tra nhật ký và cảnh báo, hàng giờ hoặc hàng ngày. Bạn cần thời gian và nhân sự để loại bỏ những thông tin sai lệch và tạo ra các quy tắc mới cho sự bất thường tại địa phương. IDS được mô tả tốt nhất dưới dạng máy quay video cho mạng của bạn. Ai đó cần phải xem nó, và có quyền hành động theo thông tin mà nó gửi. Nếu không thì nó vô giá trị.

Dòng dưới cùng. Tiết kiệm tiền trên phần mềm, sử dụng IDS nguồn mở. Chi tiền cho đào tạo, và phát triển một đội ngũ bảo mật tuyệt vời.

Khi mọi người yêu cầu phát hiện xâm nhập, tôi nghĩ về IDS của máy chủ vì việc ai xâm nhập vào mạng của bạn sẽ không thành vấn đề nếu họ không làm gì một lần. IDS như AIDE sẽ tạo ra các bản băm của máy chủ cho phép bạn xem chính xác những gì đã có thay đổi trên đĩa trong một thời gian nhất định.

Một số người thích đánh giá lại tất cả các máy chủ của họ sau khi vi phạm an ninh, nhưng tôi nghĩ có thể hơi quá mức cho hầu hết các vấn đề.

Thành thật mà nói, IDS thường là một sự lãng phí hoàn toàn thời gian vì các nhà khai thác dành tất cả thời gian của họ để điều chỉnh các tích cực sai. Nó trở thành một gánh nặng đến nỗi hệ thống bị bỏ lại trong một góc và bị bỏ qua.

Hầu hết các tổ chức đặt đầu dò ở bên ngoài mạng và ngạc nhiên khi thấy hàng ngàn cuộc tấn công. Nó giống như đặt chuông báo trộm ở bên ngoài ngôi nhà và bị bất ngờ rằng nó sẽ tắt mỗi khi có ai đó đi ngang qua.

IDS được các chuyên gia tư vấn bảo mật yêu thích để cho thấy mức độ nguy hiểm của nó ngoài đó, các kiểm toán viên như một hộp đánh dấu và bị mọi người khác bỏ qua vì nó hoàn toàn lãng phí thời gian và tài nguyên của họ.

Thời gian sẽ tốt hơn khi chấp nhận rằng có hàng ngàn cuộc tấn công mỗi ngày, thiết kế truy cập bên ngoài, và hầu hết tất cả đảm bảo rằng các hệ thống đối mặt bên ngoài được làm cứng đúng cách.

Dave