Polecam system wykrywania włamań (IDS / IPS) i czy warto?

Przez lata testowałem różne sieciowe systemy IDS i IPS i nigdy nie byłem zadowolony z rezultatów. Albo systemy były zbyt trudne w zarządzaniu, uruchamiane tylko w dobrze znanych exploitach opartych na starych sygnaturach, lub były po prostu zbyt gadatliwe w wyniku.

W każdym razie nie sądzę, aby zapewniały one prawdziwą ochronę naszej sieci. W niektórych przypadkach były szkodliwe z powodu zerwania prawidłowych połączeń lub po prostu awarii.

W ciągu ostatnich kilku lat jestem pewien, że wszystko się zmieniło, więc jakie są obecnie zalecane systemy IDS? Czy mają heurystykę, która działa i nie ostrzega o legalnym ruchu?

Czy może lepiej polegać na dobrych zaporach ogniowych i hartowanych hostach?

Jeśli polecasz system, skąd wiesz, że spełnia on swoje zadanie?

Jak niektórzy wspomnieli w odpowiedziach poniżej, uzyskamy również informacje zwrotne na temat systemów wykrywania włamań hosta, ponieważ są one ściśle powiązane z sieciowym systemem IDS.

W przypadku naszej obecnej konfiguracji musielibyśmy monitorować dwie oddzielne sieci o łącznej przepustowości 50 Mb / s. Szukam tutaj informacji zwrotnych z prawdziwego świata, a nie listy urządzeń lub usług obsługujących IDS.

Kilka lat temu przejrzałem kilka systemów zapobiegania włamaniom.

Chciałem wdrożyć coś między kilkoma lokalizacjami a siecią korporacyjną.
System miał zapewniać łatwe zarządzanie i monitorowanie (coś, co można przekazać pracownikowi działu pomocy drugiego poziomu). Potrzebne były również zautomatyzowane alarmowanie i raportowanie.

System, który ostatecznie wybrałem, to IPS z Tipping Point. Nadal nam się podoba po kilku latach. Nasze wdrożenie obejmuje subskrypcję ich szczepionki cyfrowej, która co tydzień usuwa luki w zabezpieczeniach i wykorzystuje reguły.

System był bardzo przydatny do obserwowania, co się dzieje (ostrzegaj, ale nie podejmuj żadnych działań), a także automatycznie blokuj lub poddawaj kwarantannie.

Skończyło się to bardzo przydatnym narzędziem do lokalizowania i izolowania komputerów zainfekowanych złośliwym oprogramowaniem, a także blokowania ruchu związanego z blokowaniem przepustowości lub ruchem związanym z polityką bezpieczeństwa bez konieczności pracy z listami kontroli dostępu do routera.

http://www.tippingpoint.com/products_ips.html

Jedna myśl; pytasz „czy są tego warte”. Nienawidzę udzielać odpowiedzi nietechnicznych, ale jeśli Twoja organizacja musi posiadać IDS, aby wskazać organowi regulacyjnemu, że przestrzegasz niektórych przepisów, nawet jeśli uważasz, że z technologicznego punktu widzenia urządzenie nie daje co zechcesz, z definicji mogą być „warte”, jeśli będą cię przestrzegać.

Nie sugeruję, że „nie ma znaczenia, czy to dobrze, czy nie”, oczywiście coś, co wykonuje dobrą robotę, jest lepsze od czegoś, co nie; ale osiągnięcie zgodności z przepisami jest celem samym w sobie.

Systemy wykrywania włamań są nieocenionymi narzędziami, ale należy z nich odpowiednio korzystać. Jeśli traktujesz swój NIDS jako system oparty na alertach, gdzie alert jest końcem, będziesz sfrustrowany (ok, wygenerowano alert X, co mam teraz zrobić?).

Zalecam przyjrzenie się podejściu NSM (Monitorowanie bezpieczeństwa sieci), w którym łączysz NIDS (systemy alarmujące) z danymi sesji i treści, abyś mógł właściwie sprawdzić każdy alert i lepiej dostroić system IDS.

* Nie mogę połączyć, więc po prostu google for taosecurity lub NSM

Oprócz informacji opartych na sieci, jeśli pomieszasz HIDS + LIDS (wykrywanie włamań na podstawie logów), uzyskasz wyraźny obraz tego, co się dzieje.

** Ponadto nie zapominaj, że te narzędzia nie mają na celu chronić cię przed atakiem, ale działają jak kamera bezpieczeństwa (porównanie fizyczne), dzięki czemu można podjąć właściwą reakcję na incydent.

Aby mieć dobry IDS, potrzebujesz wielu źródeł. Jeśli IDS ma wiele alertów z wielu źródeł dla tego samego ataku, będzie w stanie uruchomić alert, który ma o wiele więcej znaczenia niż tylko alarm standardowy.

Dlatego musisz skorelować dane wyjściowe z HIDS (Host IDS), takich jak OSSEC i NIDS (Network IDS), takich jak Snort. Można to zrobić na przykład za pomocą Preludium . Prelude będzie agregował i korelował alerty, aby móc generować prawdziwe ostrzeżenia bezpieczeństwa, które mają znacznie większe znaczenie. Powiedzmy na przykład, że masz atak sieciowy, jeśli pozostanie on atakiem sieciowym, prawdopodobnie nie jest to nic złego, ale jeśli stanie się atakiem hosta, spowoduje uruchomienie odpowiednich alertów o wysokim poziomie ważności.

Moim zdaniem gotowe IDS / IPS nie jest tego warte, chyba że znasz dokładną naturę wszystkich działań, które powinny być widoczne w Twojej sieci. Możesz doprowadzić się do szału, tworząc wyjątki dla głupich zachowań użytkowników i niewłaściwie działających (legalnych) aplikacji. W sieciach, które nie są mocno zablokowane, hałas był przytłaczający w każdym z używanych przeze mnie systemów. Właśnie dlatego ostatecznie doczekaliśmy szkieletu do pojedynczej maszyny linux, która obsługiwała niestandardowy fragment kodu C. Ten fragment kodu zawierał wszystkie dziwactwa, o których wiedzieliśmy, a wszystko inne było podejrzane.

Jeśli zrobić mają bardzo zablokowana sieci, najlepsze systemy będą mieć jakiś integracji z urządzeniem obwodowej, tak że nie jest kompletny mecz polityka.

Jeśli chodzi o to, czy spełnia swoje zadanie, najlepszym sposobem jest okresowe przeprowadzanie niektórych ataków.

Myślę, że każdy system IDS / IPS musi być dostosowany do twojego środowiska, aby zobaczyć rzeczywiste korzyści. W przeciwnym razie zostaniesz zalany fałszywymi pozytywami. Ale IDS / IPS nigdy nie zastąpi odpowiednich zapór ogniowych i hartowania serwerów.

Używamy jednostki Fortigate, w której pracuję przez ostatni rok i jesteśmy z tego bardzo zadowoleni. Robi znacznie więcej niż tylko IDS / IPS, więc może nie jest to dokładnie to, czego szukasz, ale warto to sprawdzić.

Reguły IDS / IPS są aktualizowane automatycznie (domyślnie) lub mogą być aktualizowane ręcznie. Uważam, że zasady IDS / IPS są również łatwe do zarządzania za pośrednictwem interfejsu sieciowego. Myślę, że łatwość zarządzania wynika z podziału ochrony na profile ochrony, które następnie przypisujesz do reguł zapory. Zamiast patrzeć na wszystkie reguły dla każdego pakietu w sieci, otrzymujesz znacznie bardziej skoncentrowaną ochronę i alerty.

W naszej organizacji mamy obecnie wiele IDS, w tym wiele systemów komercyjnych i otwartych. Wynika to częściowo z rodzaju uwarunkowań historycznych, które mają miejsce na uniwersytecie, oraz ze względów wydajnościowych. To powiedziawszy, opowiem trochę o Snortu.

Już od jakiegoś czasu wprowadzam w życie system wykrywania snortów z czujników snortu. Jest to obecnie niewielka tablica (pomyśl <10), której zasięg może sięgać kilkudziesięciu. To, czego nauczyłem się podczas tego procesu, było bezcenne; głównie z technikami zarządzania zarówno liczbą nadchodzących alertów, jak i zarządzaniem wieloma wysoce rozproszonymi węzłami. Korzystając z MRTG jako przewodnika, mamy czujniki widzące średnio od 5 Mb / s do 96 MB / s. Pamiętaj, że dla celów tej odpowiedzi mówię o IDS, a nie IDP.

Główne ustalenia to:

1. Snort jest bardzo w pełni funkcjonalnym IDS i z łatwością posiada własny zestaw funkcji wrt dla znacznie większych i nienazwanych dostawców urządzeń sieciowych.
2. Najciekawsze alerty pochodzą z projektu Emerging Threats .
3. WSUS powoduje głupią liczbę fałszywych alarmów, głównie z preprocesora sfPortscan.
4. Więcej niż 2/3 czujników wymaga dobrej konfiguracji i systemu zarządzania poprawkami.
5. Spodziewaj się, że zobaczysz bardzo dużą liczbę fałszywych trafień, dopóki nie zostanie wykonane agresywne strojenie.
6. BASE nie skaluje się zbyt dobrze przy dużej liczbie alertów, a snort nie ma wbudowanego systemu zarządzania alertami.

Aby być sprawiedliwym, by prychnąć, zauważyłem 5 w dużej liczbie systemów, w tym Juniper i Cisco. Powiedziano mi również historie o tym, jak Snort może być instalowany i konfigurowany łatwiej niż TippingPoint, chociaż nigdy nie korzystałem z tego produktu.

Podsumowując, jestem bardzo zadowolony ze Snorta. W dużej mierze wolałem włączyć większość zasad i spędzać czas na dostrajaniu, zamiast przeglądać tysiące reguł i decydować, które z nich włączyć. To sprawiło, że czas spędzony na strojeniu był nieco dłuższy, ale od samego początku planowałem to. Ponieważ ten projekt się rozwijał, przeprowadziliśmy również zakup SEIM, co ułatwiło koordynację tych dwóch. Udało mi się więc wykorzystać dobrą korelację i agregację logów podczas procesu strojenia. Jeśli nie masz takiego produktu, dostrajanie doświadczenia może być inne.

Sourcefire ma dobry system i mają komponenty, które pomagają wykryć, kiedy nowy nieoczekiwany ruch zaczyna emanować z systemu. Uruchamiamy go w trybie IDS, a nie w trybie IPS, ponieważ istnieją problemy, w których legalny ruch może zostać zablokowany, dlatego monitorujemy raporty i ogólnie wydaje się, że wykonuje całkiem przyzwoitą robotę.

Na długo zanim będziesz mógł odpowiedzieć na pytanie, jakiego IDS / IPS potrzebujesz, chciałbym lepiej zrozumieć twoją architekturę bezpieczeństwa. Czego używasz do kierowania i przełączania sieci, jakie inne środki bezpieczeństwa masz w swojej architekturze bezpieczeństwa?

Jakie ryzyko próbujesz zminimalizować, tj. Jakie zasoby informacyjne są zagrożone i od czego?

Twoje pytanie jest zbyt ogólne, aby dać ci cokolwiek poza tym, co ludzie myślą o produkcie X i jego najlepszym z powodów X.

Bezpieczeństwo to proces ograniczania ryzyka, a wdrażanie rozwiązań bezpieczeństwa IT musi być dostosowane do zidentyfikowanych zagrożeń. Samo wrzucanie IDS / IPS do sieci w oparciu o to, co ludzie uważają za najlepszy produkt, jest nieproduktywne i marnuje czas i pieniądze.

Pozdrawiam Shane

Snort w połączeniu z ACID / BASE do raportowania jest dość sprytny jak na produkt OSS. Spróbuję tego, przynajmniej żeby zmoczyć twoje stopy.

Systemy wykrywania włamań to coś więcej niż tylko system NIDS (oparty na sieci). Uważam, że w moim środowisku HIDS jest znacznie bardziej użyteczny. Obecnie używam OSSEC, który monitoruje moje dzienniki, pliki itp.

Jeśli więc nie masz wystarczającej wartości Snorta, wypróbuj inne podejście. Może modsecurity dla apache lub ossec do analizy logów.

Wiem, że wiele osób wyrzuci parsknięcie jako rozwiązanie, i jest to dobre - parsknięcie i sguil to dobra kombinacja do monitorowania różnych podsieci lub sieci VLAN.

Obecnie używamy Strataguard z StillSecure , jest to implementacja snort na zahartowanej dystrybucji GNU / Linux. Uruchomienie go jest bardzo łatwe (znacznie łatwiejsze niż samo snortowanie), ma darmową wersję dla środowisk o niższej przepustowości oraz bardzo intuicyjny i użyteczny interfejs WWW. Ułatwia to aktualizowanie, dostrajanie, modyfikowanie i badanie reguł.

Chociaż można go zainstalować w trybie IPS i automatycznie blokować zaporę ogniową, używamy go tylko w trybie IDS - zainstalowałem go na porcie monitora na naszym centralnym przełączniku, włączyłem drugą kartę sieciową do zarządzania i działał doskonale dla kontrola ruchu. Liczba fałszywych alarmów (zwłaszcza wstępne dostrojenie) jest jedynym minusem, ale daje nam to do zrozumienia, że ​​działa, a interfejs bardzo ułatwia sprawdzenie podpisu reguły, kontrolę przechwyconych pakietów i kliknięcie linków w celu zbadania luki w zabezpieczeniach. więc można zdecydować, czy alert naprawdę stanowi problem, czy nie, i odpowiednio dostosować alert lub regułę.

Poleciłbym Snorta. Snort jest obsługiwany przez prawie wszystkie inne narzędzia bezpieczeństwa, samouczki są łatwo dostępne, podobnie jak wiele aplikacji front-end. Nie ma tajnego sosu, który sprawia, że ​​jeden IDS jest lepszy od drugiego. Publiczne i lokalne zestawy reguł zapewniają moc.

Ale każdy IDS (HIDS lub NIDS) to strata pieniędzy, chyba że chcesz sprawdzać dzienniki i alerty, co godzinę lub codziennie. Potrzebujesz czasu i personelu, aby usunąć fałszywe alarmy i stworzyć nowe reguły dla lokalnych anomalii. IDS najlepiej opisać jako kamerę wideo dla Twojej sieci. Ktoś musi to oglądać i mieć uprawnienia do działania w oparciu o przesyłane informacje. W przeciwnym razie jest to bezwartościowe.

Dolna linia. Oszczędzaj pieniądze na oprogramowaniu, korzystaj z IDS typu open source. Wydaj pieniądze na szkolenia i opracuj świetny zespół ds. Bezpieczeństwa.

Kiedy ludzie proszą o wykrycie wtargnięcia, myślę o IDS serwera, ponieważ nie ma znaczenia, kto przeniknie do Twojej sieci, jeśli nic nie zrobi. A IDS, taki jak AIDE, utworzy skróty migawkowe serwera, pozwalając zobaczyć dokładnie to, co ma zmieniane na dysku przez pewien okres.

Niektóre osoby wolą zrestartować wszystkie swoje serwery po naruszeniu bezpieczeństwa, ale myślę, że w przypadku większości problemów może to być przesada.

Szczerze mówiąc, IDS jest zwykle całkowitą stratą czasu, ponieważ operatorzy spędzają cały czas na szukaniu fałszywych trafień. Staje się tak ciężarem, że system zostaje w kącie i ignorowany.

Większość organizacji umieszcza sondę na zewnątrz sieci i jest zaskoczona, widząc tysiące ataków. To tak, jakby umieścić alarm antywłamaniowy na zewnątrz domu i być zaskoczonym, że wyłącza się za każdym razem, gdy ktoś przechodzi.

IDS jest uwielbiany przez konsultantów ds. Bezpieczeństwa, aby pokazać, jak niebezpieczny jest na zewnątrz, audytorów jako pole wyboru i ignorowany przez wszystkich innych, ponieważ jest to całkowite marnowanie czasu i zasobów.

Lepiej byłoby poświęcić czas na zaakceptowanie tysięcy ataków każdego dnia, zaprojektowanie dostępu zewnętrznego, a przede wszystkim upewnienie się, że systemy okładzin zewnętrznych są odpowiednio utwardzone.

Dave