Empfehlen Sie ein Intrusion Detection System (IDS / IPS), und lohnen sie sich?

Ich habe im Laufe der Jahre verschiedene netzwerkbasierte IDS- und IPS-Systeme ausprobiert und war mit den Ergebnissen nie zufrieden. Entweder waren die Systeme zu schwierig zu verwalten, wurden nur durch bekannte Exploits ausgelöst, die auf alten Signaturen basierten, oder sie waren einfach zu gesprächig mit der Ausgabe.

Ich bin auf keinen Fall der Meinung, dass sie unser Netzwerk wirklich schützen. In einigen Fällen waren sie schädlich, weil sie gültige Verbindungen verloren haben oder einfach fehlgeschlagen sind.

Ich bin mir sicher, dass sich die Dinge in den letzten Jahren geändert haben. Welche IDS-Systeme werden derzeit empfohlen? Haben sie Heuristiken, die funktionieren und nicht auf legitimen Verkehr aufmerksam machen?

Oder ist es einfach besser, sich auf gute Firewalls und gehärtete Hosts zu verlassen?

Wenn Sie ein System empfehlen, woher wissen Sie, dass es seine Aufgabe erfüllt?

Wie einige in den Antworten unten erwähnt haben, möchten wir auch ein Feedback zu Host-Intrusion-Detection-Systemen erhalten, da diese eng mit netzwerkbasiertem IDS verwandt sind.

Für unser aktuelles Setup müssten wir zwei separate Netzwerke mit einer Gesamtbandbreite von 50 MBit / s überwachen. Ich suche hier nach realem Feedback, nicht nach einer Liste von Geräten oder Diensten, die IDS unterstützen.

Vor einigen Jahren habe ich verschiedene Intrusion Prevention-Systeme überprüft.

Ich wollte etwas zwischen ein paar Standorten und dem Unternehmensnetzwerk bereitstellen.
Das System sollte einfach zu verwalten und zu überwachen sein (etwas, das an einen Helpdesk-Mitarbeiter der zweiten Ebene weitergegeben werden konnte). Auch automatisierte Alarmierung und Berichterstellung waren erforderlich.

Das System, für das ich mich entschieden habe, war das IPS von Tipping Point. Wir mögen es immer noch, nachdem wir einige Jahre dort waren. Unsere Implementierung beinhaltet das Abonnement für den Digital Vaccine, der wöchentlich Schwachstellen beseitigt und Regeln ausnutzt.

Das System hat sich als sehr nützlich erwiesen, um zu beobachten, was gerade passiert (Alarm, aber keine Maßnahmen ergreifen) sowie um Systeme automatisch zu blockieren oder in Quarantäne zu stellen.

Dies erwies sich als sehr nützliches Tool zum Auffinden und Isolieren von mit Malware infizierten Computern sowie zum Blockieren von Bandbreiten-Hogging oder sicherheitsrelevantem Datenverkehr, ohne mit Router-Zugriffssteuerungslisten arbeiten zu müssen.

http://www.tippingpoint.com/products_ips.html

Ein Gedanke; du fragst "sind sie es wert". Ich hasse es, eine nicht technische Antwort zu geben, aber wenn Ihre Organisation ein IDS benötigt, um einer Aufsichtsbehörde anzuzeigen, dass Sie mit einer bestimmten Vorschrift oder einer anderen übereinstimmen, auch wenn Sie feststellen, dass das Gerät aus technologischer Sicht keine Antwort gibt Sie können per definitionem "wert" sein, wenn sie Sie in Übereinstimmung halten.

Ich behaupte nicht, dass "es egal ist, ob es gut ist oder nicht". Offensichtlich wird etwas, das gute Arbeit leistet, etwas vorgezogen, das es nicht tut. Aber die Einhaltung gesetzlicher Vorschriften ist ein Ziel für sich.

Intrusion Detection-Systeme sind von unschätzbarem Wert, müssen jedoch ordnungsgemäß eingesetzt werden. Wenn Sie Ihre NIDS als ein alarmbasiertes System behandeln, bei dem der Alarm endet, werden Sie frustriert (OK, Alarm X wurde generiert, was mache ich jetzt?).

Ich empfehle die Verwendung des NSM-Ansatzes (Network Security Monitoring), bei dem Sie NIDS (Warnsysteme) mit Sitzungs- und Inhaltsdaten mischen, damit Sie alle Warnmeldungen ordnungsgemäß untersuchen und Ihr IDS-System besser abstimmen können.

* Ich kann keinen Link erstellen, also google einfach nach Taosecurity oder NSM

Wenn Sie HIDS + LIDS (Log-based Intrusion Detection) mischen, erhalten Sie zusätzlich zu den netzwerkbasierten Informationen eine klare Übersicht über die aktuellen Vorgänge.

** Vergessen Sie außerdem nicht, dass diese Tools nicht dazu gedacht sind, Sie vor Angriffen zu schützen, sondern als Sicherheitskamera (physischer Vergleich) zu fungieren, damit die richtige Reaktion auf Vorfälle erfolgen kann.

Um ein gutes IDS zu haben, benötigen Sie mehrere Quellen. Wenn ein IDS über mehrere Warnungen aus mehreren Quellen für den gleichen Angriff verfügt, kann es eine Warnung auslösen, die eine viel größere Bedeutung hat als nur eine Standardwarnung.

Aus diesem Grund müssen Sie die Ausgabe von HIDS (Host IDS) wie OSSEC und NIDS (Network IDS) wie Snort korrelieren. Dies kann zum Beispiel mit Prelude geschehen . Prelude wird Warnungen zusammenfassen und korrelieren, um echte Sicherheitswarnungen zu generieren, die eine viel größere Bedeutung haben. Angenommen, Sie haben einen Netzwerkangriff. Bleibt der Netzwerkangriff bestehen, ist dies wahrscheinlich nicht weiter schlimm. Wird er jedoch zu einem Hostangriff, werden entsprechende Warnungen mit hoher Wichtigkeit ausgelöst.

Standard-IDS / IPS sind meiner Meinung nach nichts wert, es sei denn, Sie kennen die genaue Art aller Aktivitäten, die in Ihrem Netzwerk angezeigt werden sollten. Sie können sich verrückt machen und Ausnahmen für dummes Benutzerverhalten und sich schlecht verhaltende (legitime) Anwendungen schaffen. In Netzwerken, die nicht stark gesperrt sind, war das Rauschen in den von mir verwendeten Systemen überwältigend. Aus diesem Grund haben wir das Backbone schließlich in eine einzelne Linux-Maschine integriert, auf der ein benutzerdefiniertes Stück C-Code ausgeführt wurde. Dieses eine Stück Code kapselte alle Verrücktheiten, von denen wir wussten, und alles andere war verdächtig.

Wenn Sie tun , ein Netzwerk hoch gesperrt haben, die besten Systeme werden eine Art von Integration mit Ihrem Perimeter - Gerät haben, so dass es komplette Politik übereinstimmen.

Soweit Sie wissen, ob es seine Aufgabe erfüllt, ist es am besten, einige Angriffe regelmäßig selbst auszuführen.

Ich denke, jedes IDS / IPS-System muss an Ihre Umgebung angepasst werden, um echte Vorteile zu erkennen. Andernfalls werden Sie nur mit falschen Positiven überflutet. IDS / IPS wird jedoch niemals die richtigen Firewalls und Server-Hardening ersetzen.

Wir haben eine Fortigate-Einheit verwendet, in der ich seit einem Jahr arbeite und mit der ich sehr zufrieden bin. Es ist viel mehr als nur IDS / IPS, es ist möglicherweise nicht genau das, wonach Sie suchen, aber es ist einen Blick wert.

Die IDS / IPS-Regeln werden automatisch aktualisiert (Standardeinstellung) oder können manuell aktualisiert werden. Ich finde, dass die IDS / IPS-Regeln auch über das Webinterface gut verwaltet werden können. Ich denke, die einfache Verwaltung beruht auf der Aufteilung des Schutzes in Schutzprofile, die Sie dann den Regeln der Firewall zuweisen. Anstatt also alle Regeln für jedes Paket im Netzwerk zu betrachten, erhalten Sie einen wesentlich konzentrierteren Schutz und Warnmeldungen.

In unserer Organisation gibt es derzeit eine Reihe von IDS, darunter eine Mischung aus kommerziellen und offenen Systemen. Dies ist zum Teil auf die Art der historischen Überlegungen an einer Universität und Leistungsgründe zurückzuführen. Davon abgesehen werde ich ein wenig über Snort sprechen.

Ich habe seit einiger Zeit eine unternehmensweite Auszahlung für Schnaubsensoren eingeführt. Dies ist ein kleineres Array (denken Sie an <10), das ein paar Dutzend erreichen soll. Was ich dabei gelernt habe, ist von unschätzbarem Wert. Hauptsächlich mit Techniken, um sowohl die Anzahl der eingehenden Warnungen als auch die vielen hochverteilten Knoten zu verwalten. Mit MRTG als Richtwert haben wir Sensoren, die durchschnittlich 5 Mbit / s bis 96 Mbit / s anzeigen. Denken Sie daran, dass ich im Rahmen dieser Antwort von IDS und nicht von IDP spreche.

Die wichtigsten Erkenntnisse sind:

1. Snort ist ein sehr voll funktionsfähiges IDS und verfügt problemlos über eigene Wrt-Funktionen für viel größere und unbenannte Network Appliance-Anbieter.
2. Die interessantesten Warnungen stammen aus dem Projekt Emerging Threats .
3. WSUS führt zu einer unglaublich großen Anzahl von Fehlalarmen, die größtenteils vom sfPortscan-Präprozessor stammen.
4. Für mehr als 2/3 Sensoren ist ein gutes Konfigurations- und Patch-Management-System erforderlich.
5. Erwarten Sie eine sehr große Anzahl von Fehlalarmen, bis eine aggressive Abstimmung durchgeführt wird.
6. BASE lässt sich mit einer großen Anzahl von Warnmeldungen nicht sehr gut skalieren, und snort verfügt über kein integriertes Warnmeldungsverwaltungssystem.

Um fair zu sein, habe ich 5 in einer großen Anzahl von Systemen bemerkt, einschließlich Juniper und Cisco. Mir wurden auch Geschichten darüber erzählt, wie Snort einfacher als TippingPoint installiert und konfiguriert werden kann, obwohl ich dieses Produkt noch nie verwendet habe.

Alles in allem war ich mit Snort sehr zufrieden. Ich habe es größtenteils vorgezogen, die meisten Regeln zu aktivieren und meine Zeit mit der Optimierung zu verbringen, anstatt Tausende von Regeln durchzugehen und zu entscheiden, welche aktiviert werden sollen. Dadurch wurde die Zeit für das Stimmen etwas länger, aber ich plante es von Anfang an. Da dieses Projekt in vollem Gange war, haben wir auch einen SEIM-Kauf getätigt, der es einfach machte, die beiden zu koordinieren. Ich habe es also geschafft, während des Optimierungsprozesses eine gute Protokollkorrelation und -aggregation zu erzielen. Wenn Sie kein solches Produkt haben, kann Ihre Erfahrung bei der Optimierung unterschiedlich sein.

Sourcefire verfügt über ein gutes System und über Komponenten, mit deren Hilfe festgestellt werden kann, wann neuer unerwarteter Datenverkehr von einem System ausgeht. Wir führen es im IDS-Modus und nicht im IPS-Modus aus, da es Probleme gibt, bei denen legitimer Datenverkehr blockiert werden kann. Daher überwachen wir die Berichte, und insgesamt scheint es recht ordentlich zu funktionieren.

Bevor Sie beantworten können, welche IDS / IPS Sie benötigen, möchte ich Ihre Sicherheitsarchitektur besser verstehen. Womit routen und wechseln Sie Ihr Netzwerk, welche anderen Sicherheitsmaßnahmen haben Sie in Ihrer Sicherheitsarchitektur?

Welche Risiken möchten Sie abmildern, dh welche Informationsressourcen sind gefährdet und von wem?

Ihre Frage ist zu allgemein, um Ihnen etwas anderes zu sagen, als was die Leute von Produkt X halten und es ist aus Gründen von X das Beste.

Sicherheit ist ein Risikominderungsprozess und die Implementierung von IT-Sicherheitslösungen muss mit den identifizierten Risiken im Einklang stehen. Nur IDS / IPS in Ihr Netzwerk zu integrieren, basierend darauf, was die Leute für das beste Produkt halten, ist unproduktiv und eine Verschwendung von Zeit und Geld.

Prost Shane

Snort in Kombination mit ACID / BASE für die Berichterstellung ist für ein OSS-Produkt ziemlich clever. Ich würde das zumindest versuchen, um deine Füße nass zu machen.

Intrusion Detection-Systeme sind mehr als nur ein NIDS (Network Based One). Ich finde, dass ein HIDS für meine Umgebung viel nützlicher ist. Zur Zeit verwende ich OSSEC, das meine Protokolle, Dateien usw. überwacht.

Also, wenn Sie nicht genug Wert von Snort bekommen, versuchen Sie einen anderen Ansatz. Möglicherweise Modsecurity für Apache oder Ossec für die Protokollanalyse.

Ich weiß, dass viele Leute snort als Lösung ausgeben werden, und das ist gut so - snort und sguil sind auch eine gute Kombination für die Überwachung verschiedener Subnetze oder VLANs.

Wir verwenden derzeit Strataguard von StillSecure . Es handelt sich um eine Snort-Implementierung auf einer gehärteten GNU / Linux-Distribution. Es ist sehr einfach einzurichten (viel einfacher als nur zu schnupfen), bietet eine kostenlose Version für Umgebungen mit geringerer Bandbreite und eine sehr intuitive und nützliche Weboberfläche. Es macht das Aktualisieren, Einstellen, Ändern und Ermitteln von Regeln einigermaßen einfach.

Obwohl es im IPS-Modus installiert werden kann und die Firewall automatisch für Sie sperrt, verwenden wir es nur im IDS-Modus. Es wurde auf dem Monitor-Port unseres zentralen Switches installiert, eine zweite Netzwerkkarte für die Verwaltung hinzugefügt und es funktioniert hervorragend für Überprüfung des Verkehrs. Die Anzahl der Fehlalarme (vor allem das Pre-Tuning) ist der einzige Nachteil, aber dies lässt uns wissen, dass es funktioniert, und die Schnittstelle macht es sehr einfach, die Regelsignatur zu überprüfen, die erfassten Pakete zu untersuchen und Links zu folgen, um die Sicherheitsanfälligkeit zu untersuchen So kann man entscheiden, ob die Warnung wirklich ein Problem ist oder nicht, und die Warnung oder Regel nach Bedarf anpassen.

Ich würde Snort empfehlen. Snort wird von fast allen anderen Sicherheitstools unterstützt, Tutorials und viele Front-End-Anwendungen sind sofort verfügbar. Es gibt keine geheime Sauce, die ein IDS besser macht als ein anderes. Die öffentlichen und lokalen Regelsätze liefern die Energie.

IDS (HIDS oder NIDS) sind jedoch Geldverschwendung, es sei denn, Sie sind bereit, die Protokolle und Warnungen stündlich oder täglich zu überprüfen. Sie benötigen die Zeit und das Personal, um Fehlalarme zu beseitigen und neue Regeln für lokale Anomalien zu erstellen. Ein IDS wird am besten als Videokamera für Ihr Netzwerk beschrieben. Jemand muss es beobachten und die Befugnis haben, auf die von ihm gesendeten Informationen zu reagieren. Sonst ist es wertlos.

Endeffekt. Sparen Sie Geld bei der Software und verwenden Sie ein Open-Source-IDS. Geben Sie Geld für Schulungen aus und entwickeln Sie ein großartiges Sicherheitsteam.

Wenn Leute nach Eindringlingserkennung fragen, denke ich an Server-IDS, da es egal ist, wer in Ihr Netzwerk eindringt, wenn sie nichts tun. Ein IDS wie AIDE erstellt Snapshot-Hashes von einem Server, sodass Sie genau sehen können, was hat über einen bestimmten Zeitraum auf der Festplatte geändert.

Einige Leute ziehen es vor, alle Server nach einer Sicherheitsverletzung neu zu erstellen, aber ich denke, dies kann für die meisten Probleme ein wenig übertrieben sein.

Ehrlich gesagt ist IDS in der Regel eine reine Zeitverschwendung, da die Bediener ihre ganze Zeit damit verbringen, die falsch positiven Ergebnisse auszublenden. Es wird zu einer solchen Belastung, dass das System in einer Ecke bleibt und ignoriert wird.

Die meisten Organisationen platzieren die Sonde außerhalb des Netzwerks und sind erstaunt, Tausende von Angriffen zu sehen. Es ist, als würde man einen Einbruchalarm an der Außenseite des Hauses anbringen und sich wundern, dass er jedes Mal ausgelöst wird, wenn jemand vorbeikommt.

IDS wird von Sicherheitsberatern geliebt, um zu zeigen, wie gefährlich es ist, Auditoren als Kontrollkästchen zu verwenden und von allen anderen ignoriert, da dies eine völlige Verschwendung von Zeit und Ressourcen darstellt.

Es wäre besser, die Zeit damit zu verbringen, zu akzeptieren, dass jeden Tag Tausende von Angriffen stattfinden, den externen Zugriff zu entwerfen und vor allem sicherzustellen, dass die externen Verkleidungssysteme ordnungsgemäß gehärtet sind.

Dave