На протяжении многих лет я пробовал различные сетевые системы IDS и IPS и никогда не был доволен результатами. Либо системы были слишком сложны в управлении, либо срабатывали только на известные эксплойты, основанные на старых сигнатурах, либо просто были слишком многословны в выводах.
В любом случае я не считаю, что они обеспечивали реальную защиту нашей сети. В некоторых случаях они были вредны, поскольку отбрасывали действительные соединения или просто выходили из строя. За последние несколько лет, я уверен, ситуация изменилась, так какие же системы IDS рекомендуются сегодня? Есть ли у них эвристика, которая работает и не предупреждает о легитимном трафике?
Или же лучше полагаться на хорошие брандмауэры и защищенные узлы?
Если вы рекомендуете систему, откуда вы знаете, что она выполняет свою работу?
Для нашей текущей установки нам нужно будет контролировать две отдельные сети с общей пропускной способностью 100 мбит/с. Я ищу здесь реальные отзывы, а не список устройств или служб, способных выполнять IDS.
Ответ 1
Пару лет назад я рассмотрел несколько систем предотвращения вторжений.
Я хотел установить что-то между парой офисов и корпоративной сетью. Система должна была обеспечивать простое управление и мониторинг (что-то, что можно было бы передать сотруднику службы поддержки второго уровня). Также требовалась автоматическая сигнализация и отчетность. В итоге я выбрал систему IPS от Tipping Point. Она нам нравится до сих пор, уже несколько лет. Наше внедрение включает подписку на Digital Vaccine, которая еженедельно рассылает правила по уязвимостям и эксплойтам. Система оказалась очень полезной для наблюдения за происходящим (предупреждает, но не предпринимает никаких действий), а также для автоматического блокирования или помещения систем в карантин.
Это оказалось очень полезным инструментом для обнаружения и изоляции зараженных вредоносным ПО компьютеров, а также для блокирования трафика, загромождающего полосу пропускания или связанного с политикой безопасности, без необходимости работать со списками контроля доступа маршрутизаторов.
Ответ 2
Системы обнаружения вторжений – это бесценные инструменты, но их нужно использовать правильно. Если вы относитесь к NIDS как к системе, основанной на оповещениях, где оповещение – это конец операции, вы будете разочарованы (ок, оповещение X было сгенерировано, что мне теперь делать?).
Я рекомендую обратить внимание на подход NSM (мониторинг сетевой безопасности), в котором NIDS (системы оповещения) сочетаются с данными о сеансах и содержимом, что позволяет правильно изучить любое оповещение и лучше настроить вашу систему IDS.
Я не могу дать ссылку, поэтому просто загуглите taosecurity или NSM.
В дополнение к сетевой информации, если вы смешаете HIDS + LIDS (обнаружение вторжений на основе журналов), вы получите четкое представление о том, что происходит.
Кроме того, не забывайте, что эти инструменты предназначены не для защиты от атак, а для работы в качестве камеры безопасности (физическое сравнение), чтобы можно было правильно отреагировать на инцидент.
Ответ 3
Чтобы иметь хорошую IDS, необходимо несколько источников информации. Если IDS имеет несколько предупреждений из нескольких источников об одной и той же атаке, она сможет выдать предупреждение, которое будет иметь гораздо большее значение, нежели просто стандартное предупреждение. Вот почему вам необходимо соотнести результаты, полученные от HIDS (Host IDS), таких как OSSEC, и NIDS (Network IDS), таких как Snort. Это можно сделать, например, с помощью Prelude. Prelude агрегирует и коррелирует предупреждения, чтобы иметь возможность генерировать реальные предупреждения безопасности, которые имеют гораздо больше смысла. Например, если у вас есть сетевая атака, если она остается сетевой, то, вероятно, ничего страшного, но, если она становится атакой на хост, это вызовет соответствующие предупреждения с высоким уровнем важности.
Ответ 4
В нашей организации в настоящее время используется несколько IDS, включая сочетание коммерческих и открытых систем. Отчасти это объясняется историческими соображениями, которые имеют место в университете, а также соображениями производительности. Учитывая это, я собираюсь немного поговорить о Snort.
В течение некоторого времени я внедряю в масштабах предприятия распределение датчиков Snort. В настоящее время это массив небольшого размера (думаю, <10), который планируется довести до нескольких десятков. То, чему я научился в ходе этого процесса, было бесценным; в основном это касается методов управления количеством поступающих предупреждений, а также управления таким количеством высокораспределенных узлов. Используя MRTG в качестве руководства, мы видим, что датчики в среднем передают от 5 Мбит/с до 96 Мбит/с. Имейте в виду, что в данном ответе я говорю о IDS, а не о IDP.
Основные выводы таковы:
Snort – это очень полнофункциональная IDS и легко уступает по набору функций гораздо более крупным и неназванным производителям сетевых устройств.
Наиболее интересные предупреждения поступают из проекта Emerging Threats.
WSUS приводит к глупому количеству ложных срабатываний, в основном из-за препроцессора sfPortscan.
Для использования более 2/3 датчиков требуется хорошая система управления конфигурацией и патчами.
Ожидайте очень большого количества ложных срабатываний, пока не будет проведена агрессивная настройка.
BASE не очень хорошо масштабируется при большом количестве предупреждений, а snort не имеет встроенной системы управления предупреждениями.
Чтобы быть справедливым к snort, я заметил в большом количестве систем, включая Juniper и Cisco. Мне также рассказывали истории о том, что Snort можно установить и настроить проще, чем TippingPoint, хотя я никогда не использовал этот продукт.
В целом, я был очень доволен Snort. Я предпочитал включать большинство правил и тратить свое время на настройку, а не перебирать тысячи правил и решать, какие из них включить. Это немного увеличило время, затрачиваемое на настройку, но я планировал это с самого начала. Кроме того, по мере развития этого проекта мы также приобрели SEIM, что позволило легко скоординировать эти два проекта. Таким образом, мне удалось использовать хорошую корреляцию и агрегацию журналов в процессе настройки. Если у вас нет такого продукта, ваш опыт настройки может быть другим.
Ответ 5
Я знаю, что многие люди будут использовать snort в качестве решения, и это хорошо – snort и sguil также являются хорошей комбинацией для мониторинга различных подсетей или VLAN.
В настоящее время мы используем Strataguard от StillSecure, это реализация snort на защищенном дистрибутиве GNU/Linux. Его очень легко запустить (гораздо легче, чем только snort), у него есть бесплатная версия для сред с низкой пропускной способностью, а также очень интуитивно понятный и полезный веб-интерфейс. Он позволяет достаточно легко обновлять, настраивать, изменять и исследовать правила.
Хотя он может быть установлен в режиме IPS и автоматически блокировать брандмауэр для вас, мы используем его только в режиме IDS – установили его на порт монитора на нашем центральном коммутаторе, подключили вторую сетевую карту для управления, и он отлично работает для тщательной проверки трафика. Единственным недостатком является количество ложных срабатываний (особенно при предварительной настройке), но это дает нам знать, что он работает, а интерфейс позволяет легко изучить сигнатуру правила, просмотреть захваченные пакеты и перейти по ссылкам для исследования уязвимости, чтобы решить, действительно ли предупреждение является проблемой или нет, и скорректировать предупреждение или правило при необходимости.
Ответ 6
Откровенно говоря, IDS обычно является пустой тратой времени, поскольку операторы тратят все свое время на отсеивание ложных срабатываний. Это становится таким бременем, что систему игнорируют. Большинство организаций размещают зонд на внешней стороне сети и удивляются, когда видят тысячи атак. Это все равно, что поставить сигнализацию от взломщиков снаружи дома и удивляться, что она срабатывает каждый раз, когда кто-то проходит мимо.
IDS любят консультанты по безопасности, чтобы показать, как опасно там; аудиторы, чтобы поставить галочку; и игнорируют все остальные, поскольку это пустая трата времени и ресурсов. Лучше потратить время на то, чтобы принять тот факт, что каждый день происходят тысячи атак, разработать внешний доступ и прежде всего убедиться, что системы, обращенные к внешнему миру, должным образом защищены.
Security