多年来,我尝试了各种基于网络的 IDS 和 IPS 系统,但从未对结果感到满意。要么系统太难管理,要么仅在基于旧签名的众所周知的漏洞利用时触发,要么就是输出过于啰嗦。
无论如何,我认为他们没有为我们的网络提供真正的保护。在某些情况下,它们是有害的,因为丢弃了有效的连接或只是简单的失败。
在过去的几年里,我确信情况发生了变化,那么这些天推荐的 IDS 系统是什么?他们是否具有有效的启发式方法并且不对合法流量发出警报?
或者,依靠良好的防火墙和强化主机是否更好?
如果你推荐一个系统,你怎么知道它在做它的工作?
正如一些人在下面的答案中提到的,让我们也得到一些关于主机入侵检测系统的反馈,因为它们与基于网络的 IDS 密切相关。
对于我们当前的设置,我们需要监控两个总带宽为 50mbps 的独立网络。我在这里寻找一些真实世界的反馈,而不是能够执行 IDS 的设备或服务的列表。
一念;你问“他们值得吗”。我不想给出一个非技术性的答案,但是如果您的组织需要一个 IDS 来向监管机构表明您遵守了某些法规或其他法规,即使您发现从技术角度来看该设备没有提供你想要什么,如果他们让你遵守,他们可能是“值得的”。
我并不是说“它好不好都无所谓”,显然做得好的东西比做得好的东西更受欢迎;但达到监管合规性本身就是一个目标。
入侵检测系统是非常宝贵的工具,但需要正确使用。如果您将您的 NIDS 视为基于警报的系统,其中警报结束,您会感到沮丧(好吧,警报 X 已生成,我现在该怎么办?)。
我建议查看 NSM(网络安全监控)方法,将 NIDS(警报系统)与会话和内容数据混合在一起,这样您就可以正确检查任何警报并更好地调整您的 IDS 系统。
*我无法链接,所以只能谷歌 taosecurity 或 NSM
除了基于网络的信息之外,如果您混合使用 HIDS + LIDS(基于日志的入侵检测),您将清楚地了解正在发生的事情。
**另外,不要忘记这些工具并不是为了保护您免受攻击,而是充当安全摄像头(物理比较),以便可以采取适当的事件响应。
要拥有一个好的 IDS,您需要多个来源。如果一个 IDS 有来自多个来源的多个警报针对同一攻击,它将能够触发一个比标准警报更有意义的警报。
这就是为什么您需要关联来自 HIDS(主机 IDS)(如 OSSEC)和 NIDS(网络 IDS)(如 Snort)的输出的原因。例如,这可以使用Prelude来完成。Prelude 将聚合和关联警报,以便能够生成具有更多意义的真实安全警告。举例来说,你有一个网络攻击,如果它仍然是网络攻击,那可能还不算太糟糕,但如果它变成主机攻击,那将触发具有高度重要性的适当警报。
几年前,我回顾了几个入侵防御系统。
我想在几个位置和公司网络之间部署一些东西。
该系统旨在提供易于管理和监控的功能(可以交给第二层服务台人员)。还需要自动报警和报告。
我最终选择的系统是 Tipping Point 的 IPS。经过几年的发展,我们仍然喜欢它。我们的实施包括订阅他们的数字疫苗,每周推出漏洞和利用规则。
该系统对于监视正在发生的事情(警告但不采取行动)以及自动阻止或隔离系统非常有用。
这最终成为定位和隔离受恶意软件感染的计算机以及阻止带宽占用或与安全策略相关的流量的非常有用的工具,而无需使用路由器访问控制列表。
http://www.tippingpoint.com/products_ips.html
在我看来,现成的 IDS/IPS 是不值得的,除非您知道应该在您的网络上看到的所有活动的确切性质。您可能会为愚蠢的用户行为和行为不端(合法)的应用程序创建异常,让自己发疯。在没有高度锁定的网络上,我发现在我使用过的任何系统中,噪音都是压倒性的。这就是为什么我们最终将主干通过管道连接到一台运行自定义 C 代码的 linux 机器中。这段代码封装了我们所知道的所有怪事,其他任何事情都是可疑的。
如果您确实有一个高度锁定的网络,最好的系统将与您的外围设备进行某种集成,以便完全匹配策略。
至于知道它是否在做它的工作,最好的方法是自己定期执行一些攻击。
我认为任何 IDS/IPS 系统都必须针对您的环境进行定制调整,才能看到真正的好处。否则你只会被误报淹没。但是 IDS/IPS 永远不会取代适当的防火墙和服务器加固。
在过去的一年里,我们一直在使用我工作的 Fortigate 设备,并且对它非常满意。它的功能远不止 IDS/IPS,因此它可能不是您正在寻找的东西,但值得一看。
IDS/IPS 规则会自动更新(默认)或可以手动更新。我发现它的 IDS/IPS 规则也可以通过它的 Web 界面进行管理。我认为它易于管理是由于将保护分解为保护配置文件,然后您将这些配置文件分配给防火墙上的规则。因此,您可以获得更集中的保护和警报,而不是查看网络上每个数据包的所有规则。
在我们的组织中,我们目前有许多 IDS,包括商业系统和开放系统的混合。这部分是由于大学发生的历史考量类型和绩效原因。话虽如此,我将稍微谈谈 Snort。
一段时间以来,我一直在推出企业范围内的 snort 传感器支出。目前这是一个较小的阵列(想想 <10),范围可以达到几十个。我在这个过程中学到的东西是无价的。主要是使用技术来管理通过的警报数量以及管理这么多高度分布的节点。使用 MRTG 作为指南,我们的传感器看到平均 5Mbps 到 96MBps。请记住,出于此答案的目的,我说的是 IDS,而不是 IDP。
主要发现是:
公平地说,我注意到大量系统中有 5 个,包括瞻博网络和思科。我还听说过 Snort 如何比 TippingPoint 更容易安装和配置,尽管我从未使用过该产品。
总而言之,我对 Snort 非常满意。我在很大程度上更喜欢打开大多数规则,并花时间进行调整,而不是通过数千条规则来决定要打开哪些规则。这使得调整所花费的时间增加了一点,但我从一开始就计划好了。此外,随着这个项目的推进,我们还购买了 SEIM,这使得两者之间的协调变得容易。所以我设法在调优过程中利用了良好的日志相关性和聚合。如果您没有这样的产品,您的体验调整可能会有所不同。
我知道很多人会放弃 snort 作为解决方案,这很好——snort 和 sguil 也是监控不同子网或 VLAN 的好组合。
我们目前使用StillSecure 的 Strataguard,它是在强化的 GNU/Linux 发行版上的 snort 实现。它非常容易启动和运行(比单独使用 snort 容易得多),具有适用于低带宽环境的免费版本,以及非常直观和有用的 Web 界面。它使更新、调整、修改和研究规则变得相当容易。
虽然它可以在 IPS 模式下安装并自动为您锁定防火墙,但我们仅在 IDS 模式下使用它——将它安装在我们中央交换机的监控端口上,弹出第二个 NIC 进行管理,它非常适合审查交通。误报的数量(特别是预调整)是唯一的缺点,但这确实让我们知道它正在工作,并且该界面使检查规则签名、检查捕获的数据包以及点击链接来研究漏洞变得非常容易因此可以确定警报是否确实存在问题,并根据需要调整警报或规则。
Sourcefire 有一个很好的系统,它们的组件可以帮助发现新的意外流量何时开始从系统发出。我们在 IDS 模式而不是 IPS 模式下运行它,因为存在合法流量可能被阻止的问题,因此我们监控报告,总体而言,它似乎做得相当不错。
在您回答您需要什么 IDS/IPS 之前,我想更好地了解您的安全架构。您使用什么来路由和切换网络,您的安全架构中还有哪些其他安全措施?
您试图减轻的风险是什么,即哪些信息资产面临风险以及来自什么风险?
你的问题太笼统了,除了人们对产品 X 的看法以及出于 X 原因它是最好的之外,无法给你任何东西。
安全是一个风险缓解过程,IT 安全解决方案的实施需要与已识别的风险保持一致。仅仅根据人们认为最好的产品将 IDS/IPS 投入到您的网络中,是徒劳的,而且浪费时间和金钱。
干杯谢恩