这些天来,我正在阅读有关入侵预防/检测系统的信息。阅读时,我在某些方面确实感到困惑。
首先,防火墙和防病毒技术多年来都是众所周知的术语,但现在 IDS 变得流行起来。
我的问题包括:
- 在组织网络架构中,我们何时/何地使用这些系统?
- 使用每个有什么好处?
- 防火墙是否包含所有这些其他内容?
如果你给我一些例子,它会很有帮助。
谢谢。
我已经为此工作太久了。我敢肯定答案应该很明显,但是...
Snort 手册: http : //www.snort.org/assets/125/snort_manual-2_8_5_1.pdf 在第 39 页(根据 Acrobat Reader 为第 40 页)列出了两个日志输出:“统一输出”和“日志文件输出”,其中我猜前者指的是“统一”输出模式......这让我认为答案是“不,snort 无法将检测到的端口扫描的警报输出到 syslog。”
我一直在使用的配置文件是:
alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto { all } \
memcap { 10000000 } \
scan_type { all } \
sense_level { high } \
logfile { pscan.log }
(是的,我知道非常基本)。
一个简单的 nmap 触发输出到 pscan.log
谁能证实这一点?或者指出我是怎么做到的?
我们最近将 NIDS 安装从 StrataGuard 移至新的 OSSIM 2.1 版本,以利用它提供的除 Snort 之外的附加功能(Nagios、ntop、Nessus/OpenVas 等)。到目前为止,我对 OSSIM 印象深刻,但也对所提供的复杂性和大量信息感到有些不知所措。
StrataGuard 使调整和配置规则变得非常容易,例如为给定规则排除或指定源/目标地址和端口的组合,我很难弄清楚如何从不同的事件中调整 OSSIM 中的规则源(Snort、rrd、arpwatch、directive_alert 等)。目前该文档非常稀少,似乎对此并没有多说。
我的问题是,我是否遗漏了什么,即我应该接近不同的水平吗?我是否应该只配置 Policy 和 Correlation 元素,让事件涌入,即使我知道它们是误报?或者是否有一种直接的方法来调整每个传感器的规则?
谢谢你的帮助。
更新: Linux Journal 上的一篇不错的评论文章已通过 AlienVault 网站提供,它比我看到的更深入地解释了关联过程,并对 OSSIM 系统进行了很好的整体评论。
2012 年 11 月更新:自从我发布这个问题(Icinga、ZenOSS 和 Splunk 按此顺序)以来,我们在 3 年多的时间里尝试了其他开源日志记录和/或监控解决方案,但没有得到任何满意,所以我最近又回来玩了与 OSSIM。它目前达到了 4.0 版,与以前的版本相比,这些工具总体上似乎有了很大的改进和更好的集成,尤其是在日志记录端。我发现 Alienvault 提供的“OSSIM Made Simple”网络研讨会非常有用,至少在将其设置为 syslog/OSSEC 存储库方面。仍在尝试处理镜像流量上 Snort/ntop 的规则和事件/警报相关性——我认为付费/非“社区”版本中的一些工具可能会使这更容易,但这不在我们的预算之内。
我正在编写一个严格的 snort 规则解析器,我想适应流行插件的 snort 规则。该文档指定任何操作/类型都是可能的,因为它们可以由插件定义。但是,我想要一个已知操作的列表来查找,以便向用户发出警告。
目前,我知道以下 snort 动作:
alert
log
pass
activate
dynamic
drop
sdrop
reject
您是否使用或知道任何其他自定义操作?
有谁知道(最好是免费的)Windows 实用程序,它每 x 分钟递归地对目录树中的所有文件进行哈希处理,并在任何文件发生更改时发送通知。
我希望有一个工具在 Web 服务器上的任何代码文件发生更改时通过电子邮件通知我,以便了解该站点何时被黑客入侵或被恶意代码破坏。
我正在尝试获得一些关于OSSIM的真实反馈。
您在生产中使用 OSSIM 吗?
如果是这样,您的总体体验是什么?
您的环境中有多少个节点?
最后,您监控的是哪种带宽?
谢谢!
Anapologetos
多年来,我尝试了各种基于网络的 IDS 和 IPS 系统,但从未对结果感到满意。要么系统太难管理,要么仅在基于旧签名的众所周知的漏洞利用时触发,要么就是输出过于啰嗦。
无论如何,我认为他们没有为我们的网络提供真正的保护。在某些情况下,它们是有害的,因为丢弃了有效的连接或只是简单的失败。
在过去的几年里,我确信情况发生了变化,那么这些天推荐的 IDS 系统是什么?他们是否具有有效的启发式方法并且不对合法流量发出警报?
或者,依靠良好的防火墙和强化主机是否更好?
如果你推荐一个系统,你怎么知道它在做它的工作?
正如一些人在下面的答案中提到的,让我们也得到一些关于主机入侵检测系统的反馈,因为它们与基于网络的 IDS 密切相关。
对于我们当前的设置,我们需要监控两个总带宽为 50mbps 的独立网络。我在这里寻找一些真实世界的反馈,而不是能够执行 IDS 的设备或服务的列表。
文件系统入侵可以使用诸如 Snort 之类的工具进行检测,但更难检测对数据库的入侵,例如删除行、修改表等。监控这一点以检测数据库中不需要的更改的最佳方法是什么?
我正在使用 MySQL,所以任何与数据库无关的东西都应该理想地针对 MySQL。