服务器 Gind.cn
  1. 服务器 Gind.cn
  3. build议入侵检测系统(IDS / IPS),他们值得吗?
Intereting Posts
在Hyper-V上将物理服务器迁移到虚拟 MD,部分从RAID1增长到RAID5,但被中断,磁盘被删除,现在文件系统是FUBAR nginx重写proxy_passconfiguration不工作 Nginx进程开始填充CPU 什么可能导致一个PHP脚本作为一个cron作业运行到D状态? 在Mac OS X Server App(v5)中使用networking挂载作为用户主页 SQL Server Managment Studio:“任务 – >生成脚本”和“脚本数据库为” 如何logintlsencryption的smtpstream量? 如何用nginx前端validationssl客户端证书? Apache / MYSQL问题 为CentOS 7安装Strongswan 通过IP v6访问服务器? Waht可能导致事件日志服务消耗内存? 具有IP别名的Firewalld(eth0:0) 列出一个vlan的父接口

build议入侵检测系统(IDS / IPS),他们值得吗?

我多年来一直试用各种基于networking的IDS和IPS系统,并从未对结果感到满意。 要么这些系统太难pipe理,只能根据旧签名引发众所周知的漏洞攻击,或者对输出太简单了。

无论如何,我不觉得他们为我们的networking提供了真正的保护。 在某些情况下,由于丢失有效的连接或者仅仅是失败,它们是有害的。

在过去的几年中,我确信事情已经发生了变化,那么现在推荐的IDS系统是什么呢? 他们是否有启发式的工作,并没有提醒合法的stream量?

或者,依靠好的防火墙和强化的主机是更好的吗?

如果你推荐一个系统,你怎么知道它正在做它的工作?

正如一些人在下面的答案中提到的那样,让我们​​也得到一些关于主机入侵检测系统的反馈,因为它们与基于networking的IDS密切相关。

对于我们目前的设置,我们需要监视两个独立的networking,总带宽为50mbps。 我在这里寻找一些真实的反馈,而不是能够做IDS的设备或服务列表。

几年前我回顾了几个入侵防御系统。

我想在两个地点和公司networking之间部署一些东西。
该系统提供了一个易于pipe理和监控(可以交给二级帮助台人员的东西)。 还需要自动报警和报告。

我最终select的系统是Tipping Point的IPS。 我们仍然喜欢它在几年后。 我们的实施包括订购他们的数字疫苗,这种疫苗每周都会引发漏洞和利用规则。

该系统对于观察正在发生的事情(警惕但不采取行动)以及自动阻止或隔离系统非常有用。

这最终成为一个非常有用的工具,用于定位和隔离恶意软件感染的计算机,并阻止带宽占用或安全策略相关的stream量,而无需使用路由器访问控制列表。

http://www.tippingpoint.com/products_ips.html

一个想法 你问“他们值得吗”。 我讨厌给出一个非技术性的答案,但是如果你的组织需要有一个IDS来向监pipe机构表明你符合一些法规或其他规定,即使你从技术angular度看到这个设备不给你想要什么,如果他们让你遵守规定,他们可能会被定义为“值得”。

我并不是说“不pipe好不好”,显然做得好的东西比不喜欢的东西不好; 但是达到法规遵从本身就是一个目标。

入侵检测系统是非常宝贵的工具,但它们需要正确使用。 如果你把你的NIDS当作一个基于警报的系统,那么警报是最终的,你会感到沮丧(好吧,警报X已经产生了,现在该怎么办?)。

我build议您查看NSM(networking安全监控)方法,将NIDS(警报系统)与会话和内容数据混合在一起,以便您可以正确检查警报并更好地调整您的IDS系统。

*我无法链接,所以谷歌的taosecurity或NSM

除了基于networking的信息之外,如果您将HIDS + LIDS(基于日志的入侵检测)混合使用,您将清楚地了解正在发生的事情。

**另外,不要忘记,这些工具并不意味着保护你免受攻击,而是作为一个安全摄像机(物理比较),以便采取适当的事件响应。

要有一个好的IDS,你需要多个来源。 如果一个IDS在同一次攻击中有多个来自多个源的警报,它将能够触发一个具有更多意义的警报,然后是一个标准警报。

这就是为什么您需要关联来自HIDS(主机IDS)的输出,如OSSEC和NIDS(networkingIDS),如Snort。 这可以使用前奏例如。 Prelude会聚集并关联警报,以便能够生成具有更多意义的真实安全警告。 假设你有一个networking攻击,如果它仍然是一个networking攻击,它可能没有什么太坏,但如果它成为主机攻击,这将触发重要性高的适当的警报。

在我看来,现成的IDS / IPS是不值得的, 除非你知道在networking上应该看到的所有活动的确切性质。 你可以自己动手制造愚蠢的用户行为和行为不当(合法)应用程序的例外。 在没有高度locking的networking上,我发现在我使用的任何系统中噪音都是压倒性的。 这就是为什么我们最终将主干网传送到一台运行自定义C代码的Linux机器上。 那段代码封装了我们所知道的所有怪异,而其他的东西都是可疑的。

如果你确实有一个高度locking的networking,最好的系统将与你的外围设备进行某种整合,以便有完整的策略匹配。

就知道它是否在做这个工作而言,最好的办法是定期执行一些攻击。

我认为任何IDS / IPS系统都必须根据您的环境进行定制,才能看到真正的好处。 否则,你只会被误报淹没。 但IDS / IPS永远不会取代适当的防火墙和服务器强化。

我们在过去的一年里一直在使用一个Fortigate的设备,并且非常满意。 它不仅仅是IDS / IPS,所以它可能不是你正在寻找的东西,但值得一看。

IDS / IPS规则会自动更新(默认)或可以手动更新。 我发现它的IDS / IPS规则可以通过它的Web界面很好的pipe理。 我认为pipe理的简易性是由于将保护分解为保护configuration文件,然后将其分配给防火墙上的规则。 因此,不要在networking上查看每个数据包的所有规则,而是要获得更多的重点保护和警报。

在我们的组织中,我们有一些目前正在使用的IDS,包括商业系统和开放的组合。 这部分是由于大学发生的历史考虑和性能原因造成的。 这就是说,我将会谈论一下Snort。

一段时间以来,我一直在推出企业范围的snort传感器。 目前这是一个小型arrays(思考<10),范围达到几十个。 我通过这个过程学到的东西是非常宝贵的。 主要是通过技术来pipe理警报的数量,以及pipe理这些高度分布的节点。 使用MRTG作为指导,我们的传感器平均可以看到5Mbps到96MBps。 请记住,为了这个答案的目的,我谈论的是IDS,而不是IDP。

主要发现是:

  1. Snort是一个function非常全面的IDS, 可以很容易地把自己的wrtfunction设置给更大,更无名的networking设备供应商。
  2. 最有趣的警报来自Emerging Threats项目。
  3. WSUS会导致大量的误报,主要来自sfPortscan预处理器。
  4. 任何超过2/3的传感器都需要一个良好的configuration和补丁pipe理系统。
  5. 期望看到大量的误报,直到进行积极的调整。
  6. BASE不能很好地扩展警报,snort没有内置警报pipe理系统。

为了公平地嗅探,我注意到了包括Juniper和Cisco在内的大量系统中的5个。 我也被告知Snort安装和configuration比TippingPoint更容易,尽pipe我从来没有使用过这个产品。

总而言之,我对Snort非常满意。 我主要倾向于打开大部分规则,花时间进行调整,而不是经历数以千计的规则,决定打开哪些规则。 这使得调整时间稍微高一些,但我从一开始就计划好了。 而且,随着这个项目的兴起,我们也通过SEIM购买,这使得它们之间的协调变得很容易。 所以我已经设法在调优过程中利用良好的日志关联和聚合。 如果你没有这样的产品,你的经验调整可能会有所不同。

Sourcefire有一个很好的系统,他们有组件可以帮助发现系统产生新的意想不到的stream量。 我们使用IDS模式而不是IPS模式运行它,因为有合法stream量可能被阻塞的问题,所以我们监控报告,总的来说,它似乎做了一个相当不错的工作。

那么在你可以回答你所需要的IDS / IPS之前,我想更好地理解你的安全架构。 你用什么来路由和切换你的networking,你有什么其他的安全措施,在你的安全架构?

你试图减轻的风险是什么?即哪些信息资产面临风险?

你的问题太笼统,不能给你什么,但是,人们如何看待X产品,以及X产品的最佳原因。

安全是一个风险缓解过程,IT安全解决scheme的实施需要与已确定的风险保持一致。 只是基于人们认为最好的产品将IDS / IPS投入到您的networking中,是非生产性的,浪费时间和金钱。

干杯谢恩

Snort结合ACID / BASE进行报告,对于OSS产品来说是非常光鲜的。 我会尽力,至less让你的脚湿。

入侵检测系统不仅仅是一个NIDS(基于networking的)。 我发现对于我的环境来说,HIDS更有用。 目前我正在使用OSSEC,它监视我的日志,文件等

所以,如果你没有得到足够的价值的Snort,尝试一个不同的方法。 也许modsecurity为Apache或ossec日志分析。

我知道很多人会把snort作为一个解决scheme,这很好 – snort和sguil也是监控不同子网或VLAN的好组合。

我们目前使用StillSecure的Strataguard ,这是一个在GNU / Linux发行版上的snort实现。 启动和运行起来非常简单(比snort简单得多),为低带宽环境提供免费版本,以及非常直观和有用的Web界面。 这使得更新,调整,修改和研究规则变得相当容易。

虽然它可以安装在IPS模式下并自动为您locking防火墙,但是我们仅在IDS模式下使用它 – 将其安装在中央交换机的监视器端口上,然后popup第二个NIC进行pipe理,并且非常适合仔细检查交通。 误报的数量(特别是预调整)是唯一的缺点,但这确实让我们知道它的工作原理,并且通过界面可以很容易地检查规则签名,检查捕获的数据包,并按照链接来研究漏洞所以可以决定警报是否真的存在问题,并根据需要调整警报或规则。

我会推荐Snort。 几乎所有其他安全工具都支持Snort,教程很容易获得,许多前端应用程序也是如此。 有没有秘密的酱,这使得一个IDS比另一个更好。 公共和当地规则集提供权力。

但是任何IDS(HIDS或NIDS)都是浪费金钱,除非您愿意每小时或每天检查日志和警报。 您需要时间和人员去除误报,并为当地的exception情况制定新的规则。 IDS最适合用作networking摄像机。 有人需要关注它,并有权根据发送的信息采取行动。 否则它是毫无价值的。

底线。 在软件上省钱,使用开源的IDS。 花钱培训,发展一个伟大的安全团队。

当人们要求进行入侵检测时,我想到了服务器IDS,因为如果他们一旦没有进行任何操作,谁进入了networking并不重要。像AIDE这样的IDS会使得服务器的快照哈希值可以让你清楚地看到在一段时间内在磁盘上更改。

有些人更喜欢在安全漏洞之后重新映像所有的服务器,但是我认为对于大多数问题可能会有点矫枉过正。

坦率地说,IDS通常是浪费时间,因为运营商花费所有的时间来调整误报。 这个系统变成了一个负担,这个系统被留在一个angular落而被忽视。

大多数组织都将调查对象放在networking外部,并且惊讶地看到数以千计的攻击。 这就像在房子外面发出防盗报警,惊讶的是,每当有人走过时,报警就会熄灭。

IDS被安全顾问所喜爱,显示出它有多危险,审计人员是一个勾选框,并被其他人忽视,因为这是对他们的时间和资源的完全浪费。

花时间接受每天有成千上万的攻击,devise外部访问,最重要的是确保面向外部的系统得到适当的硬化。

戴夫