He probado varios IDS basados en la red y los sistemas de IPS, a través de los años y nunca he sido feliz con los resultados. Cualquiera de los sistemas eran demasiado difíciles de manejar, sólo se activa en el conocido explota basada en la vieja firmas, o eran simplemente demasiado hablador con la salida.
En cualquier caso, no creo que proporcionó la real protección de nuestra red. En algunos casos, eran perjudiciales debido a una caída conexiones válidas o simplemente falla.
En los últimos años, estoy seguro de que las cosas han cambiado, así que lo que se recomienda los IDENTIFICADORES de los sistemas de estos días? ¿Tienen heurística que trabajar y no alerta sobre el tráfico legítimo?
O, es mejor confiar en el buen cortafuegos y endurecido hosts?
Si usted recomendar un sistema, ¿cómo sabe que está haciendo su trabajo?
Como algunos han mencionado en las respuestas a continuación, también vamos a llegar algunos comentarios sobre host sistemas de detección de intrusos como están estrechamente relacionadas con las IDS basados en la red.
Para nuestra configuración actual, sería necesario controlar dos redes independientes con un total de ancho de banda de 50 mbps. Estoy buscando algunos comentarios del mundo real, no una lista de los dispositivos o servicios capaces de hacer IDS.
Recomendamos un sistema de detección de intrusiones (IDS/IPS), y son ellos vale la pena?
- Preguntado el 2 de Junio, 2009
- Cuando se hizo la pregunta
- 3619 visitas
- Cuantas visitas ha tenido la pregunta
- 5 Respuestas
- Cuantas respuestas ha tenido la pregunta
- Solucionado
- Estado actual de la pregunta
Respuestas
¿Demasiados anuncios?Un pensamiento; solicita "valen". Yo odio a dar un no de respuesta técnica, pero si su organización necesita disponer de un IDS para indicar a un organismo regulador que cumple con alguna regulación o de otro tipo, incluso si usted encuentra que desde un punto de vista tecnológico, el dispositivo no darle lo que quiere, que puede ser, por definición, "la pena" si se mantienen en el cumplimiento.
No estoy sugiriendo que "no importa si es bueno o no", obviamente, algo que hace un buen trabajo es preferido a algo que no; pero para alcanzar el cumplimiento normativo es un objetivo en sí mismo.
Sistemas de detección de intrusos son herramientas muy valiosas, pero que necesitan para ser utilizado correctamente. Si usted trata a su NIDS como una alerta basados en el sistema, donde la alerta es el final, se sienten frustrados (ok, alerta de X se generó, ¿y ahora qué hago?).
Recomiendo mirar el NSM (Red de monitoreo de seguridad) enfoque donde la mezcla de NIDS (sistemas de alerta) con la sesión y el contenido de los datos, por lo que bien puede examinar cualquier alerta y afinar su sistema IDS.
*Yo no puedo vínculo, de modo que sólo google para taosecurity o NSM
Además de la información basados en red, si se mezcla el HIDS + TAPAS (basado en un registro de detección de intrusiones) obtendrá una visión clara de lo que está pasando.
**Además, no olvides que estas herramientas no son las protegerse de un ataque, sino para actuar como una cámara de seguridad (física comparación) de manera adecuada la respuesta a incidentes pueden ser tomadas.
Hace varios años me he revisado varios sistemas de prevención de intrusiones .
Yo quería implementar algo entre un par de lugares y de la red corporativa.
El sistema era proporcionar un fácil de administrar y supervisar (algo que podría ser entregado a un segundo nivel de ayuda de escritorio de la persona). Automatizado alarmante y la presentación de informes también fueron necesarios.
El sistema que yo terminé eligiendo fue la IPS de Punto de Inflexión. Todavía nos gusta es que después de estar en el lugar por varios años. Nuestra aplicación incluye la suscripción a su Digital de la Vacuna, que empuja la vulnerabilidad y explotar las reglas de la semana.
El sistema ha sido muy útil para ver lo que está pasando (alerta, pero no toma ninguna acción) así como automáticamente bloquear o poner en cuarentena los sistemas.
Esto terminó siendo una herramienta muy útil para localizar y aislar los equipos infectados con malware así como el bloqueo de ancho de banda acaparando o política de seguridad relacionados con el tráfico sin tener que trabajar con router listas de control de acceso.
http://www.tippingpoint.com/products_ips.html
En mi opinión, off-the-shelf IDS/IPS no vale la pena a menos que usted conoce la naturaleza exacta de toda la actividad que debe ser visto en la red. Usted puede manejar las tuercas de la creación de excepciones por estúpido comportamiento de los usuarios y se portaba mal (legítimo) de las aplicaciones. En redes que no son muy bloqueado, he encontrado el ruido abrumador en cualquiera de los sistemas que he utilizado. Es por eso que finalmente se canaliza la columna vertebral en una sola máquina linux que se ejecutaba en una pieza por encargo de C código. Que una pieza de código encapsulado todos los weirdnesses sabíamos, y otra cosa era sospechosa.
Si te hacen tener un gran bloqueado de red, los mejores sistemas tienen algún tipo de integración con el perimetro de su dispositivo, por lo que hay una completa política de partido.
Tan lejos como saber si está haciendo su trabajo, la mejor manera es en la ejecución de algunos de los ataques a sí mismo periódicamente.
Para tener un buen IDS, es necesario contar con múltiples fuentes. Si un IDS tiene varias alertas de múltiples fuentes para el mismo ataque, será capaz de disparar una alerta de que tiene mucho más sentido, a continuación, sólo un estándar de alerta.
Esta es la razón por la que usted necesita para correlacionar la salida de HIDS (Host IDS) como OSSEC y NIDS (Network ID), tal como Snort. Esto se puede hacer utilizando Preludio , por ejemplo. Prelude agregate y la correlación de alertas para ser capaz de generar verdaderas advertencias de seguridad que tienen mucho más significado. Decir por ejemplo, usted tiene un ataque de red, si se mantiene un ataque a la red, es, probablemente, nada demasiado malo, pero si se convierte en un host de ataque, que wil gatillo apropiado alertas con un alto nivel de importancia.
Preguntas relacionadas
- Diez consejos de seguridad para usuarios no técnicos
- Puppet de Seguridad y Topologías de Red
- ¿Por qué la gente me dice no utilizar redes de seguridad?
- Es un Auto Firmado el Certificado SSL de un Falso Sentido de Seguridad?
- ¿Cómo se puede evitar de la red conflicto con VPN redes internas?
- ¿Lo que ' las mejores prácticas para la comunicación entre las instancias Amazon EC2 s?
- Forma más fácil para enviar correo electrónico cifrado?
- 802.1 X necesidades único puerto por cada dispositivo?
- ¿Qué tan útil es el montaje /tmp noexec?
- ¿Cuáles son los IUSR y IWAM cuentas en el IIS?
Preguntas Destacadas
- La instalación de un equipo linux para actuar como un teclado bluetooth/ratón
- ¿Cómo puedo acceder a la adjunta de volumen en Amazon EC2
- Las instantáneas de LVM vs sistema de archivos de instantáneas
- ¿Qué beneficios hay para correr un Sistema Operativo de 64 bits?
- ¿El uso de un solo cable para conectar dos interruptores de crear un cuello de botella?
- la masilla y la pantalla y desplácese-back buffer
En nuestra red
- Ejecución de CMake en Windows
- ¿Cómo puedo visualizar desde una dirección URL de una imagen en una pantalla de inicio?
- La sincronización no-Amazon los libros electrónicos comprados entre el Kindle, el iPad y el iPhone
- ¿Cuál es la forma correcta de estudiar matemáticas (más avanzados)?
- Hay empresas que ofrecen wifi en todo el mundo de la itinerancia de una tarifa fija?