He probado varios IDS basados en la red y los sistemas de IPS, a través de los años y nunca he sido feliz con los resultados. Cualquiera de los sistemas eran demasiado difíciles de manejar, sólo se activa en el conocido explota basada en la vieja firmas, o eran simplemente demasiado hablador con la salida.
En cualquier caso, no creo que proporcionó la real protección de nuestra red. En algunos casos, eran perjudiciales debido a una caída conexiones válidas o simplemente falla.
En los últimos años, estoy seguro de que las cosas han cambiado, así que lo que se recomienda los IDENTIFICADORES de los sistemas de estos días? ¿Tienen heurística que trabajar y no alerta sobre el tráfico legítimo?
O, es mejor confiar en el buen cortafuegos y endurecido hosts?
Si usted recomendar un sistema, ¿cómo sabe que está haciendo su trabajo?
Como algunos han mencionado en las respuestas a continuación, también vamos a llegar algunos comentarios sobre host sistemas de detección de intrusos como están estrechamente relacionadas con las IDS basados en la red.
Para nuestra configuración actual, sería necesario controlar dos redes independientes con un total de ancho de banda de 50 mbps. Estoy buscando algunos comentarios del mundo real, no una lista de los dispositivos o servicios capaces de hacer IDS.
Respuestas
¿Demasiados anuncios?
Un pensamiento; solicita "valen". Yo odio a dar un no de respuesta técnica, pero si su organización necesita disponer de un IDS para indicar a un organismo regulador que cumple con alguna regulación o de otro tipo, incluso si usted encuentra que desde un punto de vista tecnológico, el dispositivo no darle lo que quiere, que puede ser, por definición, "la pena" si se mantienen en el cumplimiento.
No estoy sugiriendo que "no importa si es bueno o no", obviamente, algo que hace un buen trabajo es preferido a algo que no; pero para alcanzar el cumplimiento normativo es un objetivo en sí mismo.
Sistemas de detección de intrusos son herramientas muy valiosas, pero que necesitan para ser utilizado correctamente. Si usted trata a su NIDS como una alerta basados en el sistema, donde la alerta es el final, se sienten frustrados (ok, alerta de X se generó, ¿y ahora qué hago?).
Recomiendo mirar el NSM (Red de monitoreo de seguridad) enfoque donde la mezcla de NIDS (sistemas de alerta) con la sesión y el contenido de los datos, por lo que bien puede examinar cualquier alerta y afinar su sistema IDS.
*Yo no puedo vínculo, de modo que sólo google para taosecurity o NSM
Además de la información basados en red, si se mezcla el HIDS + TAPAS (basado en un registro de detección de intrusiones) obtendrá una visión clara de lo que está pasando.
**Además, no olvides que estas herramientas no son las protegerse de un ataque, sino para actuar como una cámara de seguridad (física comparación) de manera adecuada la respuesta a incidentes pueden ser tomadas.
Hace varios años me he revisado varios sistemas de prevención de intrusiones .
Yo quería implementar algo entre un par de lugares y de la red corporativa.
El sistema era proporcionar un fácil de administrar y supervisar (algo que podría ser entregado a un segundo nivel de ayuda de escritorio de la persona). Automatizado alarmante y la presentación de informes también fueron necesarios.
El sistema que yo terminé eligiendo fue la IPS de Punto de Inflexión. Todavía nos gusta es que después de estar en el lugar por varios años. Nuestra aplicación incluye la suscripción a su Digital de la Vacuna, que empuja la vulnerabilidad y explotar las reglas de la semana.
El sistema ha sido muy útil para ver lo que está pasando (alerta, pero no toma ninguna acción) así como automáticamente bloquear o poner en cuarentena los sistemas.
Esto terminó siendo una herramienta muy útil para localizar y aislar los equipos infectados con malware así como el bloqueo de ancho de banda acaparando o política de seguridad relacionados con el tráfico sin tener que trabajar con router listas de control de acceso.
http://www.tippingpoint.com/products_ips.html
En mi opinión, off-the-shelf IDS/IPS no vale la pena a menos que usted conoce la naturaleza exacta de toda la actividad que debe ser visto en la red. Usted puede manejar las tuercas de la creación de excepciones por estúpido comportamiento de los usuarios y se portaba mal (legítimo) de las aplicaciones. En redes que no son muy bloqueado, he encontrado el ruido abrumador en cualquiera de los sistemas que he utilizado. Es por eso que finalmente se canaliza la columna vertebral en una sola máquina linux que se ejecutaba en una pieza por encargo de C código. Que una pieza de código encapsulado todos los weirdnesses sabíamos, y otra cosa era sospechosa.
Si te hacen tener un gran bloqueado de red, los mejores sistemas tienen algún tipo de integración con el perimetro de su dispositivo, por lo que hay una completa política de partido.
Tan lejos como saber si está haciendo su trabajo, la mejor manera es en la ejecución de algunos de los ataques a sí mismo periódicamente.
Para tener un buen IDS, es necesario contar con múltiples fuentes. Si un IDS tiene varias alertas de múltiples fuentes para el mismo ataque, será capaz de disparar una alerta de que tiene mucho más sentido, a continuación, sólo un estándar de alerta.
Esta es la razón por la que usted necesita para correlacionar la salida de HIDS (Host IDS) como OSSEC y NIDS (Network ID), tal como Snort. Esto se puede hacer utilizando Preludio , por ejemplo. Prelude agregate y la correlación de alertas para ser capaz de generar verdaderas advertencias de seguridad que tienen mucho más significado. Decir por ejemplo, usted tiene un ataque de red, si se mantiene un ataque a la red, es, probablemente, nada demasiado malo, pero si se convierte en un host de ataque, que wil gatillo apropiado alertas con un alto nivel de importancia.
