Merekomendasikan sistem deteksi intrusi (IDS / IPS), dan apakah mereka layak?

Saya telah mencoba berbagai sistem IDS dan IPS berbasis jaringan selama bertahun-tahun dan tidak pernah puas dengan hasilnya. Entah sistemnya terlalu sulit untuk dikelola, hanya dipicu pada eksploitasi terkenal berdasarkan tanda tangan lama, atau terlalu cerewet dengan hasilnya.

Bagaimanapun, saya tidak merasa mereka memberikan perlindungan nyata untuk jaringan kami. Dalam beberapa kasus, mereka berbahaya karena menjatuhkan koneksi yang valid atau gagal total.

Dalam beberapa tahun terakhir, saya yakin semuanya telah berubah, jadi apa sistem IDS yang direkomendasikan saat ini? Apakah mereka memiliki heuristik yang berfungsi dan tidak memperingatkan tentang lalu lintas yang sah?

Atau, apakah lebih baik mengandalkan firewall yang bagus dan host yang keras?

Jika Anda merekomendasikan suatu sistem, bagaimana Anda tahu itu melakukan tugasnya?

Seperti beberapa telah disebutkan dalam jawaban di bawah ini, mari kita juga mendapatkan umpan balik tentang sistem deteksi intrusi host karena mereka terkait erat dengan IDS berbasis jaringan.

Untuk pengaturan kita saat ini, kita perlu memonitor dua jaringan terpisah dengan total bandwidth 50mbps. Saya mencari umpan balik dunia nyata di sini, bukan daftar perangkat atau layanan yang mampu melakukan IDS.

Beberapa tahun yang lalu saya meninjau beberapa sistem pencegahan intrusi.

Saya ingin menyebarkan sesuatu antara beberapa lokasi dan jaringan perusahaan.
Sistemnya adalah untuk menyediakan pengelolaan dan pemantauan yang mudah (sesuatu yang dapat diserahkan kepada petugas bantuan tingkat kedua). Alarming dan pelaporan otomatis juga diperlukan.

Sistem yang akhirnya saya pilih adalah IPS dari Tipping Point. Kami masih menyukainya setelah berada di tempat selama beberapa tahun. Implementasi kami termasuk berlangganan Vaksin Digital mereka, yang mendorong kerentanan dan mengeksploitasi peraturan setiap minggu.

Sistem ini sangat berguna untuk mengawasi apa yang sedang terjadi (waspada tetapi tidak mengambil tindakan) serta secara otomatis memblokir atau sistem karantina.

Ini akhirnya menjadi alat yang sangat berguna untuk menemukan dan mengisolasi komputer yang terinfeksi malware serta memblokir pemogokan bandwidth atau lalu lintas kebijakan terkait keamanan tanpa harus bekerja dengan daftar kontrol akses router.

http://www.tippingpoint.com/products_ips.html

Satu pikiran; Anda bertanya "apakah mereka layak". Saya benci memberikan jawaban non teknis, tetapi jika organisasi Anda perlu memiliki IDS untuk menunjukkan kepada badan pengawas bahwa Anda mematuhi beberapa peraturan atau lainnya, bahkan jika Anda menemukan bahwa dari perspektif teknologi perangkat tidak memberikan Anda apa yang Anda inginkan, mereka mungkin dengan definisi "sepadan" jika mereka membuat Anda patuh.

Saya tidak menyarankan bahwa "tidak masalah apakah itu baik atau tidak", jelas sesuatu yang melakukan pekerjaan yang baik lebih disukai daripada sesuatu yang tidak; tetapi mencapai kepatuhan peraturan adalah tujuan itu sendiri.

Sistem deteksi intrusi adalah alat yang sangat berharga, tetapi mereka harus digunakan dengan benar. Jika Anda memperlakukan NIDS sebagai sistem berbasis peringatan, di mana lansiran adalah akhir, Anda akan frustrasi (ok, lansiran X dibuat, apa yang harus saya lakukan sekarang?).

Saya merekomendasikan untuk melihat pendekatan NSM (Network security monitoring) di mana Anda mencampur NIDS (sistem peringatan) dengan data sesi dan konten, sehingga Anda dapat dengan benar memeriksa setiap peringatan dan menyempurnakan sistem IDS Anda.

* Saya tidak dapat menautkan, jadi hanya google untuk taosecurity atau NSM

Selain informasi berbasis jaringan, jika Anda mencampur HIDS + LIDS (deteksi intrusi berbasis log) Anda akan mendapatkan pandangan yang jelas tentang apa yang sedang terjadi.

** Plus, jangan lupa bahwa alat-alat ini tidak dimaksudkan untuk melindungi Anda dari serangan, tetapi untuk bertindak sebagai kamera keamanan (perbandingan fisik) sehingga respons insiden yang tepat dapat diambil.

Untuk memiliki IDS yang baik, Anda perlu banyak sumber. Jika IDS memiliki banyak lansiran dari berbagai sumber untuk serangan yang sama, IDS akan dapat mengaktifkan lansiran yang memiliki makna jauh lebih banyak daripada sekadar lansiran standar.

Inilah sebabnya mengapa Anda perlu menghubungkan output dari HIDS (Host IDS) seperti OSSEC dan NIDS (Network IDS) seperti Snort. Ini dapat dilakukan menggunakan Prelude misalnya. Prelude akan menyetujui dan mengkorelasikan peringatan untuk dapat menghasilkan peringatan keamanan nyata yang memiliki lebih banyak makna. Katakanlah misalnya Anda memiliki serangan jaringan, jika itu tetap serangan jaringan, itu mungkin tidak terlalu buruk tetapi jika itu menjadi serangan host, yang akan memicu peringatan yang sesuai dengan tingkat kepentingan yang tinggi.

Menurut pendapat saya, IDS / IPS off-the-shelf tidak layak kecuali Anda tahu sifat pasti dari semua aktivitas yang harus dilihat di jaringan Anda. Anda dapat membuat diri Anda gila membuat pengecualian untuk perilaku pengguna bodoh dan aplikasi yang keliru (sah). Pada jaringan yang tidak dikunci, saya menemukan suara bising di salah satu sistem yang saya gunakan. Itu sebabnya kami akhirnya menyalurkan tulang punggung ke mesin linux tunggal yang menjalankan kode C kustom. Sepotong kode itu merangkum semua keanehan yang kami ketahui, dan yang lainnya adalah dugaan.

Jika Anda melakukan memiliki jaringan yang sangat dikurung, sistem terbaik akan memiliki semacam integrasi dengan perangkat perimeter Anda, sehingga ada kecocokan kebijakan lengkap.

Sejauh mengetahui apakah itu melakukan tugasnya, cara terbaik adalah dengan melakukan beberapa serangan sendiri secara berkala.

Saya pikir sistem IDS / IPS harus disesuaikan dengan lingkungan Anda untuk melihat manfaat nyata. Kalau tidak, Anda akan dibanjiri dengan positif palsu. Tetapi IDS / IPS tidak akan pernah menggantikan firewall yang tepat dan pengerasan server.

Kami telah menggunakan unit Fortigate di mana saya bekerja selama setahun terakhir dan sangat senang dengannya. Ini jauh lebih dari sekadar IDS / IPS sehingga mungkin tidak persis seperti yang Anda cari, tetapi patut dilihat.

Aturan IDS / IPS diperbarui secara otomatis (default) atau dapat diperbarui secara manual. Saya menemukan bahwa aturan IDS / IPSnya cukup mudah dikelola melalui antarmuka webnya. Saya pikir itu kemudahan manajemen adalah karena memecah perlindungan menjadi profil perlindungan yang kemudian Anda tetapkan untuk aturan di firewall. Jadi, daripada melihat semua aturan pada setiap paket di jaringan Anda mendapatkan perlindungan dan peringatan yang jauh lebih terfokus.

Di organisasi kami, kami memiliki sejumlah IDSes saat ini, termasuk campuran sistem komersial dan terbuka. Hal ini sebagian disebabkan oleh jenis pertimbangan historis yang terjadi di universitas, dan alasan kinerja. Yang sedang berkata, saya akan berbicara tentang Snort sebentar.

Saya telah meluncurkan pencairan sensor perusahaan mendengus untuk beberapa waktu sekarang. Ini adalah array berukuran bertubuh kecil saat ini (pikirkan <10), mencakup untuk mencapai beberapa lusin. Apa yang telah saya pelajari melalui proses ini sangat berharga; terutama dengan teknik untuk mengatur baik jumlah peringatan yang datang maupun mengelola banyak node yang sangat terdistribusi ini. Menggunakan MRTG sebagai panduan, kami memiliki sensor yang melihat rata-rata 5Mbps hingga 96MBps. Ingatlah bahwa untuk keperluan jawaban ini saya berbicara tentang IDS, bukan IDP.

Temuan utama adalah:

1. Snort adalah IDS berfitur sangat lengkap dan dengan mudah menyimpan fitur wrt sendiri yang disetel ke vendor alat jaringan yang jauh lebih besar dan tidak disebutkan namanya.
2. Lansiran paling menarik datang dari proyek Ancaman Kemunculan .
3. WSUS menghasilkan sejumlah besar positif palsu palsu, sebagian besar dari preprosesor sfPortscan.
4. Setiap lebih dari 2/3 sensor memerlukan konfigurasi dan sistem manajemen tambalan yang baik.
5. Mengharapkan untuk melihat sangat banyak positif palsu sampai tala agresif dilakukan.
6. DASAR tidak berskala sangat baik dengan sejumlah besar peringatan, dan dengusan tidak memiliki sistem manajemen lansiran yang dibangun.

Agar adil untuk mendengus, saya perhatikan 5 di sejumlah besar sistem, termasuk Juniper dan Cisco. Saya juga pernah diberi tahu tentang bagaimana Snort dapat diinstal dan dikonfigurasikan lebih mudah daripada TippingPoint, meskipun saya belum pernah menggunakan produk itu.

Secara keseluruhan, saya sangat senang dengan Snort. Saya lebih suka untuk mengaktifkan sebagian besar aturan, dan menghabiskan waktu saya untuk mengatur daripada melalui ribuan aturan dan memutuskan mana yang akan diaktifkan. Ini membuat waktu yang dihabiskan untuk menyetel sedikit lebih tinggi, tetapi saya merencanakannya sejak awal. Juga, karena proyek ini sedang ditingkatkan, kami juga melakukan pembelian SEIM, yang membuatnya mudah untuk mengoordinasikan keduanya. Jadi saya telah berhasil meningkatkan korelasi dan agregasi log yang baik selama proses tuning. Jika Anda tidak memiliki produk seperti itu, penyetelan pengalaman Anda mungkin berbeda.

Sourcefire memiliki sistem yang baik dan mereka memiliki komponen yang membantu menemukan ketika lalu lintas baru yang tak terduga mulai berasal dari suatu sistem. Kami menjalankannya dalam mode IDS daripada mode IPS karena ada masalah di mana lalu lintas yang sah mungkin diblokir, jadi kami memantau laporan dan secara keseluruhan tampaknya melakukan pekerjaan yang cukup baik.

Nah sebelum Anda dapat menjawab IDS / IPS apa yang Anda butuhkan, saya ingin lebih memahami arsitektur keamanan Anda. Apa yang Anda gunakan untuk merutekan dan mengganti jaringan Anda, tindakan keamanan apa yang Anda miliki dalam arsitektur keamanan Anda?

Apa risiko yang Anda coba mitigasi, yaitu aset informasi apa yang berisiko dan dari apa?

Pertanyaan Anda terlalu umum untuk memberi Anda apa pun kecuali, apa yang orang pikirkan tentang produk X dan yang terbaik untuk alasan X.

Keamanan adalah proses mitigasi risiko dan penerapan solusi keamanan TI harus sejalan dengan risiko yang diidentifikasi. Hanya melempar IDS / IPS ke jaringan Anda berdasarkan apa yang orang pikirkan sebagai produk terbaik, tidak produktif, dan buang-buang waktu dan uang.

Cheers Shane

Snort yang dikombinasikan dengan ACID / BASE untuk pelaporan, cukup apik untuk produk OSS. Saya akan mencobanya, setidaknya untuk membuat kaki Anda basah.

Sistem deteksi intrusi lebih dari sekadar NIDS (berbasis jaringan). Saya menemukan bahwa untuk lingkungan saya, HIDS jauh lebih berguna. Saat ini saya menggunakan OSSEC, yang memonitor log, file, dll.

Jadi, jika Anda tidak mendapatkan nilai Snort yang cukup, cobalah pendekatan yang berbeda. Mungkin modsecurity untuk apache atau ossec untuk analisis log.

Saya tahu banyak orang akan membuang dengusan sebagai solusi, dan itu baik - dengusan dan sguil adalah kombinasi yang baik untuk memonitor subnet atau VLAN yang berbeda.

Kami saat ini menggunakan Strataguard dari StillSecure , ini adalah implementasi mendengus pada distro GNU / Linux yang dikeraskan. Sangat mudah untuk bangun dan berjalan (jauh lebih mudah daripada mendengus sendiri), memiliki versi gratis untuk lingkungan dengan bandwidth lebih rendah, dan antarmuka web yang sangat intuitif dan bermanfaat. Itu membuatnya cukup mudah untuk memperbarui, menyetel, memodifikasi, dan meneliti aturan.

Meskipun dapat diinstal dalam mode IPS dan secara otomatis mengunci firewall untuk Anda, kami menggunakannya dalam mode IDS saja - memasangnya pada port monitor pada sakelar pusat kami, membuka NIC kedua untuk manajemen, dan itu berfungsi baik untuk meneliti lalu lintas. Jumlah false positive (khususnya pre-tuning) adalah satu-satunya downside, tetapi ini membuat kami tahu itu berfungsi, dan antarmuka membuatnya sangat mudah untuk memeriksa tanda tangan aturan, memeriksa paket yang diambil, dan mengikuti tautan untuk meneliti kerentanan jadi orang dapat memutuskan apakah peringatan itu benar-benar masalah atau tidak dan sesuaikan peringatan atau aturan seperlunya.

Saya akan merekomendasikan Snort. Snort didukung oleh hampir semua alat keamanan lainnya, tutorial sudah tersedia, dan begitu juga banyak aplikasi front-end. Tidak ada saus rahasia, yang membuat satu IDS lebih baik dari yang lain. Perangkat aturan publik dan lokal menyediakan kekuatan.

Tetapi IDS (HIDS atau NIDS) adalah pemborosan uang kecuali Anda bersedia memeriksa log dan peringatan, setiap jam atau setiap hari. Anda perlu waktu dan personel untuk menghapus positif palsu dan membuat aturan baru untuk anomali lokal. IDS paling baik digambarkan sebagai kamera video untuk jaringan Anda. Seseorang harus menontonnya, dan memiliki wewenang untuk bertindak berdasarkan informasi yang dikirimkannya. Kalau tidak, itu tidak berharga.

Intinya. Hemat uang pada perangkat lunak, gunakan IDS open source. Habiskan uang untuk pelatihan, dan kembangkan tim keamanan yang hebat.

Ketika orang-orang meminta deteksi intrusi, saya berpikir tentang IDS server karena tidak masalah siapa yang menembus jaringan Anda jika mereka tidak melakukan apa-apa begitu masuk. IDS seperti AIDE akan membuat hash snapshot dari server yang memungkinkan Anda untuk melihat apa yang telah berubah pada disk selama periode tertentu.

Beberapa orang lebih suka reimage semua server mereka setelah pelanggaran keamanan, tapi saya pikir bisa sedikit berlebihan untuk sebagian besar masalah.

Terus terang, IDS biasanya membuang-buang waktu karena operator menghabiskan seluruh waktu mereka untuk menghilangkan hal-hal yang salah. Ini menjadi beban sehingga sistem dibiarkan di sudut dan diabaikan.

Sebagian besar organisasi menempatkan probe di luar jaringan, dan takjub melihat ribuan serangan. Ini seperti menempatkan alarm pencuri di luar rumah dan terkejut bahwa itu berbunyi setiap kali seseorang lewat.

IDS dicintai oleh konsultan keamanan untuk menunjukkan betapa berbahayanya itu di luar sana, auditor sebagai kotak centang, dan diabaikan oleh semua orang karena hanya membuang waktu dan sumber daya mereka.

Waktu akan lebih baik dihabiskan untuk menerima bahwa ada ribuan serangan setiap hari, merancang akses eksternal, dan sebagian besar dari semua memastikan bahwa sistem menghadap eksternal dikeraskan dengan benar.

Dave