侵入検知システム(IDS / IPS)を推奨しますが、価値はありますか?

23

何年もの間、さまざまなネットワークベースのIDSおよびIPSシステムを試してきましたが、結果に満足できませんでした。システムを管理するのが難しすぎるか、古い署名に基づいた有名なエクスプロイトでのみトリガーされるか、単に出力とチャットが多すぎます。

いずれにせよ、彼らが私たちのネットワークを本当に保護しているとは思わない。場合によっては、有効な接続をドロップしたり、単純に失敗したりするために、有害でした。

過去数年間で状況が変わったと確信していますが、最近推奨されているIDSシステムは何ですか?有効なヒューリスティックがあり、正当なトラフィックについて警告しませんか?

または、優れたファイアウォールと強化されたホストに依存する方が良いでしょうか?

システムを推奨する場合、そのシステムが機能していることをどのように確認しますか?

以下の回答で述べたように、ホストベースの侵入検知システムはネットワークベースのIDSと密接に関連しているため、ホストの侵入検知システムに関するフィードバックも得ましょう。

現在の設定では、合計帯域幅が50 Mbpsの2つの個別のネットワークを監視する必要があります。ここでは、IDSを実行できるデバイスやサービスのリストではなく、実際のフィードバックを探しています。

networking  security  intrusion-detection 
ダグ・ルクセム
ソース
これは素晴らしい質問です!私は、セキュリティの誤った感覚について同じ考えを持っています。推奨事項を楽しみにしています。
BillN
推奨されるIDSシステムの完全なレビューを参照してください。:)
ダグルクセム2009年

回答:

4

数年前、私はいくつかの侵入防止システムをレビューしました。

いくつかの場所と企業ネットワークの間に何かを展開したかったのです。
このシステムは、管理と監視が簡単なもの(第2層のヘルプデスク担当者に渡すことができるもの)を提供することでした。自動化されたアラームとレポートも必要でした。

私が選んだシステムは、Tipping PointのIPSでした。私たちは数年間その場所に置かれた後でもそれが好きです。私たちの実装には、脆弱性と悪用ルールを毎週押し出すデジタルワクチンのサブスクリプションが含まれています。

システムは、システムのブロックや隔離を自動的に行うだけでなく、何が起こっているのかを監視するのに非常に便利です(アラートは動作しません)。

これは、マルウェアに感染したコンピューターを見つけて隔離するだけでなく、ルーターアクセス制御リストを操作せずに帯域幅の占有やセキュリティポリシー関連のトラフィックをブロックするための非常に便利なツールになりました。

http://www.tippingpoint.com/products_ips.html

JayC
ソース
ありがとうございました。ティッピングポイントは偽陽性をどれだけうまく処理しますか?
ダグルクセム2009年
2
誤検知の問題はありませんでした。これは、私がそれを実行している方法に起因する可能性があります。ルールの大部分はアラートで実行されていますがブロックされないため、多数のルールが含まれています。アラートの範囲は、ダッシュボードでのカウントと表示から、自動隔離、アラートのブロックと電子メールまでです。非常に柔軟です。ヘルプデスクは、感染したコンピューターに遭遇すると、アクセスできるようになるまでシステムで手動で隔離します。GUIを使用してそのコンピューターを検索し、特徴的なパターンがあるかどうかを確認します。ある場合は、よりアクティブな応答が設定されています。
JayC
JayCはまさにそれを正しく行っています。これらのシステム(すべてのベンダー)に依存して、問題の100%を正しく特定することはできません。それらを適切に実装するには、手動による介入が必要です。
ジムB
13

1つの考え; あなたは「彼らはそれだけの価値がある」と尋ねます。技術的な答えを出すのは嫌いですが、組織が何らかの規制を順守していることを規制機関に示すためにIDSが必要な場合は、たとえ技術的な観点からデバイスがそれを提供していなくてもあなたが望むもの、彼らはあなたがコンプライアンスを維持する場合、彼らは定義によって「価値がある」かもしれません。

「良いか悪いかは関係ない」ということを提案しているわけではありません。明らかに、良い仕事をするものがそうでないものよりも好まれます。しかし、規制遵守を達成すること自体が目標です。

カイル・ホジソン
ソース
3
多くのITセキュリティ製品の頭に釘を打ったと思います。監査人がボックスでチェックオフできるように、何人がインストールしますか?
ダグルクセム2009年
しかし、この場合、「それが良いかどうか」、私はむしろ何かをすることを主張するものよりも何もしたくない!この火災は40階建ての建物の脇で逃げますか?私は好む.......全く火の脱出がありません!! それとの契約
Unixの用務員
6

侵入検知システムは非常に貴重なツールですが、適切に使用する必要があります。アラートが終了するアラートベースのシステムとしてNIDSを扱う場合、イライラします(わかりました、アラートXが生成されました。今、私は何をしますか?)。

NIDS(アラートシステム)とセッションおよびコンテンツデータを混在させるNSM(ネットワークセキュリティモニタリング)アプローチを検討することをお勧めします。これにより、アラートを適切に調べ、IDSシステムをより適切に調整できます。

*リンクできないので、GoogleでtaosecurityまたはNSMを検索してください

ネットワークベースの情報に加えて、HIDS + LIDS(ログベースの侵入検知)を混在させると、何が起こっているかを明確に把握できます。

**さらに、これらのツールは攻撃からユーザーを保護するためのものではなく、セキュリティカメラ(物理比較)として機能することを忘れないでください。これにより、適切なインシデント対応が可能になります。

スクリ
ソース
ネットワークセキュリティの監視とTaoSecurityの+1
ジョシュブロワー
4

優れたIDSを使用するには、複数のソースが必要です。IDSが同じ攻撃に対して複数のソースからの複数のアラートを持っている場合、標準のアラートよりもはるかに意味のあるアラートを起動できます。

このため、OSSECなどのHIDS(ホストIDS)とSnortなどのNIDS(ネットワークIDS)からの出力を相関させる必要があります。これは、たとえばPreludeを使用して実行できます。Preludeはアラートを集約および関連付けて、より多くの意味を持つ実際のセキュリティ警告を生成できるようにします。たとえば、ネットワーク攻撃があるとしましょう。ネットワーク攻撃のままであれば、おそらくそれほど悪いことではありませんが、ホスト攻撃になると、重要度の高い適切なアラートがトリガーされます。

アントワーヌ・ベンケモン
ソース
2

私の意見では、ネットワークで見られるすべてのアクティビティの正確な性質を知っていない限り、既製のIDS / IPSは価値がありません。馬鹿げたユーザーの振る舞いや不正な(正当な)アプリケーションの例外を作成することで、自分自身を動かすことができます。高度にロックダウンされていないネットワークでは、使用したどのシステムでもノイズが圧倒的であることがわかりました。そのため、最終的にバックボーンを単一のLinuxマシンにパイプし、Cコードのカスタムピースを実行しました。そのコードの一部は、私たちが知っていたすべての奇妙さをカプセル化したものであり、他のものは疑わしいものでした。

あなたがいる場合行う非常にロックダウンされたネットワークを持って、最高のシステムは、完全な政策の一致がありますので、こと、お使いの周辺機器との統合のいくつかの並べ替えを持っています。

仕事をしているかどうかを知る限り、定期的に攻撃を実行するのが最善の方法です。

アダム・ダミコ
ソース
2

IDS / IPSシステムは、実際のメリットを得るために環境に合わせてカスタム調整する必要があると思います。それ以外の場合は、誤検知であふれるだけです。ただし、IDS / IPSは、適切なファイアウォールとサーバー強化を置き換えることはありません。

Fortigateユニットを使用してきましたが、過去1年間働いており、非常に満足しています。IDS / IPS以外にも多くの機能があるため、探しているものとは異なる場合がありますが、一見の価値があります。

IDS / IPSルールは自動的に更新されます(デフォルト)か、手動で更新できます。IDS / IPSルールは、Webインターフェースを介してもかなり管理しやすいと思います。管理が簡単だと思うのは、保護を保護プロファイルに分割し、それをファイアウォールのルールに割り当てるためです。したがって、ネットワーク上のすべてのパケットのすべてのルールを確認するのではなく、はるかに焦点を絞った保護とアラートを取得できます。

3dinfluence
ソース
Fortigateを推奨する場合は+1。ここではFortigate 50Bを使用します。これは堅実で構成が非常に簡単です。
クリスドライバー
2

私たちの組織では、商用システムとオープンの混合物を含む多くのIDSが現在配置されています。これは、一部は、大学で発生する歴史的な考慮事項のタイプとパフォーマンス上の理由によるものです。そうは言っても、Snortについて少しお話しします。

私は今しばらくの間、企業規模のSnortセンサーの支払いを展開しています。これは現在小さなサイズの配列(10未満と考えられます)で、数十個に達するようにスコープされています。このプロセスを経て学んだことは非常に貴重です。主に、通過するアラートの数と、この多くの高度に分散したノードの両方を管理する手法を使用します。MRTGをガイドとして使用すると、平均5Mbps〜96MBpsのセンサーがあります。この回答では、IDPではなくIDSについて説明していることに留意してください。

主な調査結果は次のとおりです。

  1. Snortは非常に優れた機能を備えたIDSであり、独自のwrt機能セットを大規模で無名のネットワークアプライアンスベンダーに簡単に提供します。
  2. 最も興味深いアラートは、Emerging Threatsプロジェクトからのものです。
  3. WSUSは、主にsfPortscanプリプロセッサに起因する、非常に多くの誤検知をもたらします。
  4. 2/3以上のセンサーには、適切な構成とパッチ管理システムが必要です。
  5. アグレッシブなチューニングが実行されるまで、非常に多くの誤検知が見られることを期待してください。
  6. BASEは、多数のアラートに対してあまりうまく拡張できず、snortにはアラート管理システムが組み込まれていません。

いびきをかくために、ジュニパーやシスコを含む多数のシステムで5つに気付きました。また、SnortをTippingPointよりも簡単にインストールおよび構成できる方法についても話を聞いてきましたが、その製品は使用したことがありません。

全体として、私はSnortにとても満足しています。私は、ほとんどのルールを有効にし、何千ものルールを調べて有効にするルールを決定するのではなく、チューニングに時間を費やすことを主に好みました。これにより、チューニングに費やす時間が少し長くなりましたが、最初から計画していました。また、このプロジェクトが立ち上がったとき、SEIMの購入も行ったため、2つの調整が容易になりました。そのため、チューニングプロセス中に適切なログの相関と集計を活用することができました。そのような製品がない場合は、経験の調整が異なる場合があります。

スコットパック
ソース
Bleeding Threatsプロジェクトが何らかのWeb問題を抱えているように見えます。言うに足りますが、これはコミュニティ主導の一連の署名です。通常、公式のルールセットにアラートが配信されるずっと前に、このプロジェクトによって新しい脅威が検出されます。
スコットパック
1

Sourcefireには優れたシステムがあり、システムから新しい予期しないトラフィックがいつ発生するかを検出するのに役立つコンポーネントがあります。正当なトラフィックがブロックされる可能性があるという問題があるため、IPSモードではなくIDSモードで実行します。したがって、レポートを監視し、全体としてはかなりまともな仕事をしているようです。

デビッド・ユー
ソース
1

必要なIDS / IPSに答える前に、セキュリティアーキテクチャをよりよく理解したいと思います。ネットワークのルーティングと切り替えには何を使用しますか?また、セキュリティアーキテクチャには他にどのようなセキュリティ対策がありますか?

軽減しようとしているリスクは何ですか。つまり、どの情報資産がリスクにさらされており、何からのものですか。

あなたの質問は一般的すぎて何も得られませんが、人々が製品Xについてどう考えているか、そしてXの理由からそれが最良です。

セキュリティはリスク軽減プロセスであり、ITセキュリティソリューションの実装は、特定されたリスクに沿ったものである必要があります。人々が最高の製品であると考えるものに基づいてIDS / IPSをネットワークに投入するだけでは、非生産的であり、時間とお金の無駄です。

乾杯シェーン

user7737
ソース
1

レポート用にACID / BASEと組み合わせたSnortは、OSS製品にとって非常に滑らかです。少なくともあなたの足を濡らすために、私はそれを試してみるでしょう。

skitzot33
ソース
1

侵入検知システムは、NIDS(ネットワークベースのもの)だけではありません。私の環境では、HIDSの方がはるかに便利だと思います。現在、ログ、ファイルなどを監視するOSSECを使用しています。

したがって、Snortの十分な価値が得られない場合は、別のアプローチを試してください。たぶん、Apacheのmodsecurityまたはログ分析のossecです。

スクリ
ソース
1

多くの人が解決策としてsnortを捨てることを知っています。それは良いことです。snortとsguilは、異なるサブネットやVLANも監視するのに適した組み合わせです。

現在、StillSecureのStrataguardを使用しています。これは、強化されたGNU / Linuxディストリビューションでの実装です。起動して実行するのは非常に簡単で(Snort単独よりもはるかに簡単です)、低帯域幅環境向けの無料バージョンと、非常に直感的で便利なWebインターフェイスがあります。これにより、ルールの更新、調整、変更、および調査がかなり簡単になります。

IPSモードでインストールしてファイアウォールを自動的にロックダウンできますが、IDSモードでのみ使用します。中央スイッチのモニターポートにインストールし、管理用に2つ目のNICを挿入しました。トラフィックを精査します。誤検知(特に事前調整)の数が唯一の欠点ですが、これにより機能していることがわかります。また、インターフェイスにより、ルールの署名を調べ、キャプチャしたパケットを調べ、リンクをたどって脆弱性を調査することが非常に簡単になりますそのため、アラートが本当に問題であるかどうかを判断し、必要に応じてアラートまたはルールを調整できます。

ネッド
ソース
is-it-worth-itに関する限り、このようなことは絶対に「はい」と言えます。なぜなら、あなたはリスクなしであなたのやり方に取り組むことができるからです。IDSモードの無料版から始め、評価し、ネットワーク上のトラフィックにフラグを立てる方法に慣れている場合にのみ、必要なスループットでIPSモードに徐々に移行します。実行中のジョブに満足できない場合は、満足のいくように調整するまでIDSモードのままにしてください。
ネッド
1

Snortをお勧めします。Snortは、他のほとんどすべてのセキュリティツールでサポートされており、チュートリアルもすぐに利用できます。また、多くのフロントエンドアプリケーションも同様です。1つのIDSを他のIDSよりも優れたものにする秘密のソースはありません。パブリックルールセットとローカルルールセットが力を提供します。

ただし、IDS(HIDSまたはNIDS)は、ログやアラートを1時間ごとまたは1日ごとに確認しない限り、お金の無駄です。誤検知を取り除き、ローカル異常の新しいルールを作成するには、時間と人員が必要です。IDSは、ネットワークのビデオカメラとして最もよく説明されています。誰かがそれを監視し、送信する情報に基づいて行動する権限を持っている必要があります。それ以外の場合は価値がありません。

一番下の行。ソフトウェアの費用を節約し、オープンソースのIDSを使用します。トレーニングにお金をかけ、優れたセキュリティチームを編成します。

ジョセフ・カーン
ソース
0

人々は侵入検知のために頼むときに一度、彼らは何もしない場合、あなたのネットワークに侵入者問題ではありませんので、私は、サーバーのIDSと思います。A IDSのようなAIDEあなたが持っている正確に何を見ることができるように、サーバーのスナップショットハッシュを行います一定期間にわたってディスク上で変更されました。

一部の人々は、セキュリティ侵害後にすべてのサーバーのイメージを再作成することを好みますが、ほとんどの問題については少しやり過ぎになると思います。

gbjbaanb
ソース
0

率直に言って、通常、オペレータはすべての時間を誤検出の調整に費やしているため、IDSは時間の無駄です。システムが隅に残されて無視されるほどの負担になります。

ほとんどの組織は、ネットワークの外側にプローブを配置し、何千もの攻撃を見ることに驚いています。それはまるで家の外に強盗アラームを置き、誰かが通り過ぎるたびにそれが鳴るのに驚いているようなものです。

IDSはセキュリティコンサルタントに愛されています。IDSはチェックボックスとして監査員を示し、時間とリソースの完全な浪費であるため、他の人からは無視されています。

毎日何千もの攻撃があることを受け入れ、外部アクセスを設計し、何よりも外部に面したシステムが適切に強化されていることを確認する時間を費やす方がよいでしょう。

デイブ

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.