¿Recomienda un sistema de detección de intrusos (IDS / IPS), y valen la pena?

He probado varios sistemas IDS e IPS basados ​​en red a lo largo de los años y nunca he estado contento con los resultados. O bien los sistemas eran demasiado difíciles de administrar, solo se activaban en exploits conocidos basados ​​en firmas antiguas, o simplemente eran demasiado habladores con el resultado.

En cualquier caso, no creo que hayan proporcionado protección real para nuestra red. En algunos casos, eran perjudiciales debido a la caída de conexiones válidas o simplemente por fallas.

En los últimos años, estoy seguro de que las cosas han cambiado, entonces, ¿cuáles son los sistemas IDS recomendados en estos días? ¿Tienen heurísticas que funcionan y no alertan sobre tráfico legítimo?

¿O es mejor confiar en buenos firewalls y hosts reforzados?

Si recomienda un sistema, ¿cómo sabe que está haciendo su trabajo?

Como algunos han mencionado en las respuestas a continuación, también obtengamos algunos comentarios sobre los sistemas de detección de intrusiones del host, ya que están estrechamente relacionados con los IDS basados ​​en la red.

Para nuestra configuración actual, necesitaríamos monitorear dos redes separadas con un ancho de banda total de 50mbps. Estoy buscando comentarios del mundo real aquí, no una lista de dispositivos o servicios capaces de hacer IDS.

Hace varios años revisé varios sistemas de prevención de intrusiones.

Quería implementar algo entre un par de ubicaciones y la red corporativa.
El sistema debía proporcionar un sistema fácil de administrar y monitorear (algo que podría entregarse a una persona de la mesa de ayuda de segundo nivel). También se necesitaban alarmas e informes automáticos.

El sistema que terminé eligiendo fue el IPS desde Tipping Point. Todavía nos gusta después de estar en su lugar durante varios años. Nuestra implementación incluye la suscripción a su Vacuna Digital, que elimina semanalmente las reglas de vulnerabilidad y explotación.

El sistema ha sido muy útil para ver lo que está sucediendo (alerta pero no realizar ninguna acción), así como para bloquear o poner en cuarentena automáticamente los sistemas.

Esto terminó siendo una herramienta muy útil para localizar y aislar computadoras infectadas con malware, así como para bloquear el acaparamiento de ancho de banda o el tráfico relacionado con la política de seguridad sin tener que trabajar con las listas de control de acceso del enrutador.

http://www.tippingpoint.com/products_ips.html

Un pensamiento; preguntas "¿valen la pena?" Odio dar una respuesta no técnica, pero si su organización necesita tener un IDS para indicarle a un organismo regulador que cumple con alguna regulación u otra, incluso si considera que desde una perspectiva tecnológica el dispositivo no proporciona usted lo que quiere, pueden ser, por definición, "vale la pena" si lo mantienen en cumplimiento.

No estoy sugiriendo que "no importa si es bueno o no", obviamente, algo que hace un buen trabajo es preferible a algo que no lo hace; pero alcanzar el cumplimiento normativo es un objetivo en sí mismo.

Los sistemas de detección de intrusiones son herramientas invaluables, pero deben usarse adecuadamente. Si trata su NIDS como un sistema basado en alertas, donde la alerta es el final, se sentirá frustrado (bueno, se generó la alerta X, ¿qué hago ahora?).

Recomiendo mirar el enfoque NSM (monitoreo de seguridad de red) en el que se mezclan NIDS (sistemas de alerta) con datos de sesión y contenido, para que pueda examinar adecuadamente cualquier alerta y ajustar mejor su sistema IDS.

* No puedo vincular, así que solo google para taosecurity o NSM

Además de la información basada en la red, si combina HIDS + LIDS (detección de intrusos basada en registros) obtendrá una visión clara de lo que está sucediendo.

** Además, no olvide que estas herramientas no están destinadas a protegerlo de un ataque, sino a actuar como una cámara de seguridad (comparación física) para que se pueda tomar una respuesta adecuada a los incidentes.

Para tener un buen IDS, necesita múltiples fuentes. Si un IDS tiene múltiples alertas de múltiples fuentes para el mismo ataque, podrá disparar una alerta que tenga mucho más significado que solo una alerta estándar.

Es por eso que necesita correlacionar la salida de HIDS (IDS de host) como OSSEC y NIDS (IDS de red) como Snort. Esto se puede hacer usando Prelude, por ejemplo. Prelude aceptará y correlacionará alertas para poder generar advertencias de seguridad reales que tengan mucho más significado. Digamos, por ejemplo, que tiene un ataque a la red, si sigue siendo un ataque a la red, probablemente no sea nada malo, pero si se convierte en un ataque de host, se activarán alertas apropiadas con un alto nivel de importancia.

En mi opinión, IDS / IPS estándar no vale la pena a menos que conozca la naturaleza exacta de toda la actividad que debería verse en su red. Puede volverse loco creando excepciones para el comportamiento estúpido del usuario y el mal comportamiento (legítimo) de las aplicaciones. En redes que no están muy bloqueadas, he encontrado que el ruido es abrumador en cualquiera de los sistemas que he usado. Es por eso que eventualmente canalizamos la red troncal en una sola máquina Linux que ejecutaba un código personalizado de C. Ese único código encapsulaba todas las rarezas que conocíamos, y cualquier otra cosa era sospechosa.

Si hacer una red muy bloqueado, los mejores sistemas tendrán algún tipo de integración con el dispositivo perimetral, por lo que no hay partido completo de la política.

En cuanto a saber si está haciendo su trabajo, la mejor manera es ejecutar algunos ataques usted mismo periódicamente.

Creo que cualquier sistema IDS / IPS debe ajustarse a su entorno para ver los beneficios reales. De lo contrario, solo te inundan los falsos positivos. Pero IDS / IPS nunca reemplazará los firewalls adecuados y el endurecimiento del servidor.

Hemos estado usando una unidad Fortigate en la que trabajo durante el año pasado y estamos muy contentos con ella. Hace mucho más que solo IDS / IPS, por lo que puede que no sea exactamente lo que está buscando, pero vale la pena echarle un vistazo.

Las reglas IDS / IPS se actualizan automáticamente (por defecto) o se pueden actualizar manualmente. Creo que sus reglas IDS / IPS también son bastante manejables a través de su interfaz web. Creo que su facilidad de administración se debe a descomponer la protección en perfiles de protección que luego se asignan a las reglas en el firewall. Entonces, en lugar de mirar todas las reglas en cada paquete de la red, obtienes protección y alertas mucho más enfocadas.

En nuestra organización tenemos una serie de IDS actualmente en vigor, incluida una combinación de sistemas comerciales y abiertos. Esto se debe en parte al tipo de consideraciones históricas que suceden en una universidad y las razones de rendimiento. Dicho esto, voy a hablar un poco sobre Snort.

He estado implementando un desembolso de sensores de inhalación en toda la empresa desde hace algún tiempo. Esta es una matriz de tamaño pequeño actualmente (piense <10), con un alcance para llegar a un par de docenas. Lo que aprendí en este proceso ha sido invaluable; principalmente con técnicas para administrar tanto el número de alertas que llegan como la administración de estos muchos nodos altamente distribuidos. Usando MRTG como guía, tenemos sensores que ven un promedio de 5Mbps hasta 96MBps. Tenga en cuenta que, a los fines de esta respuesta, estoy hablando de IDS, no IDP.

Los principales hallazgos son:

1. Snort es un IDS muy completo y posee fácilmente su propio conjunto de características wrt para proveedores de dispositivos de red mucho más grandes y sin nombre.
2. Las alertas más interesantes provienen del proyecto Emerging Threats .
3. WSUS da como resultado una cantidad estúpidamente grande de falsos positivos, en gran parte del preprocesador sfPortscan.
4. Más de 2/3 sensores requieren una buena configuración y un sistema de administración de parches.
5. Esperar a ver un muy gran número de falsos positivos hasta que se realice la sintonización agresivo.
6. BASE no escala muy bien con una gran cantidad de alertas, y snort no tiene un sistema integrado de administración de alertas.

Para ser justo resoplar, he notado 5 en una gran cantidad de sistemas, incluidos Juniper y Cisco. También me han contado historias de cómo Snort puede instalarse y configurarse más fácilmente que TippingPoint, aunque nunca he usado ese producto.

En general, he estado muy feliz con Snort. Preferí en gran medida activar la mayoría de las reglas y pasar mi tiempo sintonizando en lugar de revisar miles de reglas y decidir cuáles activar. Esto hizo que el tiempo dedicado a afinar fuera un poco más alto, pero lo planeé desde el principio. Además, como este proyecto se estaba acelerando, también realizamos una compra de SEIM, lo que facilitó la coordinación de los dos. Así que me las arreglé para aprovechar una buena correlación y agregación de registros durante el proceso de ajuste. Si no tiene ese producto, su ajuste de experiencia puede ser diferente.

Sourcefire tiene un buen sistema y tienen componentes que ayudan a descubrir cuándo un nuevo tráfico inesperado comienza a emanar de un sistema. Lo ejecutamos en modo IDS en lugar de modo IPS porque hay problemas en los que el tráfico legítimo podría estar bloqueado, por lo que monitoreamos los informes y, en general, parece hacer un trabajo bastante decente.

Antes de que pueda responder qué IDS / IPS necesita, me gustaría comprender mejor su arquitectura de seguridad. ¿Qué utiliza para enrutar y cambiar su red, qué otras medidas de seguridad tiene en su arquitectura de seguridad?

¿Cuáles son los riesgos que intenta mitigar, es decir, qué activos de información están en riesgo y de qué?

Su pregunta es demasiado genérica para darle algo, pero qué piensa la gente del producto X y es lo mejor por razones X.

La seguridad es un proceso de mitigación de riesgos y la implementación de soluciones de seguridad de TI debe estar en línea con los riesgos identificados. Simplemente lanzar IDS / IPS a su red basado en lo que la gente piensa que es el mejor producto, es improductivo y una pérdida de tiempo y dinero.

Saludos Shane

Snort, combinado con ACID / BASE para generar informes, es bastante hábil para un producto OSS. Lo intentaría, al menos para mojarte los pies.

Los sistemas de detección de intrusos son más que un NIDS (uno basado en la red). Creo que para mi entorno, un HIDS es mucho más útil. Actualmente estoy usando OSSEC, que monitorea mis registros, archivos, etc.

Entonces, si no está obteniendo suficiente valor de Snort, intente un enfoque diferente. Tal vez modsecurity para apache u ossec para análisis de registro.

Sé que mucha gente lanzará Snort como solución, y es bueno, Snort y Sguil son una buena combinación para monitorear diferentes subredes o VLAN también.

Actualmente utilizamos Strataguard de StillSecure , es una implementación snort en una distribución GNU / Linux reforzada. Es muy fácil de poner en marcha (mucho más fácil que solo resoplar), tiene una versión gratuita para entornos de menor ancho de banda y una interfaz web muy intuitiva y útil. Hace que sea razonablemente fácil actualizar, ajustar, modificar e investigar las reglas.

Si bien se puede instalar en modo IPS y bloquear automáticamente el firewall para usted, lo usamos solo en modo IDS: lo instalé en el puerto del monitor en nuestro conmutador central, introdujo una segunda NIC para la administración y funcionó muy bien para escudriñando el tráfico. La cantidad de falsos positivos (especialmente el ajuste previo) es el único inconveniente, pero esto nos permite saber que está funcionando, y la interfaz hace que sea muy fácil examinar la firma de la regla, inspeccionar los paquetes capturados y seguir los enlaces para investigar la vulnerabilidad. para que uno pueda decidir si la alerta es realmente un problema o no y ajustar la alerta o la regla según sea necesario.

Yo recomendaría Snort. Snort es compatible con casi todas las demás herramientas de seguridad, los tutoriales están fácilmente disponibles y muchas aplicaciones front-end. No hay salsa secreta, eso hace que un IDS sea mejor que otro. Los conjuntos de reglas públicas y locales proporcionan el poder.

Pero cualquier IDS (HIDS o NIDS) es una pérdida de dinero a menos que esté dispuesto a revisar los registros y alertas, por hora o por día. Necesita el tiempo y el personal para eliminar los falsos positivos y crear nuevas reglas para las anomalías locales. Un IDS se describe mejor como una cámara de video para su red. Alguien debe estar vigilándolo y tener la autoridad para actuar sobre la información que envía. De lo contrario, no tiene valor.

Línea de fondo. Ahorre dinero en software, use un IDS de código abierto. Gaste dinero en capacitación y desarrolle un gran equipo de seguridad.

Cuando las personas solicitan la detección de intrusiones, pienso en los IDS del servidor, ya que no importa quién penetre en su red si no hacen nada de vez en cuando. Un IDS como AIDE creará instantáneas hash de un servidor que le permitirá ver exactamente lo que tiene cambiado en el disco durante un cierto período.

Algunas personas prefieren volver a crear imágenes de todos sus servidores después de una violación de seguridad, pero creo que puede ser un poco excesivo para la mayoría de los problemas.

Francamente, IDS suele ser una pérdida total de tiempo ya que los operadores pasan todo su tiempo detectando los falsos positivos. Se convierte en una carga tal que el sistema se deja en una esquina y se ignora.

La mayoría de las organizaciones colocan la sonda en el exterior de la red y se sorprenden al ver miles de ataques. Es como poner una alarma antirrobo en el exterior de la casa y sorprenderse de que suene cada vez que alguien pasa.

IDS es amado por los consultores de seguridad para mostrar lo peligroso que es, auditores como una casilla de verificación, e ignorado por todos los demás, ya que es una completa pérdida de tiempo y recursos.

El tiempo se gastaría mejor aceptando que hay miles de ataques cada día, diseñando acceso externo y, sobre todo, asegurándose de que los sistemas externos estén correctamente endurecidos.

Dave