침입 탐지 시스템 (IDS / IPS)을 추천하고 가치가 있습니까?

몇 년 동안 다양한 네트워크 기반 IDS 및 IPS 시스템을 시험해 보았으며 결과에 만족하지 못했습니다. 시스템을 관리하기가 너무 어려웠거나 이전 서명을 기반으로 잘 알려진 악용에 대해서만 트리거되거나 단순히 출력에 너무 혼잡했습니다.

어쨌든, 그들이 우리 네트워크를 실제로 보호 한다고 생각하지 않습니다 . 경우에 따라서는 유효한 연결을 끊거나 실패로 인해 유해한 경우가 있습니다.

지난 몇 년 동안 상황이 바뀌 었다고 확신하므로 요즘 권장되는 IDS 시스템은 무엇입니까? 작동하는 휴리스틱이 있고 합법적 인 트래픽에 대해 경고하지 않습니까?

아니면 좋은 방화벽과 강화 된 호스트에 의존하는 것이 더 낫습니까?

시스템을 권장하는 경우 시스템이 수행하는 작업을 어떻게 알 수 있습니까?

아래 답변에서 언급했듯이 호스트 침입 탐지 시스템 은 네트워크 기반 IDS와 밀접한 관련이 있기 때문에 호스트 침입 탐지 시스템 에 대한 피드백을 얻을 수 있습니다 .

현재 설정에서는 총 대역폭이 50mbps 인 두 개의 개별 네트워크를 모니터링해야합니다. IDS를 수행 할 수있는 장치 또는 서비스 목록이 아닌 실제 피드백을 찾고 있습니다.

몇 년 전에 여러 침입 방지 시스템을 검토했습니다.

두 위치와 회사 네트워크 사이에 무언가를 배포하고 싶었습니다.
이 시스템은 관리 및 모니터링이 용이 한 시스템을 제공하는 것이 었습니다 (2 차 헬프 데스크 직원에게 전달할 수있는 것). 자동화 된 경보 및보고도 필요했습니다.

내가 선택한 시스템은 Tipping Point의 IPS였습니다. 우리는 몇 년 동안 자리를 잡고 여전히 그것을 좋아합니다. 우리의 구현에는 디지털 백신에 대한 가입이 포함되며, 이는 매주 취약점 및 악용 규칙을 밀어냅니다.

이 시스템은 시스템을 자동으로 차단 또는 격리 할뿐만 아니라 진행중인 작업을보고 (경고하지만 조치를 취하지 않음) 매우 유용했습니다.

이는 결국 라우터 액세스 제어 목록을 사용하지 않고도 맬웨어 감염 컴퓨터를 찾아 격리하는 데 유용하고 대역폭 호깅 또는 보안 정책 관련 트래픽을 차단하는 데 유용한 도구가되었습니다.

http://www.tippingpoint.com/products_ips.html

한 생각; 당신은 "그들이 가치가 있는가?"라고 묻습니다. 비 기술적 답변을 제공하는 것이 싫지만 조직이 기술 측면에서 장치가 제공하지 않는 것을 발견하더라도 일부 규정 또는 기타 규정을 준수하고 있음을 규제 기관에 알리기 위해 IDS가 필요한 경우 당신이 원하는 것을, 그들은 그들이 당신을 준수하게한다면 정의에 따라 "가치"있을 수 있습니다.

나는 "좋은 것이 든 아니든 중요하지 않다"고 제안하지는 않는다. 분명히 좋은 일을하는 것은 그렇지 않은 것보다 선호된다. 그러나 규정 준수에 도달하는 것이 그 자체의 목표입니다.

침입 탐지 시스템은 매우 유용한 도구이지만 제대로 사용해야합니다. NIDS를 경고가 끝나는 경고 기반 시스템으로 취급하면 좌절하게됩니다 (알림 X가 생성되었습니다. 지금 무엇을해야합니까?).

NIDS (alerting systems)와 세션 및 컨텐츠 데이터를 혼합하는 NSM (Network security monitoring) 접근 방식을 살펴보면 경보를 올바르게 검사하고 IDS 시스템을보다 잘 조정할 수 있습니다.

* 링크 할 수 없으므로 구글은 taosecurity 또는 NSM

네트워크 기반 정보 외에도 HIDS + LIDS (로그 기반 침입 탐지)를 혼합하면 진행 상황을 명확하게 볼 수 있습니다.

** 또한 이러한 도구는 공격으로부터 사용자를 보호하기위한 것이 아니라 보안 카메라 (물리적 비교)의 역할을 수행하므로 적절한 사고 대응이 가능합니다.

좋은 IDS를 가지려면 여러 출처가 필요합니다. IDS에 동일한 공격에 대해 여러 소스에서 여러 개의 경고가있는 경우 표준 경고보다 훨씬 더 의미있는 경고를 실행할 수 있습니다.

OSSEC과 같은 HIDS (호스트 IDS)와 Snort와 같은 NIDS (Network IDS)의 출력을 서로 연관시켜야하는 이유입니다. 예를 들어 Prelude 를 사용하면됩니다 . Prelude는 경고를 집계하고 연관시켜 훨씬 더 의미있는 실제 보안 경고를 생성 할 수 있습니다. 예를 들어 네트워크 공격이 있다고 가정 해 봅시다. 만약 네트워크 공격이 계속 유지된다면, 그다지 나쁘지는 않을 것입니다. 그러나 호스트 공격이되면, 중요도가 높은 적절한 경고를 유발할 것입니다.

제 생각에는, 상용 IDS는 / IPS는 가치가 없어 하지 않는 네트워크에서 볼 수 있어야 모든 활동의 정확한 본질을 알고있다. 어리석은 사용자 행동 및 잘못된 동작 (합법적 인) 응용 프로그램에 대한 예외를 만드는 데 어려움을 겪을 수 있습니다. 엄격하게 고정되어 있지 않은 네트워크에서, 내가 사용한 시스템에서 잡음이 압도적이라는 것을 알았습니다. 그렇기 때문에 우리는 결국 백본을 하나의 리눅스 머신에 파이프하여 커스텀 C 코드를 실행했습니다. 그 코드 한 조각은 우리가 알고있는 모든 이상한 점들을 캡슐화했으며, 다른 어떤 것도 의심 스러웠습니다.

당신이 경우에 할 매우 잠겨 네트워크를 가지고, 최고의 시스템은 완전한 정책과 일치하는 대상이 그래서, 당신의 주변 장치와 통합의 일종이있을 것이다.

그것이 일을하고 있는지 아는 한, 최선의 방법은 주기적으로 일부 공격을 실행하는 것입니다.

IDS / IPS 시스템은 실제 이점을보기 위해 사용자 환경에 맞게 조정해야한다고 생각합니다. 그렇지 않으면 당신은 단지 오 탐지로 범람하게됩니다. 그러나 IDS / IPS는 적절한 방화벽과 서버 강화를 대체하지 않습니다.

우리는 지난 1 년간 일한 Fortigate를 사용해 왔으며 정말 기뻤습니다. IDS / IPS 이상의 기능을 수행하므로 원하는 것이 아닐 수도 있지만 살펴볼 가치가 있습니다.

IDS / IPS 규칙은 자동으로 업데이트되거나 (기본값) 수동으로 업데이트 될 수 있습니다. IDS / IPS 규칙은 웹 인터페이스를 통해서도 관리가 가능하다는 것을 알았습니다. 관리가 쉬워서 보호 기능을 보호 프로파일로 분류 한 다음 방화벽의 규칙에 할당했기 때문입니다. 따라서 네트워크의 모든 패킷에 대한 모든 규칙을 보지 않고 훨씬 집중적 인 보호 및 경고를받습니다.

우리 조직에는 다양한 상용 시스템과 개방형 시스템을 포함하여 현재 수많은 IDSe가 있습니다. 이것은 부분적으로 대학에서 발생하는 역사적 고려 사항의 유형과 수행 이유 때문입니다. 즉, 나는 Snort에 대해 조금 이야기 할 것입니다.

나는 얼마 동안 엔터프라이즈 차원의 코골이 센서 배출을 시작했습니다. 이것은 현재 크기가 10보다 작은 작은 배열로, 수십 개에 이릅니다. 이 과정을 통해 내가 배운 것은 매우 귀중합니다. 주로 발생하는 경보 수와이 많은 분산 노드를 관리하는 기술을 사용합니다. MRTG를 가이드로 사용하여 평균 5Mbps에서 최대 96MBps까지 센서를 볼 수 있습니다. 이 답변의 목적을 위해 IDP가 아니라 IDS에 대해 이야기하고 있음을 명심하십시오.

주요 결과는 다음과 같습니다.

1. Snort는 완전한 기능을 갖춘 IDS이며 훨씬 더 크고 이름이없는 네트워크 어플라이언스 공급 업체로 자체 wrt 기능 세트를 쉽게 보유합니다.
2. 가장 흥미로운 경고는 신흥 위협 프로젝트 에서 나옵니다 .
3. WSUS는 주로 sfPortscan 전 처리기에서 어리석게 많은 오 탐지를 발생시킵니다.
4. 2/3 이상의 센서에는 우수한 구성 및 패치 관리 시스템이 필요합니다.
5. 적극적인 튜닝이 수행 될 때까지 매우 많은 오 탐지가있을 것으로 예상됩니다 .
6. BASE는 많은 수의 경보로 확장이 잘되지 않으며 snort에는 경보 관리 시스템이 내장되어 있지 않습니다.

코골이를 막기 위해 주니퍼와 시스코를 포함한 수많은 시스템에서 5 개를 발견했습니다. 또한 해당 제품을 사용한 적이 없지만 TippingPoint보다 Snort를 쉽게 설치 및 구성 할 수있는 방법에 대한 이야기를 들었습니다.

대체로, 나는 Snort에 매우 만족했습니다. 나는 대부분의 규칙을 켜는 것을 선호했으며 수천 개의 규칙을 거치고 어떤 규칙을 켤지 결정하는 대신 시간을 조정하는 데 소비했습니다. 이로 인해 튜닝에 소요되는 시간이 약간 높아지지만 처음부터 계획을 세웠습니다. 또한이 프로젝트가 시작되면서 SEIM 구매도 진행하여 두 가지를 쉽게 조정할 수있었습니다. 따라서 튜닝 과정에서 좋은 로그 상관 관계 및 집계를 활용했습니다. 그러한 제품이 없으면 사용 환경 조정이 다를 수 있습니다.

소스 파이어는 좋은 시스템을 가지고 있으며, 시스템에서 예기치 않은 새로운 트래픽이 발생하기 시작하는 것을 발견하는 데 도움이되는 구성 요소를 가지고 있습니다. 합법적 인 트래픽이 차단 될 수있는 문제가 있기 때문에 IPS 모드가 아닌 IDS 모드에서 실행하므로 보고서를 모니터링하고 전체적으로 꽤 괜찮은 작업을 수행하는 것 같습니다.

필요한 IDS / IPS에 대답하기 전에 보안 아키텍처를 더 잘 이해하고 싶습니다. 네트워크를 라우팅하고 전환하기 위해 무엇을 사용합니까, 보안 아키텍처에 어떤 다른 보안 수단이 있습니까?

완화하려고하는 위험은 무엇입니까, 즉 어떤 정보 자산이 위험에 처해 있으며 어떤 위험이 있습니까?

귀하의 질문은 너무 일반적이기 때문에 사람들이 제품 X에 대해 생각하고 X 이유에 대해 최선을 다합니다.

보안은 위험 완화 프로세스이며 IT 보안 솔루션의 구현은 식별 된 위험과 일치해야합니다. 사람들이 최고의 제품이라고 생각하고 비생산적이며 시간과 돈을 낭비하는 것을 기반으로 IDS / IPS를 네트워크에 던지기 만하면됩니다.

건배 셰인

보고를 위해 ACID / BASE와 결합 된 Snort는 OSS 제품에 매우 매끄 럽습니다. 나는 적어도 당신의 발을 젖게하려고 노력합니다.

침입 탐지 시스템은 단순한 NIDS (네트워크 기반 시스템) 이상입니다. 내 환경에서 HIDS가 훨씬 더 유용하다는 것을 알았습니다. 현재 로그, 파일 등을 모니터링하는 OSSEC을 사용하고 있습니다.

따라서 Snort의 가치를 충분히 얻지 못하면 다른 접근법을 시도하십시오. 아파치의 경우 modsecurity 또는 로그 분석의 경우 ossec 일 수 있습니다.

많은 사람들이 솔루션으로 코골이를 버릴 것임을 알고 있으며, 좋은 결과입니다. 코골이와 스 길은 서로 다른 서브넷이나 VLAN을 모니터링하기에 좋은 조합입니다.

우리는 현재 StillSecure의 Strataguard를 사용하고 있습니다 . 이것은 강화 된 GNU / Linux 배포판에서 구현 된 것입니다. 시작 및 실행이 매우 쉽고 (스 노트 만 사용하는 것보다 훨씬 쉽습니다), 저 대역폭 환경을위한 무료 버전과 매우 직관적이고 유용한 웹 인터페이스가 있습니다. 규칙을 쉽게 업데이트, 조정, 수정 및 조사 할 수 있습니다.

IPS 모드로 설치하고 방화벽을 자동으로 잠글 수는 있지만 IDS 모드에서만 사용합니다. 중앙 스위치의 모니터 포트에 설치하고 관리를 위해 두 번째 NIC를 표시했습니다. 트래픽을 면밀히 조사합니다. 오 탐지 (특히 사전 튜닝)의 수는 유일한 단점이지만, 이것이 작동하고 있음을 알려주므로 인터페이스에서 규칙 서명을 검사하고 캡처 된 패킷을 검사하며 링크를 따라 취약성을 조사 할 수 있습니다. 따라서 경고가 실제로 문제인지 여부를 결정하고 필요에 따라 경고 또는 규칙을 조정할 수 있습니다.

나는 Snort를 추천 할 것입니다. Snort는 거의 모든 다른 보안 도구에서 지원되며 자습서를 쉽게 사용할 수 있으며 많은 프런트 엔드 응용 프로그램도 있습니다. 비밀 소스가 없기 때문에 하나의 IDS가 다른 IDS보다 우수합니다. 공공 및 지역 규칙 세트가 힘을 제공합니다.

그러나 모든 IDS (HIDS 또는 NIDS)는 매시간 또는 매일 로그 및 경고를 기꺼이 확인하지 않으면 돈 낭비입니다. 오 탐지를 제거하고 지역 예외에 대한 새로운 규칙을 만들려면 시간과 인력이 필요합니다. IDS는 네트워크의 비디오 카메라로 가장 잘 설명됩니다. 누군가는 그것을보고 있어야하며 그들이 보내는 정보에 대해 행동 할 권한을 가지고 있습니다. 그렇지 않으면 쓸모가 없습니다.

결론. 소프트웨어 비용을 절감하고 오픈 소스 IDS를 사용하십시오. 교육에 돈을 쓰고 훌륭한 보안 팀을 개발하십시오.

사람들이 침입 탐지를 요청할 때, 서버 IDS는 누가 한 번도 아무 작업을하지 않으면 누가 네트워크에 침투하는지는 중요하지 않습니다. AIDE 와 같은 IDS 는 서버의 스냅 샷 해시를 생성하여 특정 기간 동안 디스크에서 변경되었습니다.

일부 사람들은 보안 위반 후 모든 서버의 이미지를 다시 작성하는 것을 선호하지만 대부분의 문제에 약간의 과잉이 될 수 있다고 생각합니다.

솔직히, IDS는 일반적으로 운영자가 오 탐지를 조정하는 데 모든 시간을 소비하기 때문에 총 시간 낭비입니다. 시스템이 모퉁이에 남아 무시되는 것은 부담이됩니다.

대부분의 조직은 네트워크 외부에 프로브를 배치하고 수천 건의 공격을보고 놀랐습니다. 마치 집 밖에서 도난 경보기를 켜고 누군가가 지나갈 때마다 경보 음이 울리는 것과 같습니다.

IDS는 보안 컨설턴트들에게 감사의 말을 전하는 것입니다. 감사원은 체크 박스로, 그리고 시간과 자원이 완전히 낭비되어 다른 사람들은 무시합니다.

매일 수천 건의 공격이 발생하고 외부 액세스를 설계하고 무엇보다도 외부 대면 시스템이 제대로 강화되도록하는 데 더 많은 시간이 소요됩니다.

데이브