एक घुसपैठ का पता लगाने की प्रणाली (आईडीएस / आईपीएस) की सिफारिश करें, और क्या वे इसके लायक हैं?

मैंने वर्षों में विभिन्न नेटवर्क-आधारित आईडी और आईपीएस सिस्टम की कोशिश की है और परिणामों से कभी खुश नहीं रहा। या तो सिस्टम को प्रबंधित करना बहुत मुश्किल था, केवल पुराने हस्ताक्षर के आधार पर अच्छी तरह से ज्ञात कारनामों पर ट्रिगर किया गया था, या बस आउटपुट के साथ बहुत अधिक चैटिंग थे।

किसी भी स्थिति में, मुझे नहीं लगता कि उन्होंने हमारे नेटवर्क के लिए वास्तविक सुरक्षा प्रदान की है । कुछ मामलों में, वे वैध कनेक्शन छोड़ने या केवल सादे विफल होने के कारण हानिकारक थे।

पिछले कुछ वर्षों में, मुझे यकीन है कि चीजें बदल गई हैं, इसलिए इन दिनों अनुशंसित आईडीएस सिस्टम क्या हैं? क्या उनके पास ऐसे कार्य हैं जो वैध यातायात पर काम करते हैं और सचेत नहीं करते हैं?

या, क्या सिर्फ अच्छे फायरवॉल और कठोर मेजबानों पर भरोसा करना बेहतर है?

यदि आप एक प्रणाली की सिफारिश करते हैं, तो आप कैसे जानते हैं कि यह अपना काम कर रही है?

जैसा कि कुछ ने नीचे दिए गए उत्तरों में उल्लेख किया है, चलो मेजबान घुसपैठ का पता लगाने वाले सिस्टम पर कुछ प्रतिक्रिया भी प्राप्त करते हैं क्योंकि वे नेटवर्क-आधारित आईडी से निकटता से संबंधित हैं।

हमारे वर्तमान सेटअप के लिए, हमें 50mbps की कुल बैंडविड्थ के साथ दो अलग-अलग नेटवर्क पर नजर रखने की आवश्यकता होगी। मैं यहां कुछ वास्तविक दुनिया की प्रतिक्रिया की तलाश कर रहा हूं, न कि आईडीएस करने में सक्षम उपकरणों या सेवाओं की सूची।

कई साल पहले मैंने कई घुसपैठ रोकथाम प्रणालियों की समीक्षा की।

मैं कुछ स्थानों और कॉर्पोरेट नेटवर्क के बीच कुछ तैनात करना चाहता था।
यह प्रणाली एक आसान प्रबंधन और निगरानी प्रदान करने के लिए थी (कुछ ऐसा है जो एक दूसरे टियर हेल्प डेस्क व्यक्ति को सौंपा जा सकता है)। स्वचालित अलार्मिंग और रिपोर्टिंग की भी आवश्यकता थी।

जिस प्रणाली को मैंने चुना वह टिपिंग प्वाइंट से आईपीएस था। कई सालों तक जगह रहने के बाद भी हम इसे पसंद करते हैं। हमारे कार्यान्वयन में उनके डिजिटल वैक्सीन की सदस्यता शामिल है, जो भेद्यता और शोषण नियमों को साप्ताहिक रूप से आगे बढ़ाती है।

सिस्टम यह देखने के लिए बहुत उपयोगी है कि क्या चल रहा है (अलर्ट लेकिन कोई कार्रवाई न करें) और साथ ही स्वचालित रूप से ब्लॉक या संगरोध प्रणाली।

यह राउटर एक्सेस कंट्रोल सूचियों के साथ काम करने के बिना मैलवेयर संक्रमित संक्रमित कंप्यूटरों के साथ-साथ बैंडविड्थ हॉगिंग या सुरक्षा नीति से संबंधित ट्रैफ़िक को रोकने और अलग करने के लिए एक बहुत ही उपयोगी उपकरण बन गया।

http://www.tippingpoint.com/products_ips.html

एक विचार; आप पूछते हैं "क्या वे इसके लायक हैं"। मैं एक गैर-तकनीकी उत्तर देने से नफरत करता हूं, लेकिन अगर आपके संगठन को एक नियामक संस्था को इंगित करने के लिए एक आईडी की आवश्यकता है जो आप कुछ विनियमन या अन्य के अनुपालन में हैं, भले ही आपको लगता है कि एक प्रौद्योगिकी के दृष्टिकोण से डिवाइस नहीं देता है आप जो चाहते हैं, वे "इसके लायक" परिभाषा के अनुसार हो सकते हैं यदि वे आपको अनुपालन में रखते हैं।

मैं सुझाव नहीं दे रहा हूं कि "यह अच्छा है या नहीं, इससे कोई फर्क नहीं पड़ता", जाहिर है कि एक अच्छा काम जो कुछ करता है उसे पसंद किया जाता है; लेकिन नियामक अनुपालन तक पहुंचना अपने आप में एक लक्ष्य है।

घुसपैठ का पता लगाने वाले सिस्टम अमूल्य उपकरण हैं, लेकिन इनका सही इस्तेमाल किया जाना चाहिए। यदि आप अपने एनआईडीएस को एक अलर्ट-आधारित प्रणाली के रूप में मानते हैं, जहां अलर्ट अंत है, तो आप निराश हो जाएंगे (ठीक है, अलर्ट एक्स उत्पन्न हुआ था, अब मैं क्या करूं?)।

मैं एनएसएम (नेटवर्क सुरक्षा निगरानी) दृष्टिकोण को देखने की सलाह देता हूं जहां आप सत्र और सामग्री डेटा के साथ एनआईडीएस (अलर्टिंग सिस्टम) को मिलाते हैं, इसलिए आप अपने आईडीएस सिस्टम को किसी भी अलर्ट और बेहतर ट्यून को ठीक से जांच सकते हैं।

* मैं लिंक नहीं कर सकता, इसलिए बस taosecurity या NSM के लिए Google

नेटवर्क-आधारित जानकारी के अलावा, यदि आप HIDS + LIDS (लॉग-आधारित घुसपैठ का पता लगाने) को मिलाते हैं, तो आपको स्पष्ट रूप से पता चल जाएगा कि क्या चल रहा है।

** इसके अलावा, यह मत भूलो कि ये उपकरण किसी हमले से आपकी रक्षा नहीं करते हैं, लेकिन सुरक्षा कैमरे (शारीरिक तुलना) के रूप में कार्य करने के लिए इसलिए उचित घटना की प्रतिक्रिया ली जा सकती है।

एक अच्छी आईडी के लिए, आपको कई स्रोतों की आवश्यकता होती है। यदि एक ही हमले के लिए एक आईडीएस के पास कई स्रोतों से कई अलर्ट हैं, तो यह एक चेतावनी को फायर करने में सक्षम होगा, जिसमें पूरे बहुत अधिक अर्थ हैं और फिर बस एक मानक अलर्ट।

यही कारण है कि आपको OSSEC और NIDS (नेटवर्क IDS) जैसे Snort जैसे HIDS (Host IDS) से आउटपुट को सहसंबंधित करने की आवश्यकता है। उदाहरण के लिए प्रस्तावना का उपयोग करके ऐसा किया जा सकता है । प्रस्तावना, वास्तविक सुरक्षा चेतावनियों को उत्पन्न करने में सक्षम होने के लिए अलर्टों को बढ़ा-चढ़ाकर और सहसंबंधित करेगी, जिनके बहुत अधिक अर्थ हैं। उदाहरण के अनुसार, आपके पास एक नेटवर्क हमला है, अगर यह एक नेटवर्क हमले में रहता है, तो यह शायद बहुत बुरा नहीं है, लेकिन अगर यह एक मेजबान हमला बन जाता है, तो यह महत्वपूर्ण स्तर के उच्च स्तर के साथ उचित अलर्ट ट्रिगर करता है।

मेरी राय में, ऑफ-द-शेल्फ आईडीएस / आईपीएस तब तक इसके लायक नहीं है, जब तक कि आप अपने नेटवर्क पर देखी जाने वाली सभी गतिविधि की सटीक प्रकृति को नहीं जानते। आप बेवकूफ उपयोगकर्ता के व्यवहार और दुर्व्यवहार (वैध) अनुप्रयोगों के लिए अपवाद बनाते हुए खुद को पागल कर सकते हैं। उन नेटवर्कों पर जो बहुत अधिक लॉक नहीं किए गए हैं, मुझे लगता है कि मैंने जिन प्रणालियों का उपयोग किया है उनमें से किसी में भी शोर हो रहा है। इसलिए हमने आखिरकार रीढ़ की हड्डी को एक सिंगल लाइन मशीन में डाल दिया, जो सी कोड का एक कस्टम टुकड़ा था। उस कोड के एक टुकड़े ने उन सभी विचित्रताओं को समझाया, जिनके बारे में हम जानते थे, और कुछ भी संदिग्ध था।

यदि आपके पास अत्यधिक लॉक डाउन नेटवर्क है, तो सबसे अच्छा सिस्टम आपके परिधि डिवाइस के साथ किसी प्रकार का एकीकरण करेगा, जिससे कि पूर्ण नीति मिलान हो।

जहां तक ​​यह जानना है कि क्या यह अपना काम कर रहा है, तो सबसे अच्छा तरीका है कि आप समय-समय पर कुछ हमलों को अंजाम दें।

मुझे लगता है कि किसी भी वास्तविक लाभ को देखने के लिए किसी भी आईडीएस / आईपीएस प्रणाली को आपके पर्यावरण के अनुरूप होना चाहिए। अन्यथा आप सिर्फ झूठी सकारात्मकता से भर जाते हैं। लेकिन आईडीएस / आईपीएस कभी भी उचित फायरवॉल और सर्वर को सख्त नहीं करेगा।

हम एक फोर्टिग यूनिट का उपयोग कर रहे हैं, जहां मैं पिछले एक साल से काम कर रहा हूं और वास्तव में इससे खुश हूं। यह आईडीएस / आईपीएस की तुलना में बहुत अधिक है, इसलिए यह ठीक वैसा नहीं हो सकता है जैसा आप देख रहे हैं लेकिन यह देखने लायक है।

आईडीएस / आईपीएस नियम स्वचालित रूप से (डिफ़ॉल्ट) अपडेट किए जाते हैं या मैन्युअल रूप से अपडेट किए जा सकते हैं। मुझे लगता है कि यह आईडीएस / आईपीएस नियम बहुत प्रबंधनीय हैं और साथ ही साथ यह वेब इंटरफेस भी है। मुझे लगता है कि यह प्रबंधन की आसानी से संरक्षण प्रोफाइल में सुरक्षा को तोड़ने के कारण है जो आप फिर फ़ायरवॉल पर नियमों को सौंपते हैं। इसलिए नेटवर्क पर हर पैकेट पर सभी नियमों को देखने के बजाय आपको बहुत अधिक केंद्रित सुरक्षा और अलर्ट मिलते हैं।

हमारे संगठन में हमारे पास वर्तमान में कई आईडी हैं, जिनमें वाणिज्यिक प्रणालियों का मिश्रण और खुला शामिल है। यह एक विश्वविद्यालय में होने वाले ऐतिहासिक विचारों के प्रकार और प्रदर्शन कारणों के कारण होता है। कहा जा रहा है, मैं थोड़ा के लिए Snort के बारे में बात करने जा रहा हूँ।

मैं पिछले कुछ समय से एक एंटरप्राइज वाइड स्नो सेंसर डिस्बर्सल रोल आउट कर रहा हूं। यह वर्तमान में एक छोटे आकार का सरणी है (लगता है <10), एक दर्जन से अधिक जोड़े तक पहुंचने के लिए। इस प्रक्रिया से गुजरना मैंने जो सीखा है, वह अमूल्य है; मुख्य रूप से तकनीकों के साथ दोनों के माध्यम से आने वाले अलर्टों की संख्या का प्रबंधन करने के साथ-साथ इस कई अत्यधिक वितरित नोड का प्रबंधन करना। एक गाइड के रूप में एमआरटीजी का उपयोग करते हुए, हमारे पास 96 एमबीपीएस तक औसतन 5 एमबीपीएस तक के सेंसर हैं। ध्यान रखें कि इस उत्तर के प्रयोजनों के लिए मैं आईडीएस के बारे में बात कर रहा हूं, आईडीपी के बारे में नहीं।

प्रमुख निष्कर्ष हैं:

1. स्नॉर्ट एक बहुत ही पूरी तरह से चित्रित आईडीएस है और आसानी से अपने स्वयं के wrt सुविधा को बहुत बड़े और अनाम नेटवर्क उपकरण विक्रेताओं के लिए सेट करता है।
2. सबसे दिलचस्प अलर्ट इमर्जिंग थ्रेट्स प्रोजेक्ट से आते हैं ।
3. WSUS के परिणामस्वरूप बड़ी संख्या में झूठी सकारात्मकताएं होती हैं, मोटे तौर पर sfPortscan प्रीप्रोसेसर से।
4. 2/3 से अधिक सेंसरों को एक अच्छे कॉन्फ़िगरेशन और पैच मैनेजमेंट सिस्टम की आवश्यकता होती है।
5. एक देखने की उम्मीद बहुत गलत परिणामों की बड़ी संख्या में जब तक आक्रामक ट्यूनिंग किया जाता है।
6. बड़ी संख्या में अलर्ट के साथ BASE बहुत अच्छी तरह से स्केल नहीं करता है, और स्नॉर्ट का कोई अलर्ट मैनेजमेंट सिस्टम नहीं है।

स्नॉर्ट के लिए उचित होने के लिए, मैंने जुनिपर और सिस्को सहित बड़ी संख्या में 5 प्रणालियों पर ध्यान दिया है। मुझे यह भी बताया गया है कि टिपिंगपॉइंट की तुलना में स्नॉर्ट को कैसे स्थापित किया जा सकता है और इसे आसानी से कॉन्फ़िगर किया जा सकता है, हालांकि मैंने उस उत्पाद का कभी उपयोग नहीं किया है।

सब सब में, मैं Snort से बहुत खुश हूँ। मैंने ज्यादातर नियमों को चालू करना पसंद किया, और हजारों नियमों से गुजरने के बजाय अपना समय ट्यूनिंग में बिताना और यह तय करना कि किन लोगों को चालू करना है। इसने समय को थोड़ा अधिक बढ़ाने में मदद की, लेकिन मैंने शुरुआत से ही इसके लिए योजना बनाई। इसके अलावा, जैसा कि इस परियोजना में तेजी थी, हम एक एसईआईएम खरीद से भी गुजरे, जिससे दोनों में समन्वय करना आसान हो गया। इसलिए मैं ट्यूनिंग प्रक्रिया के दौरान अच्छे लॉग सहसंबंध और एकत्रीकरण का लाभ उठाने में कामयाब रहा। यदि आपके पास ऐसा कोई उत्पाद नहीं है, तो आपका अनुभव ट्यूनिंग अलग हो सकता है।

सोर्सफायर की एक अच्छी प्रणाली है और उनके पास ऐसे घटक हैं जो यह पता लगाने में मदद करते हैं कि नया अप्रत्याशित ट्रैफ़िक किसी सिस्टम से कब शुरू होता है। हम इसे आईपीएस मोड के बजाय आईडीएस मोड में चलाते हैं क्योंकि ऐसे मुद्दे हैं जहां वैध यातायात अवरुद्ध हो सकता है, इसलिए हम रिपोर्ट की निगरानी करते हैं और कुल मिलाकर यह एक बहुत अच्छा काम करने के लिए लगता है।

इससे पहले कि आप यह जवाब दे सकें कि आपको किस आईडीएस / आईपीएस की जरूरत है, मैं आपकी सुरक्षा वास्तुकला को बेहतर ढंग से समझना चाहता हूं। आप अपने नेटवर्क को रूट और स्विच करने के लिए क्या उपयोग करते हैं, आपकी सुरक्षा वास्तुकला में आपके पास अन्य सुरक्षा उपाय क्या हैं?

आप जिन जोखिमों को कम करने की कोशिश कर रहे हैं, यानी जो जानकारी परिसंपत्तियाँ जोखिम में हैं और क्या हैं?

आपका प्रश्न आपको कुछ भी देने के लिए बहुत सामान्य है, लेकिन लोग उत्पाद X के बारे में क्या सोचते हैं और इसके एक्स कारणों के लिए सबसे अच्छा है।

सुरक्षा एक जोखिम शमन प्रक्रिया है और आईटी सुरक्षा समाधानों के कार्यान्वयन को पहचान किए गए जोखिमों के साथ इनलाइन होना चाहिए। बस आईडीएस / आईपीएस को अपने नेटवर्क में फेंकना इस आधार पर कि लोग क्या सोचते हैं सबसे अच्छा उत्पाद है, अनुत्पादक है और समय और धन की बर्बादी है।

चीयर्स शेन

रिपोर्टिंग के लिए ACID / BASE के साथ संयुक्त Snort, एक OSS उत्पाद के लिए बहुत चालाक है। मैं कोशिश करूँगा कि, कम से कम अपने पैरों को गीला करने के लिए।

घुसपैठ का पता लगाने वाले सिस्टम सिर्फ एक NIDS (नेटवर्क-आधारित) से अधिक हैं। मुझे लगता है कि मेरे पर्यावरण के लिए, एक HIDS अधिक उपयोगी है। वर्तमान में मैं ओएसएसईसी का उपयोग कर रहा हूं, जो मेरे लॉग, फाइलों आदि की निगरानी करता है।

इसलिए, यदि आपको स्नॉर्ट का पर्याप्त मूल्य नहीं मिल रहा है, तो एक अलग दृष्टिकोण का प्रयास करें। शायद लॉग विश्लेषण के लिए अपाचे या ossec के लिए modsecurity।

मुझे पता है कि बहुत से लोग एक समाधान के रूप में खर्राटों को बाहर निकाल देंगे, और यह अच्छा है - अलग-अलग सबनेट या वीएलएएन की निगरानी के लिए स्नॉर्ट और सगिल एक अच्छा संयोजन है।

हम वर्तमान में स्टिलटैगर्ड से स्टैटगार्ड का उपयोग करते हैं , यह एक कड़े जीएनयू / लिनक्स डिस्ट्रो पर एक स्नॉर्ट कार्यान्वयन है। यह उठना और चलाना बहुत आसान है (अकेले स्नॉर्ट की तुलना में बहुत आसान), कम बैंडविड्थ वाले वातावरण के लिए एक मुफ्त संस्करण है, और एक बहुत ही सहज और उपयोगी वेब इंटरफ़ेस है। यह नियम, अद्यतन, संशोधन और अनुसंधान नियमों को यथोचित रूप से आसान बनाता है।

हालांकि यह आईपीएस मोड में स्थापित किया जा सकता है और स्वचालित रूप से आपके लिए फ़ायरवॉल को बंद कर देता है, हम इसे केवल आईडीएस मोड में उपयोग करते हैं - इसे हमारे केंद्रीय स्विच पर मॉनिटर पोर्ट पर स्थापित किया है, प्रबंधन के लिए एक दूसरा एनआईसी पॉप किया है, और इसके लिए बहुत अच्छा काम किया है यातायात की छानबीन। झूठी सकारात्मक (पूर्व-पूर्व-ट्यूनिंग) की संख्या केवल नकारात्मक पक्ष है, लेकिन इससे हमें यह पता चल जाता है कि यह काम कर रहा है, और इंटरफ़ेस नियम हस्ताक्षर की जांच करना, कैप्चर किए गए पैकेटों का निरीक्षण करना, और भेद्यता पर शोध करने के लिए लिंक का पालन करना बहुत आसान बनाता है। इसलिए कोई यह तय कर सकता है कि अलर्ट वास्तव में एक समस्या है या नहीं और अलर्ट या नियम को आवश्यकतानुसार समायोजित करें।

मैं स्नॉर्ट की सिफारिश करूंगा। स्नॉर्ट लगभग सभी अन्य सुरक्षा उपकरणों द्वारा समर्थित है, ट्यूटोरियल आसानी से उपलब्ध हैं, और इसलिए कई फ्रंट-एंड एप्लिकेशन हैं। कोई गुप्त सॉस नहीं है, जो एक आईडी को दूसरे से बेहतर बनाता है। सार्वजनिक और स्थानीय नियम सेट शक्ति प्रदान करते हैं।

लेकिन कोई भी आईडीएस (HIDS या NIDS) पैसे की बर्बादी है जब तक आप लॉग और अलर्ट की जांच करने के लिए तैयार नहीं हैं, प्रति घंटा या दैनिक। आपको झूठी सकारात्मकता को हटाने और स्थानीय विसंगतियों के लिए नए नियम बनाने के लिए समय और कर्मियों की आवश्यकता है। आईडीएस को आपके नेटवर्क के लिए वीडियो कैमरा के रूप में वर्णित किया गया है। किसी को इसे देखने की जरूरत है, और इसे भेजने वाली जानकारी पर कार्रवाई करने का अधिकार है। अन्यथा यह बेकार है।

जमीनी स्तर। सॉफ्टवेयर पर पैसे बचाएं, एक ओपन सोर्स आईडीएस का उपयोग करें। प्रशिक्षण पर पैसा खर्च करें, और एक महान सुरक्षा दल विकसित करें।

जब लोग घुसपैठ का पता लगाने के लिए पूछते हैं, तो मैं सर्वर आईडीएस के बारे में सोचता हूं क्योंकि इससे कोई फर्क नहीं पड़ता कि कौन आपके नेटवर्क में प्रवेश करता है अगर वे एक बार में कुछ भी नहीं करते हैं। एआईडी की तरह आईडीएस एक सर्वर के स्नैपशॉट हैश को बना देगा जिससे आप ठीक से देख सकते हैं। एक निश्चित अवधि में डिस्क पर परिवर्तित।

कुछ लोग सुरक्षा भंग होने के बाद अपने सभी सर्वरों को पुनः प्राप्त करना पसंद करते हैं, लेकिन मुझे लगता है कि अधिकांश मुद्दों के लिए यह थोड़ा ओवरकिल हो सकता है।

सच कहूँ तो, आईडीएस आमतौर पर समय की कुल बर्बादी है क्योंकि ऑपरेटर अपना सारा समय झूठी सकारात्मकता के लिए लगाते हैं। यह ऐसा बोझ बन जाता है कि सिस्टम को एक कोने में छोड़ दिया जाता है और अनदेखा कर दिया जाता है।

अधिकांश संगठन नेटवर्क के बाहर जांच को जगह देते हैं, और हजारों हमलों को देखकर चकित होते हैं। यह घर के बाहर एक बर्गलर अलार्म लगाने और ऐसा आश्चर्यचकित करने जैसा है कि यह किसी के द्वारा चलने पर हर बार बंद हो जाता है।

आईडीएस को सुरक्षा सलाहकारों से प्यार है, यह दिखाने के लिए कि यह कितना खतरनाक है, एक टिक बॉक्स के रूप में ऑडिटर, और बाकी सभी द्वारा अनदेखा किया गया क्योंकि यह उनके समय और संसाधनों की पूरी बर्बादी है।

समय बेहतर होगा यह स्वीकार करते हुए कि हर दिन हजारों हमले होते हैं, बाहरी पहुंच डिजाइन करते हैं, और अधिकांश यह सुनिश्चित करते हैं कि बाहरी सामना करने वाले सिस्टम ठीक से कठोर हो।

डेव