몇 년 동안 다양한 네트워크 기반 IDS 및 IPS 시스템을 시험해 보았으며 결과에 만족하지 못했습니다. 시스템을 관리하기가 너무 어려웠거나 이전 서명을 기반으로 잘 알려진 악용에 대해서만 트리거되거나 단순히 출력에 너무 혼잡했습니다.
어쨌든, 그들이 우리 네트워크를 실제로 보호 한다고 생각하지 않습니다 . 경우에 따라서는 유효한 연결을 끊거나 실패로 인해 유해한 경우가 있습니다.
지난 몇 년 동안 상황이 바뀌 었다고 확신하므로 요즘 권장되는 IDS 시스템은 무엇입니까? 작동하는 휴리스틱이 있고 합법적 인 트래픽에 대해 경고하지 않습니까?
아니면 좋은 방화벽과 강화 된 호스트에 의존하는 것이 더 낫습니까?
시스템을 권장하는 경우 시스템이 수행하는 작업을 어떻게 알 수 있습니까?
아래 답변에서 언급했듯이 호스트 침입 탐지 시스템 은 네트워크 기반 IDS와 밀접한 관련이 있기 때문에 호스트 침입 탐지 시스템 에 대한 피드백을 얻을 수 있습니다 .
현재 설정에서는 총 대역폭이 50mbps 인 두 개의 개별 네트워크를 모니터링해야합니다. IDS를 수행 할 수있는 장치 또는 서비스 목록이 아닌 실제 피드백을 찾고 있습니다.
답변
몇 년 전에 여러 침입 방지 시스템을 검토했습니다.
두 위치와 회사 네트워크 사이에 무언가를 배포하고 싶었습니다.
이 시스템은 관리 및 모니터링이 용이 한 시스템을 제공하는 것이 었습니다 (2 차 헬프 데스크 직원에게 전달할 수있는 것). 자동화 된 경보 및보고도 필요했습니다.
내가 선택한 시스템은 Tipping Point의 IPS였습니다. 우리는 몇 년 동안 자리를 잡고 여전히 그것을 좋아합니다. 우리의 구현에는 디지털 백신에 대한 가입이 포함되며, 이는 매주 취약점 및 악용 규칙을 밀어냅니다.
이 시스템은 시스템을 자동으로 차단 또는 격리 할뿐만 아니라 진행중인 작업을보고 (경고하지만 조치를 취하지 않음) 매우 유용했습니다.
이는 결국 라우터 액세스 제어 목록을 사용하지 않고도 맬웨어 감염 컴퓨터를 찾아 격리하는 데 유용하고 대역폭 호깅 또는 보안 정책 관련 트래픽을 차단하는 데 유용한 도구가되었습니다.
답변
한 생각; 당신은 “그들이 가치가 있는가?”라고 묻습니다. 비 기술적 답변을 제공하는 것이 싫지만 조직이 기술 측면에서 장치가 제공하지 않는 것을 발견하더라도 일부 규정 또는 기타 규정을 준수하고 있음을 규제 기관에 알리기 위해 IDS가 필요한 경우 당신이 원하는 것을, 그들은 그들이 당신을 준수하게한다면 정의에 따라 “가치”있을 수 있습니다.
나는 “좋은 것이 든 아니든 중요하지 않다”고 제안하지는 않는다. 분명히 좋은 일을하는 것은 그렇지 않은 것보다 선호된다. 그러나 규정 준수에 도달하는 것이 그 자체의 목표입니다.
답변
침입 탐지 시스템은 매우 유용한 도구이지만 제대로 사용해야합니다. NIDS를 경고가 끝나는 경고 기반 시스템으로 취급하면 좌절하게됩니다 (알림 X가 생성되었습니다. 지금 무엇을해야합니까?).
NIDS (alerting systems)와 세션 및 컨텐츠 데이터를 혼합하는 NSM (Network security monitoring) 접근 방식을 살펴보면 경보를 올바르게 검사하고 IDS 시스템을보다 잘 조정할 수 있습니다.
* 링크 할 수 없으므로 구글은 taosecurity 또는 NSM
네트워크 기반 정보 외에도 HIDS + LIDS (로그 기반 침입 탐지)를 혼합하면 진행 상황을 명확하게 볼 수 있습니다.
** 또한 이러한 도구는 공격으로부터 사용자를 보호하기위한 것이 아니라 보안 카메라 (물리적 비교)의 역할을 수행하므로 적절한 사고 대응이 가능합니다.
답변
좋은 IDS를 가지려면 여러 출처가 필요합니다. IDS에 동일한 공격에 대해 여러 소스에서 여러 개의 경고가있는 경우 표준 경고보다 훨씬 더 의미있는 경고를 실행할 수 있습니다.
OSSEC과 같은 HIDS (호스트 IDS)와 Snort와 같은 NIDS (Network IDS)의 출력을 서로 연관시켜야하는 이유입니다. 예를 들어 Prelude 를 사용하면됩니다 . Prelude는 경고를 집계하고 연관시켜 훨씬 더 의미있는 실제 보안 경고를 생성 할 수 있습니다. 예를 들어 네트워크 공격이 있다고 가정 해 봅시다. 만약 네트워크 공격이 계속 유지된다면, 그다지 나쁘지는 않을 것입니다. 그러나 호스트 공격이되면, 중요도가 높은 적절한 경고를 유발할 것입니다.
답변
제 생각에는, 상용 IDS는 / IPS는 가치가 없어 하지 않는 네트워크에서 볼 수 있어야 모든 활동의 정확한 본질을 알고있다. 어리석은 사용자 행동 및 잘못된 동작 (합법적 인) 응용 프로그램에 대한 예외를 만드는 데 어려움을 겪을 수 있습니다. 엄격하게 고정되어 있지 않은 네트워크에서, 내가 사용한 시스템에서 잡음이 압도적이라는 것을 알았습니다. 그렇기 때문에 우리는 결국 백본을 하나의 리눅스 머신에 파이프하여 커스텀 C 코드를 실행했습니다. 그 코드 한 조각은 우리가 알고있는 모든 이상한 점들을 캡슐화했으며, 다른 어떤 것도 의심 스러웠습니다.
당신이 경우에 할 매우 잠겨 네트워크를 가지고, 최고의 시스템은 완전한 정책과 일치하는 대상이 그래서, 당신의 주변 장치와 통합의 일종이있을 것이다.
그것이 일을하고 있는지 아는 한, 최선의 방법은 주기적으로 일부 공격을 실행하는 것입니다.
답변
IDS / IPS 시스템은 실제 이점을보기 위해 사용자 환경에 맞게 조정해야한다고 생각합니다. 그렇지 않으면 당신은 단지 오 탐지로 범람하게됩니다. 그러나 IDS / IPS는 적절한 방화벽과 서버 강화를 대체하지 않습니다.
우리는 지난 1 년간 일한 Fortigate를 사용해 왔으며 정말 기뻤습니다. IDS / IPS 이상의 기능을 수행하므로 원하는 것이 아닐 수도 있지만 살펴볼 가치가 있습니다.
IDS / IPS 규칙은 자동으로 업데이트되거나 (기본값) 수동으로 업데이트 될 수 있습니다. IDS / IPS 규칙은 웹 인터페이스를 통해서도 관리가 가능하다는 것을 알았습니다. 관리가 쉬워서 보호 기능을 보호 프로파일로 분류 한 다음 방화벽의 규칙에 할당했기 때문입니다. 따라서 네트워크의 모든 패킷에 대한 모든 규칙을 보지 않고 훨씬 집중적 인 보호 및 경고를받습니다.
답변
우리 조직에는 다양한 상용 시스템과 개방형 시스템을 포함하여 현재 수많은 IDSe가 있습니다. 이것은 부분적으로 대학에서 발생하는 역사적 고려 사항의 유형과 수행 이유 때문입니다. 즉, 나는 Snort에 대해 조금 이야기 할 것입니다.
나는 얼마 동안 엔터프라이즈 차원의 코골이 센서 배출을 시작했습니다. 이것은 현재 크기가 10보다 작은 작은 배열로, 수십 개에 이릅니다. 이 과정을 통해 내가 배운 것은 매우 귀중합니다. 주로 발생하는 경보 수와이 많은 분산 노드를 관리하는 기술을 사용합니다. MRTG를 가이드로 사용하여 평균 5Mbps에서 최대 96MBps까지 센서를 볼 수 있습니다. 이 답변의 목적을 위해 IDP가 아니라 IDS에 대해 이야기하고 있음을 명심하십시오.
주요 결과는 다음과 같습니다.
- Snort는 완전한 기능을 갖춘 IDS이며 훨씬 더 크고 이름이없는 네트워크 어플라이언스 공급 업체로 자체 wrt 기능 세트를 쉽게 보유합니다.
- 가장 흥미로운 경고는 신흥 위협 프로젝트 에서 나옵니다 .
- WSUS는 주로 sfPortscan 전 처리기에서 어리석게 많은 오 탐지를 발생시킵니다.
- 2/3 이상의 센서에는 우수한 구성 및 패치 관리 시스템이 필요합니다.
- 적극적인 튜닝이 수행 될 때까지 매우 많은 오 탐지가있을 것으로 예상됩니다 .
- BASE는 많은 수의 경보로 확장이 잘되지 않으며 snort에는 경보 관리 시스템이 내장되어 있지 않습니다.
코골이를 막기 위해 주니퍼와 시스코를 포함한 수많은 시스템에서 5 개를 발견했습니다. 또한 해당 제품을 사용한 적이 없지만 TippingPoint보다 Snort를 쉽게 설치 및 구성 할 수있는 방법에 대한 이야기를 들었습니다.
대체로, 나는 Snort에 매우 만족했습니다. 나는 대부분의 규칙을 켜는 것을 선호했으며 수천 개의 규칙을 거치고 어떤 규칙을 켤지 결정하는 대신 시간을 조정하는 데 소비했습니다. 이로 인해 튜닝에 소요되는 시간이 약간 높아지지만 처음부터 계획을 세웠습니다. 또한이 프로젝트가 시작되면서 SEIM 구매도 진행하여 두 가지를 쉽게 조정할 수있었습니다. 따라서 튜닝 과정에서 좋은 로그 상관 관계 및 집계를 활용했습니다. 그러한 제품이 없으면 사용 환경 조정이 다를 수 있습니다.