Recommander un système de détection d'intrusion (IDS / IPS), et en valent-ils la peine?

J'ai essayé différents systèmes IDS et IPS basés sur le réseau au fil des ans et je n'ai jamais été satisfait des résultats. Soit les systèmes étaient trop difficiles à gérer, déclenchés uniquement sur des exploits bien connus basés sur d'anciennes signatures, soit simplement trop bavards avec la sortie.

En tout cas, je ne pense pas qu'ils aient vraiment protégé notre réseau. Dans certains cas, ils ont été nocifs en raison de la suppression de connexions valides ou tout simplement d'un échec.

Au cours des dernières années, je suis sûr que les choses ont changé, alors quels sont les systèmes IDS recommandés de nos jours? Ont-ils des heuristiques qui fonctionnent et ne alertent pas sur le trafic légitime?

Ou, est-il juste préférable de s'appuyer sur de bons pare-feu et des hôtes durcis?

Si vous recommandez un système, comment savez-vous qu'il fait son travail?

Comme certains l'ont mentionné dans les réponses ci-dessous, obtenons également des commentaires sur les systèmes de détection d'intrusion de l'hôte, car ils sont étroitement liés aux IDS basés sur le réseau.

Pour notre configuration actuelle, nous aurions besoin de surveiller deux réseaux distincts avec une bande passante totale de 50 Mbps. Je cherche ici des commentaires du monde réel, pas une liste d'appareils ou de services capables de faire des IDS.

Il y a plusieurs années, j'ai passé en revue plusieurs systèmes de prévention des intrusions.

Je voulais déployer quelque chose entre quelques sites et le réseau d'entreprise.
Le système devait fournir un système facile à gérer et à surveiller (quelque chose qui pourrait être remis à une personne du deuxième niveau du service d'assistance). Des alarmes et des rapports automatisés étaient également nécessaires.

Le système que j'ai fini par choisir était l'IPS de Tipping Point. Nous l'aimons toujours après avoir été en place pendant plusieurs années. Notre implémentation comprend l'abonnement à leur vaccin numérique, ce qui élimine la vulnérabilité et exploite les règles chaque semaine.

Le système a été très utile pour surveiller ce qui se passe (alerter mais ne rien faire) ainsi que bloquer ou mettre en quarantaine automatiquement les systèmes.

Cela s'est avéré être un outil très utile pour localiser et isoler les ordinateurs infectés par des logiciels malveillants ainsi que pour bloquer la bande passante ou le trafic lié aux politiques de sécurité sans avoir à travailler avec les listes de contrôle d'accès du routeur.

http://www.tippingpoint.com/products_ips.html

Une pensée; vous demandez "en valent-ils la peine". Je déteste donner une réponse non technique, mais si votre organisation a besoin d'un IDS pour indiquer à un organisme de réglementation que vous êtes en conformité avec une réglementation ou une autre, même si vous trouvez que d'un point de vue technologique, l'appareil ne donne pas vous ce que vous voulez, ils peuvent par définition "en valoir la peine" s'ils vous maintiennent en conformité.

Je ne dis pas que "peu importe si c'est bon ou pas", il est évident que quelque chose qui fait du bon travail est préféré à quelque chose qui ne le fait pas; mais atteindre la conformité réglementaire est un objectif en soi.

Les systèmes de détection d'intrusion sont des outils inestimables, mais ils doivent être utilisés correctement. Si vous traitez votre NIDS comme un système basé sur des alertes, où l'alerte est la fin, vous serez frustré (ok, l'alerte X a été générée, que dois-je faire maintenant?).

Je recommande de regarder l'approche NSM (surveillance de la sécurité du réseau) où vous mélangez les NIDS (systèmes d'alerte) avec les données de session et de contenu, afin que vous puissiez examiner correctement toute alerte et mieux régler votre système IDS.

* Je ne peux pas créer de lien, alors google pour la sécurité ou NSM

En plus des informations basées sur le réseau, si vous mélangez HIDS + LIDS (détection d'intrusion basée sur les journaux), vous obtiendrez une vue claire de ce qui se passe.

** De plus, n'oubliez pas que ces outils ne sont pas destinés à vous protéger contre une attaque, mais à agir comme une caméra de sécurité (comparaison physique) afin que la réponse appropriée aux incidents puisse être prise.

Pour avoir un bon IDS, vous avez besoin de plusieurs sources. Si un IDS a plusieurs alertes provenant de plusieurs sources pour la même attaque, il pourra déclencher une alerte qui a beaucoup plus de sens qu'une simple alerte standard.

C'est pourquoi vous devez corréler la sortie de HIDS (Host IDS) comme OSSEC et NIDS (Network IDS) comme Snort. Cela peut être fait en utilisant Prelude par exemple. Prelude agrégera et corrélera les alertes pour pouvoir générer de véritables avertissements de sécurité qui ont beaucoup plus de sens. Disons par exemple que vous avez une attaque de réseau, si elle reste une attaque de réseau, ce n'est probablement rien de trop mauvais mais si elle devient une attaque d'hôte, cela déclenchera des alertes appropriées avec un niveau élevé d'importance.

À mon avis, les IDS / IPS standard ne valent pas la peine, sauf si vous connaissez la nature exacte de toutes les activités qui devraient être vues sur votre réseau. Vous pouvez vous rendre fou en créant des exceptions pour un comportement stupide de l'utilisateur et des applications (légitimes) incorrectes. Sur les réseaux qui ne sont pas très verrouillés, j'ai trouvé que le bruit était écrasant dans tous les systèmes que j'ai utilisés. C'est pourquoi nous avons finalement canalisé le squelette dans une seule machine Linux qui exécutait un morceau personnalisé de code C. Ce morceau de code a encapsulé toutes les bizarreries que nous connaissions, et tout le reste était suspect.

Si vous n'avez un réseau très verrouillé, les meilleurs systèmes auront une sorte d'intégration avec votre appareil de périmètre, de sorte qu'il ya match de la politique complète.

Pour ce qui est de savoir s'il fait son travail, le meilleur moyen est d'exécuter périodiquement vous-même certaines attaques.

Je pense que tout système IDS / IPS doit être adapté à votre environnement pour voir de réels avantages. Sinon, vous êtes simplement inondé de faux positifs. Mais IDS / IPS ne remplacera jamais les pare-feu et le renforcement du serveur appropriés.

Nous utilisons une unité Fortigate où je travaille depuis un an et nous en sommes très satisfaits. Il fait beaucoup plus que juste IDS / IPS, donc ce n'est peut-être pas exactement ce que vous cherchez, mais ça vaut le coup d'œil.

Les règles IDS / IPS sont mises à jour automatiquement (par défaut) ou peuvent être mises à jour manuellement. Je trouve que ses règles IDS / IPS sont également assez gérables via son interface Web. Je pense que sa facilité de gestion est due à la décomposition de la protection en profils de protection que vous attribuez ensuite aux règles du pare-feu. Ainsi, plutôt que de regarder toutes les règles sur chaque paquet sur le réseau, vous obtenez une protection et des alertes beaucoup plus ciblées.

Dans notre organisation, nous avons un certain nombre d'IDS actuellement en place, y compris un mélange de systèmes commerciaux et ouverts. Cela est dû en partie au type de considérations historiques qui se produisent dans une université et aux raisons de performance. Cela étant dit, je vais parler un peu de Snort.

Je déploie un décaissement de capteur de snort à l'échelle de l'entreprise depuis un certain temps maintenant. Il s'agit actuellement d'un tableau de petite taille (pensez <10), limité à une douzaine. Ce que j'ai appris au cours de ce processus a été inestimable; principalement avec des techniques pour gérer à la fois le nombre d'alertes qui transitent ainsi que la gestion de ce nombre de nœuds hautement distribués. En utilisant MRTG comme guide, nous avons des capteurs qui voient une moyenne de 5Mbps jusqu'à 96MBps. Gardez à l'esprit qu'aux fins de cette réponse, je parle d'IDS, pas d'IDP.

Les principales conclusions sont les suivantes:

1. Snort est un IDS très complet et détient facilement son propre ensemble de fonctionnalités wrt pour les fournisseurs d'appareils réseau beaucoup plus grands et sans nom.
2. Les alertes les plus intéressantes proviennent du projet Emerging Threats .
3. WSUS entraîne un nombre stupidement élevé de faux positifs, en grande partie du préprocesseur sfPortscan.
4. Plus de 2/3 des capteurs nécessitent une bonne configuration et un système de gestion des correctifs.
5. Attendez-vous à voir un très grand nombre de faux positifs jusqu'à ce qu'un réglage agressif soit effectué.
6. BASE n'évolue pas très bien avec un grand nombre d'alertes, et snort n'a pas de système de gestion des alertes intégré.

Pour être juste à renifler, j'ai remarqué 5 dans un grand nombre de systèmes, y compris Juniper et Cisco. On m'a également raconté comment Snort peut être installé et configuré plus facilement que TippingPoint, même si je n'ai jamais utilisé ce produit.

Dans l'ensemble, j'ai été très satisfait de Snort. J'ai largement préféré activer la plupart des règles et passer mon temps à régler plutôt qu'à parcourir des milliers de règles et à décider lesquelles activer. Cela a rendu le temps passé à l'accorder un peu plus élevé, mais je l'avais prévu dès le départ. De plus, comme ce projet montait en puissance, nous avons également effectué un achat SEIM, ce qui a facilité la coordination des deux. J'ai donc réussi à tirer parti d'une bonne corrélation et agrégation de journaux pendant le processus de réglage. Si vous n'avez pas un tel produit, votre expérience de réglage peut être différente.

Sourcefire a un bon système et ils ont des composants qui aident à découvrir quand un nouveau trafic inattendu commence à émaner d'un système. Nous l'exécutons en mode IDS plutôt qu'en mode IPS car il y a des problèmes où le trafic légitime peut être bloqué, nous surveillons donc les rapports et dans l'ensemble, il semble faire un travail assez décent.

Bien avant que vous puissiez répondre de quel IDS / IPS vous avez besoin, je voudrais mieux comprendre votre architecture de sécurité. Qu'utilisez-vous pour acheminer et commuter votre réseau, quelles autres mesures de sécurité avez-vous dans votre architecture de sécurité?

Quels sont les risques que vous essayez d'atténuer, c'est-à-dire quels actifs d'information sont en danger et à partir de quoi?

Votre question est trop générique pour vous donner quoi que ce soit, mais ce que les gens pensent du produit X et son meilleur pour X raisons.

La sécurité est un processus d'atténuation des risques et la mise en œuvre de solutions de sécurité informatique doit être conforme aux risques identifiés. Il suffit de lancer IDS / IPS dans votre réseau en fonction de ce que les gens pensent être le meilleur produit, est improductif et une perte de temps et d'argent.

Cheers Shane

Snort combiné avec ACID / BASE pour les rapports, est assez lisse pour un produit OSS. J'essaierais ça, au moins pour te mouiller les pieds.

Les systèmes de détection d'intrusions sont plus qu'un simple NIDS (basé sur un réseau). Je trouve que pour mon environnement, un HIDS est beaucoup plus utile. Actuellement, j'utilise OSSEC, qui surveille mes journaux, fichiers, etc.

Donc, si vous n'obtenez pas suffisamment de valeur de Snort, essayez une approche différente. Peut-être modsecurity pour apache ou ossec pour l'analyse des journaux.

Je sais que beaucoup de gens vont jeter snort comme solution, et c'est bien - snort et sguil sont également une bonne combinaison pour surveiller différents sous-réseaux ou VLAN.

Nous utilisons actuellement Strataguard de StillSecure , c'est une implémentation snort sur une distribution GNU / Linux renforcée. Il est très facile à installer et à exécuter (beaucoup plus facile que Snort seul), a une version gratuite pour les environnements à faible bande passante et une interface Web très intuitive et utile. Il facilite la mise à jour, le réglage, la modification et la recherche des règles.

Bien qu'il puisse être installé en mode IPS et verrouiller automatiquement le pare-feu pour vous, nous ne l'utilisons qu'en mode IDS - l'installer sur le port moniteur de notre commutateur central, insérer une deuxième carte réseau pour la gestion, et cela fonctionne très bien pour contrôler le trafic. Le nombre de faux positifs (en particulier le pré-réglage) est le seul inconvénient, mais cela nous permet de savoir que cela fonctionne, et l'interface permet très facilement d'examiner la signature de la règle, d'inspecter les paquets capturés et de suivre les liens pour rechercher la vulnérabilité afin que l'on puisse décider si l'alerte est vraiment un problème ou non et ajuster l'alerte ou la règle si nécessaire.

Je recommanderais Snort. Snort est pris en charge par presque tous les autres outils de sécurité, des didacticiels sont facilement disponibles, tout comme de nombreuses applications frontales. Il n'y a pas de sauce secrète, ce qui rend un IDS meilleur qu'un autre. Les ensembles de règles publiques et locales fournissent le pouvoir.

Mais tout IDS (HIDS ou NIDS) est un gaspillage d'argent, sauf si vous êtes prêt à consulter les journaux et les alertes, toutes les heures ou tous les jours. Vous avez besoin de temps et de personnel pour supprimer les faux positifs et créer de nouvelles règles pour les anomalies locales. Un IDS est mieux décrit comme une caméra vidéo pour votre réseau. Quelqu'un doit le regarder et avoir le pouvoir d'agir en fonction des informations qu'il envoie. Sinon, cela ne vaut rien.

Conclusion. Économisez de l'argent sur les logiciels, utilisez un IDS open source. Dépensez de l'argent pour la formation et développez une excellente équipe de sécurité.

Lorsque les gens demandent une détection d'intrusion, je pense aux IDS de serveur car peu importe qui pénètre dans votre réseau s'ils ne font rien une fois. Un IDS comme AIDE fera des hachages instantanés d'un serveur vous permettant de voir exactement ce qui a changé sur le disque sur une certaine période.

Certaines personnes préfèrent réimaginer tous leurs serveurs après une faille de sécurité, mais je pense que cela peut être un peu exagéré pour la plupart des problèmes.

Franchement, l'IDS est généralement une perte de temps totale car les opérateurs passent tout leur temps à éliminer les faux positifs. Cela devient un tel fardeau que le système est laissé dans un coin et ignoré.

La plupart des organisations placent la sonde à l'extérieur du réseau et sont étonnées de voir des milliers d'attaques. C'est comme mettre une alarme antivol à l'extérieur de la maison et être surpris qu'elle se déclenche chaque fois que quelqu'un passe.

IDS est apprécié par les consultants en sécurité pour montrer à quel point il est dangereux, les auditeurs comme une case à cocher, et ignoré par tout le monde car c'est une perte totale de temps et de ressources.

Il serait préférable de consacrer du temps à accepter qu'il y a des milliers d'attaques chaque jour, à concevoir un accès externe et, surtout, à s'assurer que les systèmes face à l'extérieur sont correctement renforcés.

Dave