多年来,我尝试过各种基于网络的 IDS 和 IPS 系统,但从未对结果感到满意。这些系统要么难以管理,要么只在基于旧签名的知名漏洞上触发,要么输出内容过于冗长。
无论如何,我觉得他们没有提供真实的保护我们的网络。在某些情况下,它们会因断开有效连接或完全失败而造成危害。
过去几年,我相信情况已经发生了变化,那么现在推荐的 IDS 系统有哪些?它们是否有有效的启发式方法,并且不会对合法流量发出警报?
或者,仅仅依赖良好的防火墙和强化的主机是否更好?
如果您推荐一个系统,您怎么知道它能够发挥作用?
正如一些人在下面的答案中提到的那样,我们也可以获得一些关于主机入侵检测系统因为它们与基于网络的 IDS 密切相关。
对于我们当前的设置,我们需要监控两个独立的网络,总带宽为 50mbps。我在这里寻找一些实际的反馈,而不是能够执行 IDS 的设备或服务的列表。
答案1
几年前,我审查了几种入侵防御系统。
我想在几个地点和公司网络之间部署一些东西。
该系统旨在提供易于管理和监控的功能(可以交给第二层服务台人员)。还需要自动报警和报告。
我最终选择的系统是 Tipping Point 的 IPS。使用几年后,我们仍然很喜欢它。我们的实施包括订阅他们的 Digital Vaccine,它每周都会推送漏洞和漏洞利用规则。
该系统对于观察正在发生的事情(发出警报但不采取任何行动)以及自动阻止或隔离系统非常有用。
这最终成为一个非常有用的工具,无需使用路由器访问控制列表即可定位和隔离受恶意软件感染的计算机以及阻止带宽占用或安全策略相关的流量。
答案2
一个想法;你问“它们值得吗”。我不想给出非技术性的答案,但如果您的组织需要 IDS 来向监管机构表明您遵守了某些法规,即使您发现从技术角度来看该设备没有满足您的要求,但如果它们能让您遵守法规,那么从定义上讲它们可能“值得”。
我并不是说“好不好都无所谓”,显然,做得好的东西比做得不好的东西要好;但达到法规遵从性本身就是一个目标。
答案3
入侵检测系统是无价的工具,但需要正确使用。如果你将 NIDS 视为基于警报的系统,警报就是终点,你会感到沮丧(好吧,警报 X 已经生成,我现在该怎么办?)。
我建议研究一下 NSM(网络安全监控)方法,将 NIDS(警报系统)与会话和内容数据混合,这样您就可以正确检查任何警报并更好地调整您的 IDS 系统。
*我无法链接,所以只能谷歌搜索 taosecurity 或 NSM
除了基于网络的信息之外,如果混合使用 HIDS + LIDS(基于日志的入侵检测),您将清楚地了解正在发生的事情。
**另外,不要忘记这些工具并不是为了保护您免受攻击,而是充当安全摄像头(物理比较),以便采取适当的事件响应。
答案4
我认为现成的 IDS/IPS 不值得除非您知道网络上应该看到的所有活动的确切性质。您可能会为愚蠢的用户行为和行为不当的(合法)应用程序创建例外,这让您发疯。在未高度锁定的网络上,我发现在我使用的任何系统中,噪音都令人难以忍受。这就是为什么我们最终将主干网连接到一台运行自定义 C 代码的 Linux 机器上。那一段代码封装了我们所知道的所有怪异之处,其他一切都是可疑的。
如果你做拥有一个高度锁定的网络,最好的系统将与您的外围设备进行某种集成,以便完全匹配策略。
至于了解它是否在发挥作用,最好的方法是定期亲自执行一些攻击。