推荐入侵检测系统（IDS / IPS），值得吗？

多年来，我已经尝试了各种基于网络的IDS和IPS系统，但从未对结果感到满意。这些系统要么太难管理，要么仅基于基于旧签名的著名漏洞利用而触发，要么仅仅是对输出太闲谈。

无论如何，我都不认为它们为我们的网络提供了真正的保护。在某些情况下，由于断开有效的连接或只是完全失败，它们是有害的。

在过去的几年中，我确定情况已经改变，那么最近推荐的IDS系统是什么？他们是否具有有效的试探法，并且不会对合法流量发出警报？

或者，依靠良好的防火墙和强化主机是否更好？

如果您推荐一个系统，您如何知道它正在执行其工作？

正如一些人在下面的答案中提到的那样，我们也要获得有关主机入侵检测系统的一些反馈，因为它们与基于网络的IDS密切相关。

对于我们当前的设置，我们将需要监视两个单独的网络，总带宽为50mbps。我在这里寻找一些真实的反馈，而不是能够执行IDS的设备或服务的列表。

几年前，我回顾了几种入侵防御系统。

我想在几个位置和公司网络之间部署一些东西。
该系统旨在提供易于管理和监控的功能（可以移交给第二层服务台人员的功能）。还需要自动报警和报告。

我最终选择的系统是Tipping Point的IPS。成立几年后，我们仍然喜欢它。我们的实施包括订阅他们的数字疫苗，它每周都会发布漏洞和漏洞利用规则。

该系统对于观察正在发生的事情（警报但不采取任何措施）以及自动阻止或隔离系统非常有用。

最终，这是一个非常有用的工具，可用于定位和隔离受恶意软件感染的计算机，以及阻止带宽占用或与安全策略相关的流量，而无需使用路由器访问控制列表。

http://www.tippingpoint.com/products_ips.html

一个想法；您问“他们值得吗”。我不愿提供非技术性的答案，但是，如果您的组织需要IDS来向监管机构表明您已遵守某些法规或其他法规，即使您从技术角度发现该设备没有您想要的东西，如果可以让您保持遵从性，那么根据定义，他们可能就是“值得”。

我并不是说“好坏无关紧要”，显然，做得好的事比不做的事要好。但是达到合规性本身就是一个目标。

入侵检测系统是非常宝贵的工具，但需要正确使用。如果您将NIDS视为基于警报的系统，那么警报将以失败告终（好，警报X已生成，我现在该怎么办？）。

我建议您使用NSM（网络安全监视）方法，将NIDS（警报系统）与会话和内容数据混合使用，以便您可以正确地检查任何警报并更好地调整IDS系统。

*我无法链接，所以只有google用于taosecurity或NSM

除了基于网络的信息之外，如果您混合使用HIDS + LIDS（基于日志的入侵检测），您将清楚了解正在发生的事情。

**此外，请不要忘记这些工具并不是要保护您免受攻击，而是充当安全摄像机（物理比较），以便可以采取适当的事件响应。

要拥有良好的IDS，您需要多个来源。如果IDS对于同一攻击具有来自多个来源的多个警报，则它将能够发出比标准警报具有更多含义的警报。

这就是为什么您需要将HIDS（主机IDS）（例如OSSEC）和NIDS（网络IDS）（例如Snort）的输出关联起来的原因。例如，可以使用Prelude完成此操作。Prelude将汇总并关联警报，以便能够生成具有更多含义的真实安全警告。举例来说，您遇到了网络攻击，如果它仍然是网络攻击，则可能还不错，但是如果它成为主机攻击，则将触发具有高度重要性的适当警报。

我认为，除非您知道应该在网络上看到的所有活动的确切性质，否则现成的IDS / IPS不值得。您可能会发疯，为愚蠢的用户行为和异常的（合法的）应用程序创建异常。在没有被高度锁定的网络上，我发现在我使用的任何系统中，噪音都是压倒性的。这就是为什么我们最终将主干通过管道传输到运行自定义C代码的一台linux机器中的原因。一段代码封装了我们所知道的所有怪异，还有其他可疑之处。

如果您的网络确实处于高度锁定状态，那么最佳的系统将与外围设备进行某种程度的集成，从而实现完整的策略匹配。

就知道它是否正在发挥作用而言，最好的方法是定期自己执行一些攻击。

我认为任何IDS / IPS系统都必须根据您的环境进行定制调整，以查看任何真正的好处。否则，您只会充斥误报。但是IDS / IPS永远不会取代适当的防火墙和服务器加固。

在过去的一年中，我们一直在使用一个Fortigate部门，对此我感到非常满意。它所做的不只是IDS / IPS，因此它可能不完全符合您的需求，但是值得一看。

IDS / IPS规则会自动更新（默认），也可以手动更新。我发现它的IDS / IPS规则也可以通过其Web界面进行管理。我认为管理的简便性是由于将保护分为保护配置文件，然后将其分配给防火墙上的规则。因此，您不必查看网络上每个数据包的所有规则，而是可以获得更加集中的保护和警报。

在我们的组织中，我们目前有许多IDS，包括混合的商业系统和开放的。这部分归因于大学发生的历史考量类型和绩效原因。话虽这么说，我将谈一谈Snort。

我已经在一段时间内推出了企业范围内的鼻息传感器付款。当前这是一个较小的数组（认为<10），范围可以达到几十个。我从这个过程中学到的东西非常宝贵。主要是使用技术来管理通过的警报数量以及管理这么多高度分散的节点。以MRTG为指导，我们的传感器看到的平均速度为5Mbps，最高可达96MBps。请记住，就此答案而言，我指的是IDS，而不是IDP。

主要发现是：

1. Snort是功能非常齐全的IDS，可以轻松地将自己的wrt功能集提供给规模较大且未具名的网络设备供应商。
2. 最有趣的警报来自“ 新兴威胁”项目。
3. WSUS导致大量误报，主要来自sfPortscan预处理器。
4. 超过2/3的传感器需要良好的配置和补丁管理系统。
5. 希望看到一个非常大的误报，直到进行积极地调整。
6. BASE对于大量警报无法很好地扩展，并且snort没有内置的警报管理系统。

公平地说，我注意到许多系统（包括Juniper和Cisco）中有5个。尽管我从未使用过该产品，但也有人告诉我有关Snort如何比TippingPoint更容易安装和配置的故事。

总而言之，我对Snort感到非常满意。我主要希望启用大多数规则，而不要花数千时间去决定要打开哪些规则，而是花时间进行调整。这使调优所花的时间增加了一些，但我从一开始就计划了。另外，随着这个项目的进行，我们还进行了SEIM采购，这使得协调两者很容易。因此，我在调优过程中设法利用了良好的日志相关性和聚合能力。如果没有这样的产品，您的体验调整可能会有所不同。

Sourcefire有一个很好的系统，并且它们的组件有助于发现何时从系统中发出新的意外流量。我们在IDS模式下而不是IPS模式下运行它，因为存在可能阻止合法流量的问题，因此我们监视报告，总的来说，它似乎做得相当不错。

在您可以回答所需的IDS / IPS之前，我希望更好地了解您的安全体系结构。您使用什么来路由和交换网络，在安全体系结构中还采取了哪些其他安全措施？

您要减轻的风险是什么，即哪些信息资产处于危险之中以及来自什么？

您的问题太笼统了，无法给您带来任何好处，但是，人们对产品X的看法以及出于X原因的最佳看法。

安全是缓解风险的过程，IT安全解决方案的实施必须与已识别的风险保持一致。仅根据人们认为最好的产品将IDS / IPS投入您的网络中，这是无用的，而且浪费时间和金钱。

干杯谢恩

Snort与ACID / BASE结合用于报告，对于OSS产品而言非常漂亮。我会尝试的，至少要弄湿你的脚。

入侵检测系统不仅仅是NIDS（基于网络的系统）。我发现对于我的环境而言，HIDS更为有用。目前，我正在使用OSSEC，它监视我的日志，文件等。

因此，如果您没有获得足够的Snort价值，请尝试其他方法。可能是针对Apache的modsecurity或针对日志分析的ossec。

我知道很多人会扔出snort作为解决方案，这很好-snort和sguil也是监视不同子网或VLAN的良好组合。

当前，我们使用来自StillSecure的Strataguard，这是在强化的GNU / Linux发行版上的一个snort实现。它非常容易安装和运行（比单独使用snort容易得多），具有适用于低带宽环境的免费版本，以及非常直观和有用的Web界面。它使更新，调整，修改和研究规则变得相当容易。

虽然它可以IPS模式安装并自动为您锁定防火墙，但我们仅在IDS模式下使用它-将其安装在中央交换机的监控端口上，弹出第二个NIC进行管理，对于审查流量。误报（尤其是预先调整）的数量是唯一的缺点，但这确实使我们知道它的工作情况，并且该界面使检查规则签名，检查捕获的数据包以及跟踪链接以研究漏洞非常容易。因此，您可以确定警报是否确实存在问题，并根据需要调整警报或规则。

我会推荐斯诺特。Snort几乎受所有其他安全工具的支持，教程非常容易获得，因此许多前端应用程序也是如此。没有秘密的秘诀，这使一个IDS比另一个更好。公共和地方规则集提供了力量。

但是，除非您愿意每小时或每天检查一次日志和警报，否则任何IDS（HIDS或NIDS）都是浪费金钱。您需要时间和人员来消除误报并为局部异常创建新规则。最好将IDS描述为网络的摄像机。有人需要监视它，并有权对它发送的信息采取行动。否则就一文不值。

底线。节省软件费用，使用开源IDS。花钱进行培训，并建立一支强大的安全团队。

当人们要求进行入侵检测时，我认为服务器IDS并不重要，如果他们一次也不做任何事情，谁会渗透到您的网络中。像AIDE这样的IDS 会制作服务器的快照散列，让您确切地看到在一定时间内更改了磁盘。

有些人喜欢在发生安全漏洞后重新映像所有服务器的映像，但我认为对于大多数问题而言，这可能有点过大。

坦率地说，IDS通常会浪费时间，因为运营商会花费所有时间来消除误报。这就变成了一个沉重的负担，使系统陷入困境而被忽视。

大多数组织将探测器放置在网络外部，并惊讶地看到成千上万的攻击。这就像在房子的外面放了一个防盗警报器，并且感到惊讶的是，每次有人走过时它都会响起。

安全顾问喜欢使用IDS来表明它的存在危险，将审计程序显示为一个复选框，并被其他所有人忽略，因为这完全浪费了他们的时间和资源。

最好花时间接受每天有成千上万次攻击，设计外部访问权限，并且最重要的是确保面向外部的系统得到适当加固。

戴夫