Система обнаружения вторжений (IDS) - это особый тип программного обеспечения, предназначенного для решения проблемы безопасности, а именно для автоматического предупреждения администраторов, когда кто-то или что-то пытается взломать информационную систему с помощью вредоносной активности, такой как DDOS атака или с помощью нарушения политики безопасности.
Ссылка скрыта от гостей
деятельности с помощью изучения уязвимостей в системе, целостности файлов и проведения анализа шаблонов на основе уже известных атак. Она также автоматически отслеживает
Ссылка скрыта от гостей
на наличие
Ссылка скрыта от гостей
, которые могут привести к будущей атаке.
Способы и методы обнаружения
IDS может только обнаружить атаку. Она не может предотвращать атаки. А IPS, напротив, предотвращает атаки, обнаруживая их и останавливая их до достижения цели.
Атака - попытка скомпрометировать конфиденциальность, целостность или доступность.
Два основных метода обнаружения основаны на сигнатуре и на аномалии. Любой тип IDS (HIDS или NIDS) может обнаруживать атаки, основанные на подписях, аномалиях или и на том, и на другом.
HIDS отслеживает сетевой трафик, достигающий своего сетевого адаптера, а NIDS отслеживает трафик в сети.
Система обнаружения вторжений на основе хоста (Host-based intrusion detection system (HIDS))
Ссылка скрыта от гостей
на основе хоста (HIDS) - это дополнительное программное обеспечение, установленное в системе как рабочая станция или сервер.Он обеспечивает защиту отдельного хоста и может обнаруживать потенциальные атаки и защищать критические файлы операционной системы. Основная цель любой IDS - отслеживать трафик.
Роль IDS хоста является пассивной, только сбор, идентификация, протоколирование и оповещение. Примеры HIDS:
Ссылка скрыта от гостей
)
Ссылка скрыта от гостей
Ссылка скрыта от гостей
– Дополнительная среда обнаружения вторжений (Advanced Intrusion Detection Environment)
Ссылка скрыта от гостей
Основная цель любой IDS - отслеживать трафик. Для HIDS этот трафик проходит через сетевой адаптер (NIC). Многие IDS-системы на основе хоста расширены для мониторинга активности приложений в системе.
В качестве одного из примеров вы можете установить HIDS на разных серверах, ориентированных на Интернет, таких как веб-серверы, почтовые серверы и серверы баз данных. Помимо мониторинга сетевого трафика, достигаемого на серверах, HIDS также может контролировать серверные приложения.
Стоит подчеркнуть, что HIDS может помочь обнаружить вредоносное программное обеспечение, которое может пропустить традиционное антивирусное программное обеспечение.
Из-за этого многие организации устанавливают HIDS на каждой рабочей станции в качестве дополнительного уровня защиты в дополнение к традиционному антивирусному программному обеспечению. Так же, как HIDS в основном используется для мониторинга сетевого трафика, рабочая станция HIDS в основном используется для мониторинга сетевого трафика, достигающего рабочей станции. Однако HIDS может также контролировать некоторые приложения и защищать локальные ресурсы, а также файлы операционной системы. В других организациях администраторы устанавливают только HIDS, когда есть ощущаемая потребность.
Например, если администратор обеспокоен тем, что конкретный сервер подвергается повышенному риску атаки, администратор может выбрать установку HIDS в этой системе в качестве дополнительного уровня защиты.
Каждый незавершенный сеанс потребляет ресурсы на сервере, и если атака SYN flood продолжается, это может привести к сбою сервера.
Некоторые серверы резервируют определенное количество ресурсов для соединений, и как только атака начинает потреблять эти ресурсы, система блокирует дополнительные подключения. Вместо того, чтобы нарушить работу сервера, атака препятствует подключению законных пользователей к серверу.
IDS и IPS могут обнаруживать атаку SYN и реагировать на неё соответствующим образом, блокируя её. Кроме того, во многих брандмауэрах есть защита от флуда, которая может обнаруживать атаки SYN-flood и предпринимать шаги для закрытия открытых сеансов.
Система обнаружения вторжений на основе сети (Network-based intrusion detection system (NIDS))
Система обнаружения вторжений на основе сети (NIDS) отслеживает активность в сети. Администратор устанавливает датчики NIDS на сетевых устройствах, таких как маршрутизаторы и брандмауэры.
Эти датчики собирают информацию и отправляются на центральный сервер мониторинга, размещаемый консолью NIDS. NIDS не может обнаруживать аномалии на отдельных системах или рабочих станциях, если аномалия не приводит к существенной разнице в сетевом трафике.
Кроме того, NIDS не может дешифровать зашифрованный трафик. Другими словами, она может отслеживать и оценивать угрозы в сети на основании незашифрованного трафика.
Важные инструменты для
Ссылка скрыта от гостей
Примеры сети IDS:
Ссылка скрыта от гостей
Решение о том, где вы хотите разместить датчики, зависит от того, что вы хотите определить. Например, датчик на стороне Интернета брандмауэра будет видеть весь трафик.
Тем не менее, датчик на внутренней стороне брандмауэра будет видеть только трафик, проходящий через сам брандмауэр. Другими словами, брандмауэр будет фильтровать некоторые атаки, и внутренний датчик их не увидит.
Если вы хотите увидеть все атаки в вашей сети, установите датчик на стороне Интернета. Если вы хотите увидеть лишь только проходящий трафик, поместите датчики только внутрь. Если вы хотите увидеть оба, соответственно поместите датчик в оба места.
Обнаружение на основе подписи
IDS на основе подписи (также называемые основанными на дефиниции) используют базу данных известных уязвимостей или известные шаблоны атак. Например, для злоумышленника доступны инструменты для запуска атаки SYN flood на сервере, просто вводя IP-адрес системы для атаки.
Инструмент атаки затем подвергает целевую систему флуду с помощью синхронизированных пакетов (synchronize (SYN) packets), но никогда не завершает трехстороннее «рукопожатие» TCP окончательным АСК пакетом. Если атака не заблокирована, она потребляет ресурсы системы и в конечном счете вызывает сбой.
Тем не менее, это известная атака с определенным шаблоном последовательных SYN-пакетов с одного IP на другой IP.
IDS может обнаруживать эти шаблоны, когда база данных сигнатур включает определения атаки. Этот процесс очень похож на тот, который использует антивирусное программное обеспечение для обнаружения вредоносных программ. Вам необходимо регулярно обновлять как сигнатуры IDS, так и антивирусные определения у официального поставщика для защиты от текущих угроз.
Обнаружение на основе аномалии
Обнаружение на основе аномалии (также называемое эвристическим или основанным на поведении) сначала определяет нормальную работу или нормальное поведение. Оно делает это, создавая базовый уровень производительности при нормальных условиях эксплуатации.
IDS обеспечивает непрерывный мониторинг путем постоянного сравнивания текущего состояния сети с базовым уровнем. Когда IDS обнаруживает ненормальную активность, он дает предупреждение, указывающее на потенциальную атаку.
Обнаружение, основанное на аномалии, похоже на работу антивирусного программного обеспечения на основе эвристики. Несмотря на то, что эти методы различны, они проверяют и принимают решения, выходящие за рамки базы данных сигнатур или дефиниций.
Это может быть эффективным при обнаружении эксплойтов нулевого дня. Уязвимость нулевого дня обычно определяется как неизвестная поставщику. Однако при некотором использовании администраторы определяют эксплойт нулевого дня, как тот, на который поставщик не выпустил патч.
Другими словами, поставщик может знать об уязвимости, но не писать, тестировать и не выпускать патчи для того, чтобы закрыть уязвимость. В обоих случаях эта уязвимость существует, а системы не защищены. Если злоумышленники обнаруживают уязвимости, они пытаются их использовать. Однако атака может создавать ненормальный трафик, позволяя системе основанной на аномалии обнаружить её.
Каждый раз, когда администраторы вносят какие-либо существенные изменения в систему или сеть, что приводит к изменению нормального поведения, они должны пересоздать базовый уровень. В противном случае IDS будет постоянно спрашивать вас о том, что на данный момент является нормальным поведением.
Физический (Физический IDS)
Физическое обнаружение вторжений - это акт выявления угроз для физических систем. Физическое обнаружение вторжений чаще всего наблюдается при физическом контроле в ЦРУ. Во многих случаях системы физического обнаружения вторжений также действуют как системы предотвращения (профилактики). Примерами физического обнаружения вторжений являются:
- Охранники
- Камеры безопасности
- Системы контроля доступы (Карты, Биометрия)
- Брандмауэры
- Ловушки
- Датчики движения
Беспроводное обнаружение
IDS беспроводной локальной сети (wireless local area network (WLAN)) аналогичен NIDS, поскольку он может анализировать сетевой трафик. Тем не менее, он также проанализирует трафик, специфичный для беспроводной сети, включая сканирование точек доступа (access points (AP)), фальшивых точек доступа, пользователей за пределами физической области компании и WLAN IDS, встроенных в точки доступа.
WLAN IDS будет использоваться для поддержки WLAN IDS. Многие предыдущие инструменты NIDS будут включать усовершенствования для поддержки анализа беспроводного трафика. Некоторые формы IDPS более зрелые, чем другие, потому что они намного дольше. Сетевые IDPS и некоторые формы IDPS на базе хоста были коммерчески доступны более десяти лет.
Ввиду того, что сети все чаще поддерживают беспроводные технологии в различных локациях, WLAN IDS будет играть все более важную роль в безопасности. Многие предыдущие инструменты NIDS будут включать усовершенствования для поддержки анализа беспроводного трафика. Некоторые формы IDPS более зрелые, чем другие, потому что они использовались намного дольше. IDPS на основе сети и некоторые формы IDPS на основе хоста были коммерчески доступны более десяти лет.
Программное обеспечение для анализа поведения сети представляет собой несколько более новую форму IDPS, которая частично возникла из продуктов, созданных в первую очередь для
Ссылка скрыта от гостей
, и частично из продуктов, разработанных для мониторинга потоков трафика во внутренних сетях.Беспроводные технологии - это относительно новый тип IDPS, разработанный в ответ на популярность беспроводных локальных сетей (WLAN) и растущие угрозы для WLAN и WLAN-клиентов.
Ложноположительные срабатывания против ложноотрицательных
IDS восприимчивы как к ложноположительным срабатываниям, так и к ложноотрицательным. Ложноположительное срабатывание – это предупреждение или тревога по отношению к событию, которое не является угрожающим.
Ложноотрицательное срабатывание - злоумышленник атакует сеть, но система этого не обнаруживает. Нежелательно, но невозможно исключить и то, и другое. Большинство IDS запускают предупреждение или тревогу, когда событие превышает пороговое значение. Рассмотрим классическую атаку SYN flood, где злоумышленник удерживает третью часть «рукопожатия» TCP. Хост отправит пакет SYN, и сервер ответит пакетом SYN / ACK.
Однако вместо того, чтобы завершить «рукопожатие» пакетом АСК, атакующий хост никогда не отправляет АСК, но, напротив, продолжает отправлять еще больше пакетов SYN. Это оставляет сервер с открытыми соединениями, которые, в конечном счете нарушат работу сервера.
Если система получает один SYN пакет без сопутствующего АСК пакета, является ли это атакой или нет? Скорее всего нет. Подобные ситуации могут происходить во время проведения обычных операций.
Ну а если система получает 1,000 SYN пакетов с одного IP адреса менее чем за 60 секунд без сопутствующего АСК пакета, является ли это атакой? Безусловно.
Имея это в виду, администраторы устанавливают порог числа от 1 до 1000, чтобы обозначить или определить атаку. Если администраторы устанавливают его слишком низко, у них будет слишком много ложноположительных срабатываний и высокая рабочая нагрузка, поскольку они проводят время, охотясь на призраков. Если они устанавливают слишком высокий порог, то реальные атаки пройдут, и администраторы не узнают о них. Большинство администраторов хотят знать, находится ли их система под атакой. Это основная цель IDS.
Тем не менее, IDS, который постоянно кричит «Волки! Волки!», Будет проигнорирован, когда настоящие волки начнут атаку.
Важно установить порог достаточно низким, чтобы уменьшить количество ложноположительных срабатываний, но также он должен быть достаточно высоким, чтобы предупреждать о любых действительных атаках. К сожалению, для порога нет идеального числа. Администраторы настраивают пороговые значения в зависимости от ситуации.
Составление отчетов
Отчеты IDS сообщают о событиях, представляющих интерес, на основе их настроек. Все события не являются атаками или актуальными проблемами, но вместо этого они предоставляют отчет, указывающий, является ли событие предупреждением или сигналом тревоги. Администраторы исследуют отчет, чтобы определить, действительно ли это.
Некоторые системы рассматривают тревогу и предупреждение как одно и то же. Другие системы используют тревогу для потенциально серьезной проблемы, а предупреждение – для относительно небольшой проблемы. Цель этих последних систем - побудить администраторов уделять больше внимания тревогам, чем предупреждениям.
Фактический механизм отчетности варьируется от системы к системе и отличается в разных организациях. Например, один IDS может записать событие в журнал в качестве сигнала тревоги или предупреждения, а затем отправить электронное письмо на учетную запись администратора.
В крупном сетевом операционном центре (NOC) IDS может отправить предупреждение на монитор, который легко просматривается всем персоналом в NOC.
IDS реакции
IDS будет реагировать только после обнаружения атаки, а ответ может быть пассивным или активным. Пассивный ответ в основном состоит из журнала и уведомления персонала, тогда как активный ответ изменяет среду для блокировки атаки:
Пассивный IDS.
Пассивный IDS регистрирует атаку, а также может оповестить кого-нибудь об этом.
По умолчанию большинство IDS являются пассивными. Уведомление может быть представлено во многих формах, включая электронную почту, текстовое сообщение, всплывающее окно или уведомление на центральном мониторе.
Активный IDS.
Активный IDS протоколирует и уведомляют персонал таким же образом, как и пассивный IDS, но он также может изменять среду, чтобы помешать или заблокировать атаку. Например, он может модифицировать списки управления доступом (ACL) на брандмауэрах, чтобы заблокировать нарушение трафика, закрыть процессы в системе, которые были вызваны атакой, или переадресовать атаку на безопасную среду, такую как honeypot или honeynet.
Размещение датчиков для сети IDS
Если вы развертываете сеть IDS, вы должны заранее решить, где разместить датчики мониторинга. Это будет зависеть от того, какое вторжение или какую попытку вторжения вы пытаетесь обнаружить. Начните с создания подробной сетевой диаграммы, если у вас ее еще нет.
Сетевая диаграмма может быть бесценной для планирования IDS. При просмотре диаграммы оценивайте ключевые узлы сети или совокупность систем, чувствительных к бизнес-операциям. Хорошо подготовленная диаграмма может предоставить внутренние подсказки для выбора правильного места для датчиков IDS.
Если IDS собирается мониторить веб-сервер для проникновения, то наиболее полезная позиция для датчика будет находиться на сегменте DMZ с веб-сервером. Это предполагает, конечно, что ваш веб-сервер находится в сегменте DMZ, а не снаружи или внутри брандмауэра (хотя ни один из вариантов не является особенно хорошей идеей).
Если злоумышленники взламывают сервер, IDS имеет наилучшие шансы обнаружить либо первоначальное проникновение, либо результаты и последствия от взлома хоста.
Если IDS будет отслеживать вторжения, ориентированные на внутренние серверы, такие как DNS-серверы или почтовые серверы, лучшее место для датчика находится только внутри брандмауэра на сегменте, который подключает брандмауэр к внутренней сети.
Логика этого заключается в том, что брандмауэр предотвратит подавляющее большинство атак, направленных на организацию, и что регулярный мониторинг журналов брандмауэра определит их. IDS на внутреннем сегменте обнаружит некоторые из этих атак, которым удается пройти через брандмауэр. Это называется «глубокая защита» (defense in depth).
Интеграция хоста для хоста IDS
Если вы планируете использовать систему на базе хоста, у вас должен быть соответствующий этап тестирования и ознакомления. Это позволяет операторам и аналитикам ознакомиться с работой этого конкретного программного обеспечения.
IDS должен быть установлен в системе разработки задолго до запланированной установки на производственной системе. Даже в статической системе некоторые файлы будут регулярно меняться (например, файлы проверки), поэтому IDS сообщит о некоторых изменениях.
Некоторые системы на базе хоста, в качестве дополнительного примера, будут сообщать, когда пользовательский процесс изменяет файл системного пароля. Это произойдет, если злоумышленник добавит учетную запись.
Это также происходит, когда пользователь меняет свой пароль. Аналитику IDS нужно время, чтобы ознакомиться с правильной работой каждой системы, чтобы он или она могли правильно диагностировать отклонения от «стандартных» аварийных сигналов.
Имейте в виду, что при использовании системы на базе хоста необходимо регулярно отслеживать ее. Это означает, что вы должны делать это, по крайней мере, два раза в день. Если злоумышленник имеет доступ к системе в качестве суперпользователя, он или она может изменить IDS или базу данных IDS для подавления аварийных сигналов.
Если IDS записывает в файл, злоумышленник может просто редактировать выходной файл. Другими словами, всегда обращайте должное внимание на ситуации, когда что-то изменило конфигурацию IDS.
Настройка уровней тревоги
IDS поставляются с настраиваемыми уровнями тревоги. Некоторые из них будут интегрированы со станциями управления сетью, некоторые из них позволяют страничную подкачку файлов, некоторые отправляют электронную почту, а некоторые могут взаимодействовать с брандмауэрами, чтобы отключить весь трафик от сети, вызвавшей атаку.
Будьте очень осторожны в использовании этих функций. Фактически, в течение первого месяца или двух отключите все аварийные сигналы.
Только обратите внимание на системный выход (system output), чтобы узнать, что он обнаруживает. Все IDS имеют, как обсуждалось выше, некоторый уровень ложноположительных срабатываний; этот уровень может достигать 80 или 90 процентов зарегистрированных аварийных сигналов. Вы должны быть знакомы с вашей конкретной системой, прежде чем запускать аварийные сигналы.
Неправильная конфигурация аварийного сигнала или чрезмерно агрессивный ответ на сигналы тревоги могут привести к решению в организации отключить IDS. Ричард Марцинко (Richard Marcinko), бывший служащий спецназа ВМС США, рассказывает о том, что его команда бросала кроликов через заборы в локации, защищенные датчиками движения.
Когда охранная система устала реагировать на сигналы тревоги (только чтобы найти кроликов, жующих на лужайке), команда Марцинко имела возможность пройти через эту область, зная, что тревоги будут проигнорированы.
Хакеры знают, что установки IDS контролируются людьми и что люди имеют человеческие недостатки. Они знают, что если они вызывают тревогу за тревогой, люди, следящие за системой, перестанут обращать на это внимание.
Аналогично, если IDS настроен таким образом, чтобы брандмауэр отклонял весь трафик от «атакующих» сетей, хакеры могут легко использовать это.
Кто-то достаточно мотивированный или злонамеренный может использовать это против организации путем имитации атак от бизнес-партнеров организации или известных сайтов (Yahoo, AltaVista, Amazon, CNN, Microsoft и т. д.), таким образом, чтобы брандмауэр запретил входящий трафик с этих сайтов, включая электронную почту и трафик веб-сайта.
Помните, что IDS не является средством защиты сам по себе, а только инструментом (и довольно неумным).
Планирование интеграции
Устанавливайте один датчик за раз. Не торопите установку, с целью развернуть возможности IDS за короткий промежуток времени. Администраторам и аналитикам требуется определенное количество времени, чтобы ознакомиться с особенностями данной системы или точки сети, и особенности могут варьироваться от точки к точке.
Датчик в DMZ может видеть определенный набор указанных поведений, в то время как датчик во внутренней сети может видеть другой набор поведений с их очень небольшим пересечением.
Крайне важно, чтобы персонал, назначенный для мониторинга IDS, был хорошо знаком с каждым устройством в конфигурации.
Подготовка системы
Решение о размещении IDS в сети довольно ответственное. Машина IDS должна подключаться к порту, который может видеть весь трафик между ЛВС (LAN) и Интернетом.
Это означает либо подключение к зеркальному порту коммутатора, либо сетевому концентратору, расположенному между Интернет-соединением и локальной сетью. Если используется брандмауэр и только один IDS-датчик, датчик следует установить между брандмауэром и локальной сетью по причинам, которые будут рассмотрены ниже.
Выбор типа используемой машины зависит от среды и желаемых данных. Установка Snort IDS может включать в себя одну, несколько или много независимых машин, которые отправляют отчеты на центральный сервер базы данных. Чем быстрее отслеживается соединение и уровень ведения журнала, тем больше возможности машины.
Для краткости в этой статье основное внимание уделяется установке единой автономной IDS на границе сети. Для установки Linux достаточно обычного настольного компьютера, которому уже даже несколько лет. Рассчитывайте на как минимум 256 МБ ОЗУ, жесткий диск емкостью 20 ГБ, процессор на 600 МГц и CD-привод, и на все функции настольных компьютеров, произведенных за последние несколько лет.
Для установки базовой операционной системы Linux необходим компьютер для создания установочного компакт-диска. Windows с установленным
Ссылка скрыта от гостей
(бесплатный ISO для прожигов), вполне себе подойдет. Кроме того, перед установкой Linux необходимо определить сетевые параметры (IP-адрес и т. д.) и сетевое соединение для машины IDS, где в приоритетах должен быть указан Linux.Необходимые приложения
Snort по существу работает над сопоставлением шаблонов, сравнивая пакеты с сигнатурами известных атак. Существует буквально тысячи таких сигнатур.
Подумайте о Snort, как интеллектуальном сниффере: он берет непрерывный след входящего и исходящего интернет-трафика и анализирует трассировку, сравнивая с базой сигнатур в реальном времени. Сделать это вручную было бы невозможно.
Если пакет соответствует шаблону в выбранной сигнатуре, генерируется предупреждение. Анализ предупреждений об угрозе для значащей информации - непростая задача, учитывая объем данных и их необработанный формат подачи.
Поэтому для сбора и обеспечения группового анализа данных необходим правильный метод.
В этом примере MySQL используется как приложение базы данных, но Microsoft SQL Server или Oracle могут использоваться также для базы данных предупреждений. В то время как заполнение хорошо отформатированной базы данных с информацией Snort необходимо для классификации информации, как и для анализа сниффера, не стоит забывать, что процесс анализа такой базы данных является трудоемким.
Здесь BASE вступает в игру. Это веб-интерфейс для базы данных, в которой представлены Snort данные предупреждения Snort. Он предоставляет информацию, которую администратор сети или безопасности должен использовать для определения угроз и принять меры для их уменьшения или устранения.
Другие необходимые приложения поддержки включают веб-сервер
Ссылка скрыта от гостей
, компилятор
Ссылка скрыта от гостей
и язык сценариев
Ссылка скрыта от гостей
HTML. Отличное руководство по установке системы Snort / BASE IDS и всех связанных приложений, написанных Патриком Харпером (Patrick Harper) и Ником Оливером (Nick Oliver), доступно в
Ссылка скрыта от гостей
. Другие документы и форумы пользователей доступны на основном веб-сайте Snort.Администрирование IDS
После успешной установки, указывая веб-браузеру на IDS, вы получите окно предупреждений.
Отсюда можно эффективно анализировать данные обнаружения вторжений. BASE предлагает множество инструментов агрегирования и представления данных. Каждое предупреждение может анализироваться отдельно или в качестве группа.
Большинство генерируемых предупреждений составляли ложнонегативные срабатывания, потому что предупреждения были на регулярном трафике, который, возможно, имел нестандартные, но совершенно безобидные характеристики.
Датчик IDS всегда должен находиться между брандмауэром и локальной сетью. Предположим, что предупреждение на рисунке 3 показало действительную атаку. Затем брандмауэр можно настроить на отклонение всего трафика с этого исходного адреса. Никакие новые предупреждения не должны регистрироваться после конфигурации брандмауэра, тем самым эффективно устраняя угрозу.
Движемся вперед
Построение функционального датчика IDS - это только первый шаг. После установки администратор IDS должен потратить значительное количество времени на исследования различного рода предупреждений и возможностей системы.
Никто не начинает серьезные строительные проекты после монтажа и первого запуска стационарной циркулярной пилы, и то же самое можно сказать про Snort/BASE.
По мере возникновения угроз в систему должны быть добавлены правила, которые должны соответствовать сигнатурам этих угроз.
Snort предлагает подписку на доступ к новым правилам за минимальную плату или бесплатный доступ к тем же правилам зарегистрированным пользователям в течение 30 дней после их выпуска в службу подписки.
Ссылка скрыта от гостей
- отличный инструмент для регулярного обновления правил.Кроме того, подписи (сигнатуры) могут создаваться вручную, или параметры пропуска могут быть добавлены к подписям, которые определены для создания изобилия ложнопозитивных срабатываний.
Определение того, действительно ли предупреждения являются стандартным сетевым трафиком или реальной угрозой является реально необходимым, так как было бы глупо блокировать сигнатуру просто потому, что она создает много предупреждений.
Другие инструменты с открытым исходным кодом, такие как
Ссылка скрыта от гостей
,
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
, в сочетании с анализом журнала сервера и сетевого оборудования, могут предоставить данные, необходимые для оптимизации конфигурации IDS.Snort может быть развернут в распределенной среде с централизованным управлением, в которой несколько датчиков отправляют отчеты на один сервер базы данных. В крупных корпоративных сетях это может быть полезно для корреляции событий, а также для простого анализа информации из нескольких точек в сети.
Это вполне нормальная практика развертывать датчики Snort на границах между зонами безопасности в локальной сети, например между административными серверами и локальными пользователями.
Сеть IDS на основе сигнатур - это просто инструмент для обеспечения безопасности вашей компании. Ожидание, что установка IDS (или любого другого средства для обеспечения безопасности), устранит для вас абсолютно все угрозы, является абсолютно несерьезным отношением к безопасности. Однако вникание в мир IDS с открытым исходным кодом является путем, который может обеспечить немедленную и значительную отдачу.
Подведем итог
IDS является неотъемлемой частью хорошей архитектуры сетевой безопасности. У IDS есть свои сильные и слабые стороны, которые необходимо измерять, оценивать и анализировать, прежде чем вы решите развернуть их в своей сети. Изучив и внедрив, в качестве механизма резервного сетевой безопасности IDS, начинаешь понимать, что IDS однозначно стоит инвестиций.
Источник:
Ссылка скрыта от гостей
