¿Es esto suficiente para un NIDS?

Navega tus respuestas
3

Estoy realizando mi proyecto principal en el sistema de detección de intrusos en la red (redes Ethernet) y tengo algunos problemas para decidir si he agregado suficientes funciones.

Actualmente el sistema detecta lo siguiente:

  • Ataques de envenenamiento ARP Cache
  • ataques TCP DOS
  • Ataques UDP DOS
  • Inundaciones ICMP
  • escaneo de puerto TCP
  • escaneo del puerto UDP
  • Infracciones de la política web FTP y Telnet se agregarán pronto

Comprende las reglas de Snort, y el uso de firmas Snort públicamente disponibles puede detectar el uso de herramientas de mapeo de red y muchas otras cosas.

Así que mi pregunta es:

¿He empaquetado suficientes funciones en el sistema para que se llame NIDS de línea base?

    
pregunta Yohannis 12.08.2012 - 18:52
fuente

2 respuestas

6

Por definición, eso es un NIDS. Eso puede o no ser suficiente para su proyecto.

Lo que posiblemente sea más importante para un NIDS en el mundo real es cómo se actualiza, cómo se ajusta, cómo se administra, cómo se informa sobre excepciones o alertas, etc. Cualquiera de los siguientes sería útil en un NIDS.

  • Actualizaciones: usar firmas Snort es útil. ¿Existe alguna capacidad heurística / de aprendizaje?
  • Ajuste: ¿cómo entrena el sistema y lo mantiene actualizado cuando cambia la topografía de la red o el uso?
  • Administración: ¿es esto independiente o parte de una matriz?
  • Informes: ¿te alerta sobre los umbrales, las probabilidades o solo en una coincidencia de firma?
  • Registro: ¿qué registras y dónde? ¿Funcionalidad del servidor Syslog?
respondido por el Rory Alsop 12.08.2012 - 19:39
fuente
3

Si desea comparar el conjunto de funciones de su NIDS, le sugiero que consulte Security Onion , es una excelente distribución de Linux. para IDS (detección de intrusos) y NSM (monitoreo de seguridad de red). Actualmente es de 32 bits y está basado en Xubuntu 10.04 y contiene Snort, Suricata, Sguil, Squert, Snorby, Bro, NetworkMiner, Xplico y muchas otras herramientas de seguridad. Recomiendo revisar

En mi humilde opinión, para que un dispositivo NIDS sea útil, tiene que ser un NSM. Muchos NIDS fallaron porque simplemente se instalaron debido a alguna regulación, solicitud de cumplimiento o recomendación de un consultor de Big-4 (sin disuadir a todos los consultores de Big-4, algunos son excelentes como Rory ... esto sucedió con frecuencia) y el personal interno que administra el dispositivo NIDS apenas podía deletrear TCP / IP. Tienes que pensar en la usabilidad:

  • facilidad de uso
  • facilidad de instalación
  • facilidad de comprensión
  • facilidad de convertir las alertas en algo comprensible para los humanos por la administración

Security Onion es una bestia compleja que ha existido durante 3 años (creo), por lo que está lejos de la línea de base, pero eche un vistazo y tome las características de los requisitos previos. También vale la pena instalarlo para ver cómo Doug ha implementado su solución. Se ha utilizado activamente en entornos muy grandes, por lo que es definitivamente relevante para su proyecto.

Va bajo una reconstrucción completa a x64 como un fyi.

El wiki es aquí y algunas presentaciones here .

Esto se suma a los excelentes comentarios de @RoryAlsop.

Descargo de responsabilidad: trato de ayudar (Doug & Scott) en Security Onion.

    
respondido por el Mark Hillick 13.08.2012 - 12:45
fuente

Lea otras preguntas en las etiquetas

Dominios C&C utilizados por el troyano Flame / Skywiper ¿Existe una IDS basada en patrones de proceso?