Enterprise IDS - Implementación y usos

3

Estoy investigando la implementación del IDS de Snort para un entorno empresarial. Este entorno consiste en un NOC que administra varios servidores, principalmente internos pero algunos con conexión a Internet. Hay varias rutas a internet desde el NOC y del servidor, así como varias rutas al DC desde el NOC. Mi pregunta es:

Si el IDS se implementa para monitorear principalmente el tráfico entre redes (un empleado de NOC trae inadvertidamente una computadora comprometida a la red) o para monitorear el tráfico que enfrenta Internet (ataques contra el servidor web).

La mayoría de la red está muy segmentada y con cortafuegos. Las únicas cosas a las que se puede acceder de forma remota desde el exterior son los dispositivos VPN y un clúster de servidores web. Todo lo demás es interno. ¿Es necesario un IDS? ¿Qué tipo de ataques bloquean? Para un servidor web, ¿no tendría más sentido bloquear los puertos en el firewall e implementar un buen firewall de capa de aplicación como ModSec para filtrar la inyección de SQL \ XSS? No creo que se use un IDS para eso

    
pregunta user974896 15.10.2012 - 21:52
fuente

2 respuestas

3

Voy a responder a tus dos preguntas de una manera no específica, pero ten paciencia conmigo.

Su primera pregunta es "Estoy colocando un IDS, ¿qué debo decirle que haga?"

Bueno, lo estás haciendo al revés, pero no te preocupes, esta es una confusión de seguridad común.

Una IDS, como cualquier sistema de seguridad, no es una varita mágica. Usted no solo lo instala y todo es Hunky Dory. Es una herramienta que utiliza para tratar un riesgo específico.

Entonces tienes que comenzar con un análisis de riesgo. Identifique todas las amenazas a las que se enfrenta y las vulnerabilidades en su configuración que esas amenazas podrían usar para dañar sus activos. Esos son los riesgos. Identifique la probabilidad de que ocurran esos riesgos y el daño que podrían causar. Esos son los niveles de riesgo. Ahora puede saber con qué riesgos está satisfecho y cuáles necesita tratar.

Por ejemplo, si decide que " un empleado del CON no lleva inadvertidamente una computadora comprometida a la red " es un riesgo que actualmente se encuentra en un nivel inaceptable, entonces usted se sienta y encuentra una manera de arreglalo. Parte de esa solución podría ser tener un IDS sentado dentro del CON que analice todo el tráfico que pasa. Sin embargo, no todo: es probable que también busques un mejor escaneado de las máquinas antes de que ingresen, mejores procesos para los empleados, etc. Escoges el control en función de qué tan bien reduce el riesgo.

Luego, vuelve a realizar el mismo proceso para " exploits contra el servidor web " y todos los demás riesgos que tu análisis haya encontrado.

La clave es: Identifique y comprenda el riesgo primero, y luego aplique tratamientos para reducirlo.

Su segunda pregunta es "Tengo un perímetro fuerte, ¿necesito una IDS detrás de él?"

Hay un importante principio de seguridad llamado "defensa en profundidad". Básicamente, no confíes en un solo control para protegerte. La capa controla, y piensa en lo que pasa si uno falla.

Claro, tienes un perímetro fuerte y poco va a pasar, y eso es bueno. Pero si algo lo hace, ¿no sería bueno tener un IDS allí que lo vea?

Por supuesto, la pregunta es si vale la pena el gasto. Snort es gratis, claro, pero tu tiempo no lo es. Es algo para lo que debes trabajar, en función del nivel de riesgo: ¿qué posibilidades hay de superar, cuánto daño podría hacer? Tal vez valga la pena, tal vez no. Esa es una decisión comercial pura.

    
respondido por el Graham Hill 16.10.2012 - 12:50
fuente
2

La ubicación del sensor puede ser muy complicada, ya que hay muchas variables que considerar. Como mínimo, debes tener en cuenta

  • Nivel de clasificación del recurso supervisado
  • diseño de red
  • Rendimiento del sistema
  • Tiempo del personal (para administración y análisis)
  • Disponibilidad de recursos

Lanzar todos esos en una licuadora y encenderlos en alto durante unos minutos le dará algunos datos interesantes para comenzar a determinar su implementación. La planificación de la implementación es un proceso multifase y, si bien no están intrínsecamente separados, es beneficioso recordar que son partes diferentes del mismo plan.

Recopilación y planificación de datos

Lo más probable es que lo que querrá hacer es construir una lista de todos los sistemas que desea monitorear, luego calificarlos según la importancia o el riesgo. Eso debería darle una prioridad de qué sistemas realmente necesita estar viendo ahora. En un mundo perfecto, tendríamos un sensor que controla el enlace conectado a todos y cada uno de los sistemas. Sin embargo, sería aterrador costoso, difícil de mantener y ruidoso. En su lugar, hable con su equipo de red y observe detenidamente el diseño de su red. Calcule en el mapa de la red donde viven sus sistemas priorizados y descubra dónde están los puntos de choque. Mira qué hardware tienes disponible para convertir en sensores. En un entorno increíble, podría tener una caja grande con algunas interfaces de 10 Gbps y hacer todo su monitoreo para toda una empresa usando un solo sensor. Sin embargo, lo más probable es que tengas algunos sistemas excedentes que solían usar los secretarios de departamento y necesitarán repartir la carga.

Diseño e implementación de arreglos

Ahora es el momento de pensar detenidamente qué es el umbral de aceptación del riesgo. ¿Qué tan cerca de los datos confidenciales siente que necesita para tener un sensor, y a qué distancia se siente cómodo al colocarlo? En algunos casos, es posible que realmente necesite monitorear el puerto del switch al que un servidor está conectado directamente. En otros casos, basta con colocar un solo sensor en un edificio o piso de enlace ascendente e ignorar cualquier tráfico dentro del conmutador. En otro caso, puede sentir que la duplicación de un puerto específico no es lo suficientemente buena, y en cambio duplicar una VLAN completa.

Carga de trabajo y otras consideraciones

Mientras construye nuestra estrategia de despliegue de su sensor, tenga en cuenta que puede ser muy complicado. Cuando decida dónde colocar sus sensores, asegúrese de tener en cuenta todos los demás problemas que surjan. Por cada sensor que implemente, habrá una sobrecarga de administración para un empleado que realmente mantenga el sistema (aplicar parches, reemplazo de hardware, etc.), una sobrecarga de administración de la aplicación (actualizar firmas, ajustar reglas, asegurarse de que snortd siga funcionando) y tiempo de analista (interpretación) Las alertas y la toma de acción). Dependiendo de su diseño y de cuánto tiempo esté dispuesto a cargar, estos números pueden variar enormemente. Por ejemplo, al usar las herramientas de administración / automatización de configuración correctas, no es tan difícil administrar varias docenas de sensores de snort usando una fracción de un FTE.

Para una divulgación completa, esto se publicó originalmente como respuesta a esta pregunta . No estamos seguros de que valga la pena fusionarlos, pero la respuesta definitivamente también funciona aquí.

    
respondido por el Scott Pack 17.10.2012 - 17:21
fuente

Lea otras preguntas en las etiquetas