IDS en combinación con un escáner de vulnerabilidades

Navega tus respuestas
0

Estoy planeando configurar un entorno de servidor con altos requisitos de seguridad en el que quiero instalar un sistema de detección de intrusos (snort). Además, pienso en ejecutar un escáner de vulnerabilidades (OpenVAS) de forma regular (todas las noches). Mis preocupaciones son si
a) ¿no haría esto inútiles mis informes de identificación durante la exploración y, de ser así,
? b) ¿Qué puedo hacer para evitar esto?
Pensé en desactivar los identificadores durante los análisis de vulnerabilidad, pero creo que un atacante inteligente podría vea estos momentos como los momentos perfectos para un escaneo no detectado por su cuenta / ataque.

    
pregunta user19426 01.04.2014 - 15:20
fuente

3 respuestas

1

Tienes varias opciones.

Lo primero y más común es instruir al IDS para que ignore los ataques originados en el escáner de vulnerabilidades y configurar el escáner de vulnerabilidades para que se corresponda con el IDS.

La segunda solución, que requiere mucho más trabajo, pero tiene mucho más valor, es tomar esto como una oportunidad para validar el comportamiento de ambas herramientas y de la red. Si analiza el comportamiento del escáner de vulnerabilidades y el IDS, debería poder hacer una predicción bastante precisa sobre el comportamiento del IDS en respuesta al escáner de vulnerabilidades. Configure su IDS para registrar los eventos pronosticados y protegerlos de los informes, o establecerlos en una prioridad muy baja. Por ejemplo, "espero ver un escaneo de puerto desde IP Y entre la marca de tiempo T1 y T2 todas las noches que llegan a los puertos P1, p2", etc. "Eso confirma que ambas herramientas de seguridad están funcionando y debería aumentar radicalmente su confianza en que su red no ha sido penetrado. (Un adversario querrá deshabilitar su IDS y su escáner de vulnerabilidad; es muy poco probable que el adversario lo haga de una manera que coincida con sus predicciones). Si su adversario es tan bueno, no lo hizo. Tengo una oportunidad en primer lugar.

En algún lugar tengo un modelo de gestión de seguridad / gestión de riesgos / seguridad de la información. A medida que su práctica de seguridad se vuelve más y más sofisticada, debería permitirle hacer mejores y mejores predicciones sobre su red / entorno.

Y recuerda la primera ley de seguridad de la red de Wallace; Si no administra su red de manera efectiva, su adversario estará encantado de hacerlo.

    
respondido por el Mark C. Wallace 01.04.2014 - 15:46
fuente
1

En a) la mayoría de los IDS 'permiten la opción de bloquear direcciones para que no generen alertas que respondan a su b).

Creo que el enfoque que está tomando es un enfoque decente, sin embargo, necesito un chime ya que es MEJOR para realizar el escaneo dual. Desde el EXTERIOR de tu perímetro, y desde el interior. El razonamiento es simple, el escaneo externo por lo general no encuentra nada más que la fruta de baja altura. No es algo en lo que uno deba confiar como estar seguro. Con un escaneo INTERNO, a menudo verá más servicios que pueden ser vulnerables. La mayoría de los administradores / ingenieros tienen la tendencia a pensar: "Bueno, esto es solo visiblemente interno para no preocuparse" , que es un enfoque horrible. Si no es necesario deshabilítelo. Si es necesario por detalles, entonces cree reglas específicas. Por ejemplo, tiene una base de datos interna a la que SÓLO se puede acceder desde un servidor web ... No es necesario que esté abierto a toda su infraestructura interna. Minimiza la exposición. Esto permite la defensa debido a un compromiso interno (del lado del cliente, etc.).

Los escáneres detectan SOLAMENTE los datos conocidos la mayor parte del tiempo. No son el santo grial de la defensa. La mayoría de los IDS ', IPS' generan tantas alarmas, la mayoría se ignoran. Descubrí que funciona mejor documentar la red, documentar los servicios, determinar qué servicios necesitan acceso a quién, qué, cuándo, dónde y por qué. Entonces me muevo de allí. Por ejemplo, "esta base de datos solo se usa durante el horario comercial ... Por lo tanto, permítame crear una función / script para permitir el acceso únicamente durante ese horario". Análisis de riesgo 101. Diseñar una red desde cero (ya que está en juego) es mucho más seguro que abofetear en curitas

    
respondido por el munkeyoto 01.04.2014 - 15:52
fuente
1

Si se trata de un entorno tan seguro, nunca debe desactivar su IDS.

Además, si su IDS recoge su escáner de vulnerabilidades, es bueno porque sabe que su IDS está funcionando y no ha sido manipulado indebidamente.

Recomiendo algo como:  1. Agregue su IP (de la cual realizará el escaneo) a una lista blanca para que se le excluya de sus reglas, luego haga su escaneo y luego elimine su IP después del escaneo.  2. Retire su IP de la lista blanca y vuelva a realizar la prueba con su escáner vunerable. Esperamos que su IDS detecte su escáner (de esa manera usted sabe que su IDS está funcionando)  3. Retírese de la lista de bloqueo, si fue incluido en la lista negra. De vuelta a la operación como es normal, esto evita cualquier ataque externo o ha estado abierto a ataques durante su período de exploración.

    
respondido por el Paul 01.04.2014 - 16:08
fuente

Lea otras preguntas en las etiquetas

¿Existe alguna forma 100% segura para la autenticación de formularios y el envío de información desde el lado del cliente al servidor a través de las páginas de Internet? [cerrado] HTTP / HTTPS en el mismo sitio