Dou*_*xem 23 networking security intrusion-detection
这些年来,我尝试了各种基于网络的 IDS 和 IPS 系统,但从未对结果感到满意。要么系统太难管理,只能在基于旧签名的众所周知的漏洞上触发,要么就是对输出过于健谈。
无论如何,我不认为他们为我们的网络提供了真正的保护。在某些情况下,由于丢失有效连接或只是简单的失败,它们是有害的。
在过去的几年里,我确信事情已经发生了变化,那么现在推荐的 IDS 系统是什么?他们是否有有效的启发式方法并且不对合法流量发出警报?
或者,依靠良好的防火墙和加固的主机是否更好?
如果你推荐一个系统,你怎么知道它在做它的工作?
正如一些人在下面的答案中提到的,让我们也得到一些关于主机入侵检测系统的反馈,因为它们与基于网络的 IDS 密切相关。
对于我们当前的设置,我们需要监控两个总带宽为 50mbps 的独立网络。我在这里寻找一些真实世界的反馈,而不是能够执行 IDS 的设备或服务列表。
Kyl*_*yle 13
一个念头;你问“他们值得吗”。我不想给出非技术性的答案,但是如果您的组织需要有一个 IDS 来向监管机构表明您遵守了某些法规或其他法规,即使您发现从技术角度来看该设备没有给出你想要什么,如果他们让你遵守,他们可能根据定义“值得”。
我并不是在暗示“它好不好”,显然做得好的东西比不好的东西更受欢迎;但达到合规性本身就是一个目标。
入侵检测系统是非常宝贵的工具,但需要正确使用它们。如果您将您的 NIDS 视为基于警报的系统,即警报结束,您会感到沮丧(好吧,警报 X 已生成,我现在该怎么办?)。
我建议查看 NSM(网络安全监控)方法,将 NIDS(警报系统)与会话和内容数据混合在一起,以便您可以正确检查任何警报并更好地调整您的 IDS 系统。
*我无法链接,所以只需谷歌taosecurity或NSM
除了基于网络的信息,如果混合使用 HIDS + LIDS(基于日志的入侵检测),您将清楚地了解正在发生的事情。
**另外,不要忘记这些工具并不意味着保护您免受攻击,而是充当安全摄像头(物理比较),以便可以采取适当的事件响应。
几年前,我回顾了几种入侵防御系统。
我想在几个位置和公司网络之间部署一些东西。
该系统旨在提供易于管理和监控的功能(可以将其移交给第二层服务台人员)。还需要自动报警和报告。
我最终选择的系统是 Tipping Point 的 IPS。经过几年的使用,我们仍然喜欢它。我们的实施包括订阅他们的数字疫苗,每周推出漏洞和利用规则。
该系统对于观察正在发生的情况(发出警报但不采取任何行动)以及自动阻止或隔离系统非常有用。
这最终成为一个非常有用的工具,用于定位和隔离受恶意软件感染的计算机,以及阻止带宽占用或与安全策略相关的流量,而无需使用路由器访问控制列表。
http://www.tippingpoint.com/products_ips.html