E 'abbastanza per un NID

Naviga le tue risposte
3

Sto facendo il mio progetto senior sul sistema di rilevamento delle intrusioni di rete (reti Ethernet) e sto avendo un po 'di problemi nel decidere se ho aggiunto funzionalità sufficienti.

Attualmente il sistema rileva le seguenti cose:

  • Attacchi di avvelenamento da cache ARP
  • Attacchi DOS TCP
  • Attacchi DOS UDP
  • Flood ICMP
  • Scansione porta TCP
  • Scansione porta UDP
  • Violazioni delle policy Web FTP e Telnet saranno presto aggiunte

Comprende le regole Snort e l'utilizzo delle firme Snort disponibili pubblicamente può rilevare l'uso di strumenti di mappatura della rete e molte altre cose.

Quindi la mia domanda è:

Ho confezionato abbastanza funzionalità per il sistema affinché venga chiamato NID di base?

    
posta Yohannis 12.08.2012 - 18:52
fonte

2 risposte

6

Per definizione, questo è un NID. Potrebbe essere o non essere sufficiente per il tuo progetto.

Ciò che è forse più importante per un mondo reale NIDS è come viene aggiornato, come viene sintonizzato, come viene gestito, come si relazionano su eccezioni o avvisi ecc. Qualsiasi delle seguenti azioni potrebbe essere utile in un NIDS.

  • Aggiornamenti - l'utilizzo delle firme Snort è utile. Esiste una capacità euristica / di apprendimento
  • Tuning - come si allena il sistema e tenerlo aggiornato quando la topografia o l'utilizzo della rete cambiano?
  • Gestione - è questa autonoma o parte di un array?
  • Rapporti: avvisi su soglie, probabilità o solo su una corrispondenza di firma
  • Registrazione: cosa accedi e dove? Funzionalità del server Syslog?
risposta data 12.08.2012 - 19:39
fonte
3

Se vuoi confrontare il set di funzionalità del tuo NIDS, ti suggerisco di guardare Security Onion , è una fantastica distribuzione Linux per IDS (Intrusion Detection) e NSM (Network Security Monitoring). Attualmente è a 32 bit e basato su Xubuntu 10.04 e contiene Snort, Suricata, Sguil, Squert, Snorby, Bro, NetworkMiner, Xplico e molti altri strumenti di sicurezza. Consiglio di provare

IMHO, perché un dispositivo NIDS sia utile, deve essere un NSM. Molti NID hanno fallito perché sono stati semplicemente installati a causa di qualche regolamento, richiesta di conformità o raccomandazione da un consulente Big-4 (non dissentire da tutti i consulenti Big-4, alcuni sono eccellenti come Rory ... questo è avvenuto regolarmente) e il personale interno che gestiva il dispositivo NIDS potrebbe a malapena scrivere TCP / IP. Devi pensare all'usabilità:

  • facilità d'uso
  • facilità di installazione
  • facilità di comprensione
  • facilità di trasformare gli avvisi in qualcosa di comprensibile da parte della direzione

Security Onion è una bestia complessa che è in giro da 3 anni (credo) quindi è lontana dalla linea di base, ma guardala e prendi le caratteristiche pre-requisito. Vale anche la pena installare per vedere come Doug ha implementato la sua soluzione. È stato attivamente utilizzato in ambienti molto grandi, quindi è decisamente rilevante per il tuo progetto.

Sta andando sotto una ricostruzione completa a x64 come un fyi.

Il wiki è qui e alcune presentazioni qui .

Questo è in aggiunta agli eccellenti commenti di @RoryAlsop.

Disclaimer: cerco di aiutare (Doug & Scott) su Security Onion.

    
risposta data 13.08.2012 - 12:45
fonte

Leggi altre domande sui tag

Domini C & C usati da Troia Flame / Skywiper Esiste un IDS basato su schemi di processo?