IDS in combinazione con lo scanner di vulnerabilità

0

Sto pianificando di configurare un ambiente server con elevati requisiti di sicurezza su cui voglio installare un sistema di rilevamento delle intrusioni (snort). Inoltre, penso di eseguire uno scanner di vulnerabilità (OpenVAS) su base regolare (notturno). Le mie preoccupazioni sono se a) questo non renderebbe inutilizzabili i miei rapporti di identificazione durante la scansione e, in caso affermativo,
b) cosa posso fare per impedirlo?
Ho pensato di disabilitare gli id durante le scansioni di vulnerabilità, ma credo che un aggressore intelligente potrebbe considera questi momenti come i momenti perfetti per la scansione non rilevata da solo / in attacco.

    
posta user19426 01.04.2014 - 15:20
fonte

3 risposte

1

Hai un numero di opzioni.

Il primo e più comune è istruire l'IDS a ignorare gli attacchi originati dallo scanner delle vulnerabilità e configurare lo scanner delle vulnerabilità in modo che corrisponda all'IDS.

La seconda soluzione, che richiede molto più lavoro, ma ha molto più valore, è quella di prendere questo come un'opportunità per convalidare il comportamento di entrambi gli strumenti e la rete. Se si analizza il comportamento dello scanner delle vulnerabilità e dell'IDS, si dovrebbe essere in grado di fare una previsione abbastanza precisa sul comportamento dell'IDS in risposta allo scanner delle vulnerabilità. Configura il tuo IDS per registrare gli eventi previsti e per proteggerli dai rapporti o impostarli su una priorità molto bassa. Ad esempio, "Mi aspetto di vedere una scansione delle porte da IP Y tra la data e l'ora T1 e T2 ogni notte che colpisce le porte P1, p2", ecc. "Ciò conferma che entrambi gli strumenti di sicurezza funzionano e dovrebbe aumentare in modo radicale la tua fiducia che la tua rete non è stato penetrato (un avversario vorrebbe disabilitare il tuo IDS e il tuo vuln scanner, l'avversario è molto improbabile che lo faccia in un modo che corrisponda alle tue previsioni). Se il tuo avversario è così buono, non lo hai fatto avere una possibilità in primo luogo.

Da qualche parte ho un modello di gestione delle informazioni / gestione dei rischi / sicurezza delle informazioni. Poiché la tua pratica della sicurezza diventa sempre più sofisticata, dovrebbe permetterti di fare previsioni migliori e migliori sulla tua rete / ambiente.

E ricorda la prima legge di Wallace sulla sicurezza della rete; se non gestisci efficacemente la tua rete, il tuo avversario sarà felice di farlo.

    
risposta data 01.04.2014 - 15:46
fonte
1

Su a) la maggior parte degli ID 'consente l'opzione di bloccare gli indirizzi generando avvisi che rispondono al tuo b).

Credo che l'approccio che stai adottando sia un approccio decente, tuttavia, ho bisogno di un segnale acustico in quanto è MIGLIORE per eseguire la doppia scansione. Dall'esterno del tuo perimetro e dall'interno. Il ragionamento è semplice, la scansione esterna di solito non trova nient'altro che un basso appendere la frutta. Non è qualcosa su cui si dovrebbe fare affidamento come sicuro. Con una scansione INTERNA, vedrai spesso più servizi che potrebbero essere vulnerabili. La maggior parte degli amministratori / ingegneri hanno la tendenza a pensare: "Beh, questo è solo visibilmente internamente, non preoccuparti" che è un approccio orribile. Se non è necessario disabilitalo. Se è necessario per specifiche, quindi creare regole specifiche. Ad esempio, si dispone di un database interno accessibile SOLO a un server Web ... Non è necessario averlo aperto all'intera infrastruttura interna. Ridurre al minimo l'esposizione. Ciò consente la difesa a causa di un compromesso interno (lato client, ecc.)

Gli scanner rilevano SOLO noti noti per la maggior parte del tempo. Non sono il Santo Graal della difesa. La maggior parte degli IDS, IPS 'generano così tanti allarmi, la maggior parte dei quali viene ignorata. Ho trovato che funziona meglio per documentare la rete, documentare i servizi, determinare quali servizi devono avere accesso a chi, cosa, dove e perché. Quindi mi muovo da lì. Ad esempio, "questo database è in uso solo durante l'orario lavorativo ... Pertanto, mi permetta di creare una funzione / script per consentire esclusivamente l'accesso durante tali ore." Analisi del rischio 101. Progettare una rete partendo da zero (dal momento che è già in gioco) è molto più sicura che eseguire lo slapping sui cerotti

    
risposta data 01.04.2014 - 15:52
fonte
1

Se si tratta di un gran numero di ambienti sicuri, non si dovrebbe mai disabilitare il proprio IDS.

Inoltre, se il tuo IDS preleva lo scanner di vulnerabilità: è bello come sai che il tuo IDS funziona e non è stato tamponato.

Consiglierei qualcosa come:  1. Aggiungi il tuo IP (da cui effettuerai la scansione da) a una lista bianca in modo da essere escluso dalle tue regole, quindi esegui la tua scansione vunerable e poi rimuovi il tuo IP dopo la scansione.  2. Rimuovi il tuo IP dalla whitelist e prova a ripetere il test con lo scanner vunerable: si spera che il tuo ID rilevi lo scanner (in questo modo sai che il tuo ID funziona)  3. Rimuovi te stesso dalla lista dei blocchi, se sei entrato nella lista nera. Tornando all'operazione normalmente, previene qualsiasi attacco esterno o è stato aperto a una forma di attacco durante il periodo di scansione.

    
risposta data 01.04.2014 - 16:08
fonte

Leggi altre domande sui tag