1
Implementación de IDS (Intrusion detection system)

Open 2 Respuestas 1 Views
Buenas gente,

                       Bueno la cosa es bastante "simple",  tengo que implementar IDS para una certificación que lo requiere.

Estuve leyendo por ahí y algunos recomiendan por Hard, otros por soft, y luego de eso viene el debate (Suricata, Symantec, Snort, etc).

¿Qué recomiendan por acá?

Saludos

2 Respuestas

1
Hola, la certificación pide solo IDS ?  o también es necesario escaneo de vulnerabilidades, SIEM, discovery, HIDS? Porque el IDS solo no suele ser suficiente o bien todo lo contrario,  genera mucho ruido con falsos positivos o toneladas de logs que luego no son debidamente analizados por nadie. Lo ideal es complementar el ids con otras herramientas, por ejemplo con correlación de eventos, con las politicas de seguridad y auditoría o integrar el registro de los incidentes de seguridad con el monitoreo y el sistema de tickets, etc.

Si lo que necesitás es una solución integral, te recomiendo AlientVault.

Otras herramientas que te podrían interesar:

- OpenVas

- Nessus

- Maltego

 

Saludos,
respondido por rd (1,920 puntos) Jul 15
0
Depende mucho de donde labures, qué tan compleja sea la red, y cómo sea el tráfico de ésta.

Con Snort lo que tenés es que es open source, y podés bajarte algunas reglas de detección. Lo malo es que las gratuitas son sacadas con delay en base a las reglas actualizadas. Lo bueno es que si tenes fierro con unas muy buenas placas de red, podes armarte algo decente.

Suricata lo que tiene como ventaja es que te permite usar las reglas de Snort, y es multithread (Snort no). Lo malo es que algunas cosas de Snort no funcionan tan bien.

 

Después tenés soluciones comerciales, appliances (SourceFire que ahora es de Cisco, por ejemplo). Si tenés un preventa copado o algún conocido que sepa mucho, o vos entendés del tema, es un caño. Lo bueno es que si tenes licencia, tenes actualizaciones. Lo malo es que si no conseguis la guita para comprar un fierro Cisco, estás al horno.

AlienVault está bastante canchero también.

Ojo, dependiendo de la topología y lo que quieras vigilar, necesitas más o menos sensores (una interfaz en cada red), lo cual puede ser algo a tener en cuenta a la hora de comprar un fierro o diseñar una solución.
respondido por kmai (760 puntos) Jul 31
...