Snort gebruik ik wel.. Andere componenten van Sourcefire niet..

IDS vs IPS? IPS werkt (nog) niet goed en is eigenlijk een
marketing idee. Bedenk dat een fatsoenlijke IDS regelmatig
false positives geeft (liever een false positive dan een
false negative). Bedenk dan wat er gebeurd met een IPS..

Hmm , grappig dat je dat zegt. Daarom kijk ik nu ook naar sourcefire, die
RNA module zorgt er juist voor als ik de wijze moet geloven dat die false
positives gaan verdwijnen.
mbt IPS:
Je leest tegenstrijdigheden daaromtrent (ook in publicaties van
onderzoeksbureau's, bijvoorbeel die van NSS)
1. men zet diverse "signatures" uit om idd false negatives in IDP's niet voor
te laten komen, met als nadeel dat er minder gezien wordt.
2. men zegt dat er geen false negatives of false postives bestaan in de
apperatuur omdat men niet volledig met signatures werkt. (voorbeelden
zijn Toplayer en Tippingpoint)

en idd wordt vaak geschreuwt dat het marketing is maar daar ben ik bij
sommige oplossingen toch niet echt zeker van.

Persoonlijk heb ik liever "passive" monitoring. Dan ga ik
zelf eventueel wel actie ondernemen als dat nodig mocht
zijn. Actieve IDS'en (IDS gekoppeld aan een firewall middels
OPSEC) bestaan al heel lang alleen noemen ze dat nu IPS.

Als de veiligheid van je netwerk afhangt van een IPS doe je
iets niet goed lijkt me. Altijd meerdere lagen inbouwen en
zorgen dat alles netjes afgeschermd en gepatched is. Tevens
moet je oppassen met webapplicaties, die moeten ook goed en
veilig geschreven zijn (sql injection, XSS etc..).. Als je
dat allemaal goed voor elkaar hebt is een IPS een beetje
zinloos en loop je alleen maar risico dat "normaal" verkeer
wordt geblokkeerd vanwege een false positive.

Als het budget geen probleem is, een IDS voor de firewall,
een firewall van merk A, door een reverse proxy, nog een
IDS, firewall merk B en dan pas uitkomen op de webserver.

je schrijft veel dingen nu. Het resetten van een firewall (FW-1 bedoel je nu
waarschijnlijk) icm een ids van de opsec alliantie is idd een oud begrip.
Echter hoeft dit weinig te maken te hebben met de IPS-en die nu op de
markt zijn en onafhankelijk van welke FW dan ook opereren.
Webapplicaties is weer een ander verhaal, die apps zijn geschreven met
codes, hiervoor zijn geen patches of what-so-ever beschikbaar. Die zul je
op applicatie niveau moeten beschermen (vaak custom build). en ja
beschermen, als je een scan doet (en ik heb er al vele gezien bij niet de
minste bedrijven) dan komt hier dus vaak uit naar voren dat er nogal wat
kwetsbaarheden in zitten. (SQL injection, cross-site scripting, cookie
poisoning etc etc.) De code herschrijven is vaak ondoenlijk door tijdgebrek
en mankracht. Ook hier is actieve beveiliging noodzakelijk voor de
webapps. De enige goede oplossing hierin is een webapplicatie firewall
zoals Netcontinuum, Teros, sanctum, (pas overgenomen door F5), en dit
heeft niets meer te maken met IDS of IPS. Sterker nog, zoals je eigenlijk
zelf al schrijft: met een goed beveiligde website dmv waterdichte codes of
(mijn woorden) als je een webapplicatie firewall gebruikt die zijn werk
goed doet (positive security model) dan durf ik te beweren dat je in die
omgeving (uitsluitend webapps) geen IPS meer nodig hebt.

Tja, ik denk wel dat ik het met je eens ben dat je met IDS veel kunt
bereiken en misschien wel icm ESM of iets dergelijks.

Volgens mij zitten we aardig op 1 lijn ;-)
Gelukkig worden onze webapplicaties voornamelijk inhouse
ontwikkeld. Men heeft zich dan simpelweg aan een aantal
regels te houden anders nemen wij dat spul niet in productie :)

Code achteraf aanpassen is een ramp inderdaad. Als het
echter van de grond af aan goed wordt gedaan kost het weinig
tot geen extra moeite.. Het lastigste daarvan is de
ontwikkelaars van de noodzaak overtuigen. Helaas kijken een
hoop (web)ontwikkelaars je aan alsof ze water zien branden
als je het over SQL injectie of XSS hebt..

De reverse proxy waar ik het over had kun je zien als de
webapplicatie firewall (al vind ik firewall een verkeerde
term in deze; bij firewall denk ik aan laag 3/4). Het ding
filtert op applicatie niveau en laat eigenlijk alleen de
dingen door die wij toestaan. Hiermee kun je inderdaad
eventuele brakke webapplicaties afschermen...

Wat de meeste managers maar niet lijken de begrijpen is dat
een IDS feitelijk niets toevoegt aan je beveiliging. Het is
wel een heel erg handig hulpmiddel bij het opsporen en
signaleren van problemen (al dan niet malicious). Je hebt
toch meer nodig (firewall logs, weblogs, snifferlogs etc..)
om er achter te komen wat er nu daadwerkelijk gebeurd (was)...

yep, we zitten op 1 lijn.
zijn jullie webapps echt bijna of helemaal waterdicht ja?
Hoe weet je dat?
Als je soms ziet hoeveel lijnen codes erin zitten
(100.000-250.00 voor een redelijke applicatie is niet echt
abnormaal) Knappe jongen die dat waterdicht schrijft onder
tijdsdruk en ook nog alle functionaliteiten erin moeten stoppen.
Loggin en corelatie daarvan wordt idd toch voor veel grote
bedrijven als belangrijk gezien (of zou gezien moeten worden).
Jammer dat er hier niet meer gebruikers zitten die hier
iets over te melden hebben, vind het zeer interessante materie.

Ik heb zelf de code geaudit ;) Dat wil natuurlijk niet
zeggen dat het dan helemaal waterdicht is (ik weet ook niet
alles) maar in combinatie met alle andere maatregelen kan ik
gewoon rustig slapen..

Neem eens contact op met fox-it.com is de reseller van SF in
Nederland.

Goed punt. De razensnelle interventie van ee IPS is zelden
nodig als je een goede infra hebt met preventie en een IDS
met security specialisten 24x7 paraat (dus wel eventueel
outsourced MSM nemen). Als je toch perse zo snel moeten zijn
dat alleen IPS kan moet je misschien toch eens naar je
manier van business doen kijken.

Weet ik, wil eigenlijk end users ervaringen hebben, is vaak
minder gekleurd.

Maar misschien kunnen ze je wel in contact brengen met
gebruikers of een referentiebezoek regelen. Grote gebruikers
zijn o.a. BT en DoD in de UK

Wij gebruiken snort maar ook SF en RNA. Is echt mooi spul,
Beste NIDS op de markt denk ik. Lijkt heel erg op wat
Couterpane en Fox-IT gebruiken in hun MSM diensten. Geen
oplossing voor mensen die alleen maar willen klikken en denk
dan security analist te zijn. Wel komt er volgende maand of
zo een geheel vernieuwde web interface bij.