Сигнатуры подписи в IPS

Question

Сигнатуры подписи в IPS

Я исследую встроенные устройства IPS и их сигнатуры как с состоянием, так и без состояния. Тестовая сеть, в которой я собираюсь внедрить IPS, имеет асимметричный трафик, поэтому проверка с учетом состояния будет практически невозможна. Какой процент угроз может быть смягчен только при проверке состояния?

Если бы мне пришлось отключить проверку состояния на IPS, для каких угроз я оставляю тестовую сеть открытой?

1

ids ips

Источник

SomethingSmithe 23 мар '12 в 15:04

1 ответ

Решение

Другие вопросы по тегам ids ips

J Baron 23 мар '12 в 20:24 2012-03-23 20:24 · Accepted Answer · 2012-03-23 20:24

Как правило, проверка пакетов с отслеживанием состояния является отраслевым стандартом сетевой безопасности, предназначенным для устранения действий злоумышленника. Поскольку вы работаете в асимметричной сети, в которой пакеты могут входить и выходить в разных сегментах сети, ваш IPS, вероятно, не сможет поддерживать состояние для всех транзакций, весьма вероятно, что атаки не будут идентифицированы и смогут продолжать свой путь к доставить их полезную нагрузку к месту назначения. Так что в основном это будет скорее пластырь, чем исправление с кучей ложной надежды.

Поскольку проверки с отслеживанием состояния не только проверяют информацию заголовка, они также проверяют весь контент пакета (вплоть до уровня приложения), они определяют больше контекста о пакете, помимо информации об источнике и месте назначения. Большинство проверок с отслеживанием состояния также отслеживает состояние соединения и собирает историческую информацию в таблице состояний / сеансов. В результате решения динамической фильтрации могут быть расширены за пределы типичных правил, определенных администратором, которые просто блокируют известные IP-адреса или порты TCP (как при статической фильтрации пакетов), чтобы учитывать контекст пакета, который был установлен пакетами, которые ранее проходили через IPS.

Без включенной проверки состояния вы в основном выполняете обычную блокировку брандмауэра и оставляете большую часть трафика без присмотра. Я не уверен, какой тип временной шкалы вы используете, но я бы установил IDS-бокс в вашей сети, сначала подключил его к главному коммутатору через зеркальный порт на несколько недель, чтобы понять, как и кто вы Подозреваемые угрозы безопасности, а затем планировать действия.

Мы используем Snorby или Security Onion в нашей сети, и это очень хорошо работает для выявления потенциальных угроз. Я даже настроил его так, чтобы он отправлял мне по ночам отчеты о предыдущих днях, где указывается, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они посещают. Затем мы можем сделать резервную копию и исследовать, являются ли совпадения подписи реальными или ложными срабатываниями. Тогда работайте, чтобы решить проблему.

надеюсь, это поможет