Re: Ids Vs ips

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2004 ml@sikurezza.org
Soggetto: Re: Ids Vs ips
Mittente: Fabio Pietrosanti (naif)
Data: 16 Feb 2004 19:00:37 -0000

Oramai tutti i vendor dicono di fare ips, ma ips cosa e'?

a) L'impiego di tecnologie di NIDS inline con i dovuti adattamenti.
b) Una evoluzione delle tecnologie di statefull inspection verso i piani
   alti della pila iso/osi con spruzzate di intrusion detection.
c) Un modo di vendere in modo diverso firewall e ids?

In pratica e' a(iss,snort-inline), b(checkpoint) o c(netscreen) a seconda di chi lo ha implementato .

ISS Proventia-M(www.iss.net)
snort-inline(snort-inline.sf.net)
Checkpoint smart defense (www.checkpoint.com)

Le soluzioni attualmente disponibili soffrono degli stessi problemi di cui si e' straparlato in passato circa l'abilitare funzionalita' di risposta attiva di un ids: Possono crearsi situazioni in cui il traffico "buono" viene riconosciuto come attacco e di conseguenza bloccato.

Mi e' capitato su una realta' con checkpoint e smart defense di dovere disabilitare il check sul cross site scripting e un'altro po' di controlli http che *BLOCCAVANO* l'accesso a un applicativo che, anche se scritto con i piedi, aveva il diritto di funzionare regolarmente.

Un'altro e' il discorso relativo all'impatto sulle performance delle soluzioni IPS. Netscreen dichiara un degrado di performance fino al 70%, con checkpoint ho avuto dei firewall schienati sotto attacco dos a causa di smart defense, Proventia-M introduce gia' di suo un po' di latenza e mi aspetto che sotto attacco non abbia un'ottima reazione.

A mio avviso andare a pasticciare troppo su tutta la pila zinco carbone iso osi richiede una delicatezza che un mercato della sicurezza cosi' aggressivo e competitivo non riesce ad esprimere.

L'utilizzo di funzionalita' di IPS lo vedo, per ora, solo per il concetto di "virtual patch" proposto da ISS(ma applicabile con qualsiasi soluzione IPS), ovvero quando politicamente o tecnicamente non si puo' patchare un servizio di rete e si agisce quindi sul network come workaround.

Saluti

Fabio Pietrosanti

Luke wrote:

Ciao a tutti,
Le differenze tecniche le conosco quindi non è il caso di entrare nel
dettaglio.
Secondo voi quale la soluzione migliore? Qualcuno di voi ha avuto
occasione di provare un ips? Impressoni?
Esistono soluzioni open source basate su moduli nei kernel Linux /
FreeBsd ?

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- RE: Ids Vs ips, Daniele Besana

In risposta a:
- Ids Vs ips, Luke

Data:
- precedente: Re: sicurezza Web Server, Claudio
- successivo: Re: sicurezza Web Server, Michele Albrigo
- indice

Argomento:
- precedente: Re: Ids Vs ips, Aidoru
- successivo: RE: Ids Vs ips, Daniele Besana
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005