RE: IDS Vs Firewall,

> articolo di GartnerGroup, 
> http://www.gartner.com/5_about/press_releases/pr11june2003c.jsp

> Un vero problema non riuscire a monitorare
> trasmissioni maggiori di 600Mbits/sec.... 
> Che ne pensate ?

Penso che diversi vendor hanno soluzioni che analizzano true gigabit, e che
SNORT se messo su una macchina sufficientemente carrozzata fa
tranquillamente gigabit, almeno da quello che mi dicono testimonianze
attendibili. 

Sono sostanzialmente d'accordo che l'intrusion detection come tecnologia é
quella che presenta il massimo potenziale di rinnovamento. Mi aspetto nel
breve futuro un qualcosa che sia ibrido fra network based e host based, fra
pattern matching, protocol decode, behaviour based ed anomaly detection. Mi
aspetto qualcosa che sia piu efficace di quello che abbiamo ad oggi, che
comunque ha una sua efficacia entro certi limiti. 

Allo stesso modo non credo che siamo ancora pronti all'intrusion detection
all'interno dei firewalls. Se secondo gartner ad oggi abbiamo difficoltá a
monitorare I 600Mbit/s mi meraviglio che si ipotizzi di muovere questa
funzionalitá nei firewall dimenticandosi dei problemi di performances e
ridondanza; perche l'IDS mi diventa un inline device a questo punto, con
tutti I benefici e difetti che questo comporta.

Per quanto riguarda I problemi dei falsi positivi e negativi, lo vedo
abbastanza bene indirizzato da diverse tecnologie di correlazione ad oggi
esistenti.

Richiedere monitoring e staff 24x7 ? Mi sembra il minimo, e quindi una
affermazione abbastanza gratuita. Non mi aspetto di riuscire ad
automatizzare lo staff che reagisce, e prende decisioni, o per lo meno non
ad automatizzarlo del tutto. Del resto se non ci si é riusciti con il
rilevamento delle intrusioni fisiche nulla mi fa pensare che ci si possa
riuscire con le intrusioni logiche.

Ciao
~mm

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List