[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2003 ml@sikurezza.org Soggetto: Re: IDS Vs Firewall, Mittente: Fabio Pietrosanti (naif) Data: 1 Jul 2003 12:00:18 -0000
On Wed, Jun 18, 2003 at 11:14:22AM +0200, Andrea Iacopini wrote: > Ciao, > segnalo quest'articolo di GartnerGroup, > http://www.gartner.com/5_about/press_releases/pr11june2003c.jsp . > Brevemente: > ***** > Protecting enterprises from hackers, viruses and other security > vulnerabilities is a primary concern for all IS departments, and many > have relied on intrusion detection systems (IDSs) as a solution. > However, according to the Gartner, Inc. Information Security Hype Cycle, > IDSs have failed to provide value relative to its costs and will be > obsolete by 2005. > ...[cut]... > Intrusion detection systems are a market failure, and vendors are now > hyping intrusion prevention systems, which have also stalled," said > Richard Stiennon, research vice president for Gartner. "Functionality is > moving into firewalls, which will perform deep packet inspection for > content and malicious traffic blocking, as well as antivirus > activities." Molto probabilmente i signori del Gartner Group hanno fatto questa riflessione con il rilascio di Checkpoint Application Intelligence che inizia ad incorporare una serie di tecniche di protezione da attacchi che normalmente potevano essere rilevati solo da NIDS e bloccati solo sfruttando funzionalita' di risposta attiva di quest'ultimi ( vedi RST spoofati o riconfigurazione dinamica di firewall ) . Per quanto ritenga estremamente interessante e utile questa tecnologia non e', e imho non sara' in futuro, assolutamente equiparabile alle funzionalita' di detection offerte da sistemi IDS dedicati. Non fare passare richieste http piu' lunghe di X byte, ricercare una serie di pattern di worm e attacchi conosciuti all'interno di richieste http e simili rappresenta un enorme passo avanti nella protezione delle infrastrutture ma un oggetto pensato per routare pacchetti ip non potra' mai sostituirsi al NIDS per numero e qualita' di attacchi rilevabili. Se un problema critico delle tecnologie di IDS sono i false positive, pensiamo a cosa accadrebbe a una eccessiva integrazione nelle tecnologie di firewalling di funzionalita' di NIDS... Si correrebbero gli stessi rischi dell'implementare un NIDS attivo, ovvero di farsi da soli un denial of service e di solito e' piu' importante la disponibilita' delle risorse che la sua protezione (tranne in ambiti militari). Per questa ragione, nonostante l' "intrusion protection" e' destinato ad evolversi, dubito seriamente che l'intrusion detection diventera' obsoleta come tecnologia. Certo, una fetta di mercato si sentira' sicuramente appagata al 100% dall'intrusion protection, ma chi fa' security seriamente non penso che fara' ragionamenti limitativi come "tanto ci pensa il firewall" nel progettare infrastrutture di sicurezza. Per chi volesse giocare un po' con tecnologie simili esiste hogwash: http://hogwash.sourceforge.net Saluti -- Fabio Pietrosanti ( naif ) E-mail: fabio@xxxxxxxxxxxxxx - naif@xxxxxxxxxxxxx PGP Key available on my homepage: http://fabio.pietrosanti.it/ -- And you will learn to be paranoid and cynical... -- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005