Re: IDS Vs Firewall,

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2003 ml@sikurezza.org
Soggetto: Re: IDS Vs Firewall,
Mittente: Filo
Data: 2 Jul 2003 11:54:22 -0000

> Non fare passare richieste http piu' lunghe di X byte, ricercare una serie
> di pattern di worm e attacchi conosciuti all'interno di richieste http e
> simili rappresenta un enorme passo avanti nella protezione delle
> infrastrutture ma un oggetto pensato per routare pacchetti ip non potra'
> mai sostituirsi al NIDS per numero e qualita' di attacchi rilevabili.

Fabio, vorrei puntarti a questa URL

www.ee.ucla.edu/faculty/papers/ billms_FPL2002_sept02.pdf

Secondo me la deep traffic inspection non è assolutamente impensabile, c'è più 
di una azienda che si sta muovendo in quella direzione, mentre i big player 
stanno cercando di integrare queste stesse funzionalità nei loro prodotti 
software, ma con un sicuro e deciso impatto sulle performance.

Il fatto che un firewall possa ispezionare il traffico e applicare criteri 
oltre il layer4 con sufficiente efficienza è abbastanza diffiicile da 
accettare, se pensiamo alle architetture attuali in cui c'e' posto per il 
firewall, l'IDS, l'antivirus eccetera, ma ecco che un prodotto che è 
veramente in grado di ispezionare tutti i layer può diventare tanto versatile 
da poter lavorare come firewall, IDS, AV.

I meccanismi di sintesi in ASIC permettono oggi di agire sul traffico con 
velocità e latenze impensabili fino a quattro-cinque anni fa. Dai un'occhiata 
ai siti dei produttori considerati "visionary" nel Gartner diagram in cui si 
parla proprio in questo topic. 

La paura del false positive fa parte del gioco. Ma è chiaro che l'IDS pensato 
come lo è oggi non è sufficiente. La risposta sta secondo me in meccanismi di 
IDP che possano droppare il traffico indubbiamente malicious (flood, abusi 
sui comandi di protocollo) combinati con IDS inline che aiutino a segnalarli.
In più, sarebbe interessante la possibilità di definire cusom signature da 
droppare in caso ci siano attacchi specifici che toccano i miei applicativi.

Semmai non dobbiamo farci ingannare da questa nuova possibilità come una 
panacea per risolvere TUTTI i problemi di security sul gateway. Tutte le 
tecnologie di security, vecchie e nuove,  hanno delle peculiarità che sono 
spesso irrinunciabili, percui sta ai progettisti creare le combinazioni 
ideali per la sicurezza dell'infrastruttura di rete.

> Certo, una fetta di mercato si sentira' sicuramente appagata al 100%
> dall'intrusion protection, ma chi fa' security seriamente non penso che
> fara' ragionamenti limitativi come "tanto ci pensa il firewall" nel
> progettare infrastrutture di sicurezza.

Esattamente.

>
> Fabio Pietrosanti ( naif )
> E-mail: fabio@xxxxxxxxxxxxxx - naif@xxxxxxxxxxxxx
> PGP Key available on my homepage: http://fabio.pietrosanti.it/
> --
> And you will learn to be paranoid and cynical...
> --
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: IDS Vs Firewall,, Fabio Pietrosanti (naif)

Data:
- precedente: R: [Problema] Win2K e Loacl Security Policy, Daniele Rigoldi
- successivo: Ma le aziende cosa continuano a combinare ???? :D, Igor Falcomata'
- indice

Argomento:
- precedente: Re: IDS Vs Firewall,, Fabio Pietrosanti (naif)
- successivo: Re: IDS Vs Firewall,, Gabriele Buratti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005