Re: IDS Vs Firewall,

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2003 ml@sikurezza.org
Soggetto: Re: IDS Vs Firewall,
Mittente: Gabriele Buratti
Data: 17 Jul 2003 13:50:49 -0000

beh... proviamo ad analizzare le cose in maniera diversa:

1) una PMI difficilmente si metterà in casa un ids, sia per il costo elevato (ok, sto parlando solo delle soluzioni commerciali), sia perchè non ha la voglia/capacità/risorse per stare dietro a un ids. A questo punto perchè limitarsi all'acquisto di un semplice firewall che si ferma alla stateful inspection quando con la stessa spesa può mettersi in casa una soluzione combinata di firewall+intrusion prevention ?

2) le aziende che necessitano di un livello di sicurezza superiore dovuto alla criticità o complessità dei loro asset informatici possono comunque orientarsi verso una soluzione combinata. La mia visione dell'IDS è comunque quella di un oggetto che mi garantisce l'ultimissimo meccanismo di difesa, e in quanto tale, insostituibile. L'idea che l' IDS risolva tutti i miei problemi di intrusione è completamente sbagliata. Non è vietata da nessuna legge internazionale l'installazione di un apparato firewall+IPS come prima linea di difesa (e di cose ne bloccano questi ...) e subito dietro un IDS che controlla tutte quello che è "scappato" all'IPS. Questo è anche consigliabile vista la diversa natura dei due oggetti: un IPS lavora col concetto di RFC compliancy e protocol analisys, quindi soffre moooolto meno il problema dei falsi positivi e delle perdite di performances. Inoltre la "packet drop" utilizzata dagli IPS non introduce pericolosi meccanismi di cambio dinamico temporizzato di regole del firewall. E' chiaro che gli attacchi "RFC compliant" scappino ad un IPS che utilizza solo protocol analisys: qui la necessità di un IDS pattern based come ultima linea di allarmistica/difesa DIETRO all' IPS (il "tanto ci pensa il firewall+ips" diventa un "vediamo se il firewall+ips ci ha pensato bene"). Ultimo ma non ultimo, una sana protocol analisys fornisce un certo livello di protezione dai nuovi attacchi a partire dal giono 0.

Non credo assolutamente a chi dice sia possibile prendere un IDS pattern based così com' è e mettelo inline per fare prevention.

        Un saluto
        Gabriele

At 09.34 02/07/2003 +0200, you wrote:

> Non fare passare richieste http piu' lunghe di X byte, ricercare una serie
> di pattern di worm e attacchi conosciuti all'interno di richieste http e
> simili rappresenta un enorme passo avanti nella protezione delle
> infrastrutture ma un oggetto pensato per routare pacchetti ip non potra'
> mai sostituirsi al NIDS per numero e qualita' di attacchi rilevabili.

Fabio, vorrei puntarti a questa URL

www.ee.ucla.edu/faculty/papers/ billms_FPL2002_sept02.pdf

Secondo me la deep traffic inspection non è assolutamente impensabile, c'è più di una azienda che si sta muovendo in quella direzione, mentre i big player stanno cercando di integrare queste stesse funzionalità nei loro prodotti software, ma con un sicuro e deciso impatto sulle performance.

Il fatto che un firewall possa ispezionare il traffico e applicare criteri
oltre il layer4 con sufficiente efficienza è abbastanza diffiicile da
accettare, se pensiamo alle architetture attuali in cui c'e' posto per il
firewall, l'IDS, l'antivirus eccetera, ma ecco che un prodotto che è
veramente in grado di ispezionare tutti i layer può diventare tanto versatile
da poter lavorare come firewall, IDS, AV.

I meccanismi di sintesi in ASIC permettono oggi di agire sul traffico con
velocità e latenze impensabili fino a quattro-cinque anni fa. Dai un'occhiata
ai siti dei produttori considerati "visionary" nel Gartner diagram in cui si
parla proprio in questo topic.

La paura del false positive fa parte del gioco. Ma è chiaro che l'IDS pensato
come lo è oggi non è sufficiente. La risposta sta secondo me in meccanismi di
IDP che possano droppare il traffico indubbiamente malicious (flood, abusi
sui comandi di protocollo) combinati con IDS inline che aiutino a segnalarli.
In più, sarebbe interessante la possibilità di definire cusom signature da
droppare in caso ci siano attacchi specifici che toccano i miei applicativi.

Semmai non dobbiamo farci ingannare da questa nuova possibilità come una
panacea per risolvere TUTTI i problemi di security sul gateway. Tutte le
tecnologie di security, vecchie e nuove,  hanno delle peculiarità che sono
spesso irrinunciabili, percui sta ai progettisti creare le combinazioni
ideali per la sicurezza dell'infrastruttura di rete.

> Certo, una fetta di mercato si sentira' sicuramente appagata al 100%
> dall'intrusion protection, ma chi fa' security seriamente non penso che
> fara' ragionamenti limitativi come "tanto ci pensa il firewall" nel
> progettare infrastrutture di sicurezza.

Esattamente.

>
> Fabio Pietrosanti ( naif )
> E-mail: fabio@xxxxxxxxxxxxxx - naif@xxxxxxxxxxxxx
> PGP Key available on my homepage: http://fabio.pietrosanti.it/
> --
> And you will learn to be paranoid and cynical...

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: Helix, giovambattista vieri
- successivo: RE: VPN e Smartcard, marco misitano
- indice

Argomento:
- precedente: Re: IDS Vs Firewall,, Filo
- successivo: Re: Filtri siti web Open Source.- II Parte + domanda, Ing. S. Centineo - AMAP S.p.A.
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005