IDS

Salve,
Sto analizzando alcuni progetti sull'implementazione di una infrastruttura di 
"security" e a prescindere dalle scelte sui prodotti (FW-1 vs CISCO) su ogni 
progetto mi trovo degli IDS (?) e stranamente non mi trovo citate le politiche 
e quindi alcune delle ACL da impostare eventualmente sul router....

Sino a poco tempo fa si utilizzavano le ACL sul router per definire le regole 
principali di accesso al firewall e di accesso alla DMZ, si curava la sicurezza 
delle macchine in DMZ e per ultimo si configurava il firewall e le sue politiche 
di accesso.

Nel caso che sto analizzando in DMZ c'e' un Web Server (Apache) ed un mail 
relay. il Web server dovra' dialogare in maniera "sicura", possibilmente 
utilizzando la criptografia forte con l'application server che e' nella MZ; il relay 
SMTP deve ridirezionare il traffico verso il mail server sempre nella MZ.
E' mio parere garantire prima la sicurezza degli host da esporre, nel caso la 
porta 80/443 del web server e la 25 del relay SMTP quindi e' necessario 
scegliere accuratamente i SO ed i prodotti da lasciare esposti. 
A cosa serve un IDS tra il router ed il firewall quando cmq chi mi scannera' 
la rete superera' comunque l'IDS e avra' comunque il suo report delle porte 
aperte e potra' in ogni modo mappare la mia DMZ.
A cosa serve un IDS se gia' a livello di router posso bloccare alcune risposte 
ICMP? Posso capire un IDS nella MZ che controlli le richieste indirizzate verso 
l'application server e le seghi se sospette ma prima a cosa mi serve? 
Cosa serve un IDS in DMZ ammesso che mi serva anche a valle del firewall?
Penso che la mente umana e la progettazione siano molto meglio di prodotti 
che a volte non servono a nulla...dove e' che sbaglio?

Tnks..










________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List