[LUGOS-SEC] Re: [LUGOS] IDS

Saso Saso at VSecureIT.net
Fri Jul 2 15:03:18 CEST 2004 

In the message I received, Stojan Rancic writes:

Stojan,

>Novi IDS-i so bazirani na analizi samih protokolov, ki se pretakajo
>cez njih. Prednost je predvsem v tem, da na podlagi nepravilnosti
>protokolov zaznamo tudi do sedaj neznane napade, medtem ko pri
>signature-based detekciji zaznamo le ze znane in obdelane tipe
>napadov. 

Aha, se pravi nekaj v stilu "application layer gatewayev", ce sem prav
prebral te zadeve. A ni to dokaj stara tehnologija potem?

S to razliko, da so ALG spustili skozi le znan dober promet, medtem ko
ta nova tehnologija zaustavi le bolj ali manj znan napad? Torej je ta
nova tehnologija le kopija ze obstojece tehnologije, tokrat prirejene
drugi vrsti varnostnih naprav; namesto pozarnega zidu imamo zdaj IDS.

Glede na to, da je analiza protokolov dokaj intenzivna zadeva, vsaj kar
se tice procesorske moci, kako hitro pa potem delajo ti novi IDS?
Verjetno ne kaj dosti hitreje kot kakih 80-100Mbps, ali pac?

Kako pa ta nova tehnologija dela s protokoli, katerih interno delovanje
ni javno znano, kot je naprimer vecina Microsoftovih protokolov?

>         Obstajajo tudi hibridni sistemi, ki zdruzujejo oba tipa
>(signature-based so hitrejsi, saj je regexp matching enostavno delat),
>tako da lahko zdruzis prednosti obeh svetov.

Ampak, ce je ta nova tehnologija boljsa od stare, t.i. "signature based"
tehnologije, zakaj bi kdo hotel imeti hibridne sisteme?

>> In kaksna je prednost IPS pred IDS?
>
>IPS (intrusion protection systems) poleg same detekcije vdorov tudi
>aktivno posezejo v sam tok podatkov ter na podlagi predefiniranih
>pravil blokirajo  'cuden' promet oz. prozijo ustrezne predefinirane
>akcije. Zadeve ponavadi delujejo v kombinaciji vecih naprav, torej
>IDS, ki prozi pozarni zid, poslje sporocilo o detekciji, itd, lahko pa
>jih zdruzis v eno skatlo, kateri potem reces IPS.

Se pravi, da ti IPS lahko v dolocenih primerih povsem zaustavijo povsem
normalen promet? Kolikor sem prebral, je najvecji problem pri teh
IDS/IPS sistemih lih locevanje med resnicnim napadom in normalnim
prometom, ki slucajno izgleda kot napad, vendar to ni.

Nekako se mi zdi, da ti IPS, ce res delujejo tako, kot imam zdaj
obcutek, niso lih najboljsa resitev.

Hvala za podrobno razlago.

LP,

Saso

More information about the lugos-sec mailing list