[LUGOS-SEC] Re: [LUGOS] IDS

Stojan Rancic stojan at aufbix.org
Fri Jul 2 15:46:49 CEST 2004 

Hello Saso,

Friday, July 2, 2004, 3:03:18 PM, you wrote:

> Aha, se pravi nekaj v stilu "application layer gatewayev", ce sem prav
> prebral te zadeve. A ni to dokaj stara tehnologija potem?

Recimo, za razne vrednosti pojma 'aplikacija' .. Eno so visokonivojski
(7. ISO nivo) aplikacijski prehodi, ki preverjajo user-level
protokole ( HTTP,FTP,...), drugo pa preverjanje delovanja protokolov na 3. oz. 4.
nivoju (IP, TCP - opcije v paketih, zastavice,...). Razlika je
predvsem v tem, da so zadeve sedaj resene v hardveru oz. firmwareu,
svoj cas so bile pa pretezno v softveru (razni proxyji, ...)

> S to razliko, da so ALG spustili skozi le znan dober promet, medtem ko
> ta nova tehnologija zaustavi le bolj ali manj znan napad? Torej je ta
> nova tehnologija le kopija ze obstojece tehnologije, tokrat prirejene
> drugi vrsti varnostnih naprav;

Naceloma, ampak malce prevec poenostavljas stvari :) Glej zgoraj
bistvene razlike..

>  namesto pozarnega zidu imamo zdaj IDS.

Pozarnega zidu in IDS-a ne mores ravno primerjat.. IDS kot tak ni
aktiven del del varnostnega sistema, temvec belezi dogajanje, in
potencialno aktivira senzorje, lahko tudi sporoci pozarnemu zidu, naj
blokira dolocen promet oz. zacne izvajati kaksne QoS mehanizme oz.
rate-limiting na dolocenem tipu prometa..

> Glede na to, da je analiza protokolov dokaj intenzivna zadeva, vsaj kar
> se tice procesorske moci, kako hitro pa potem delajo ti novi IDS?
> Verjetno ne kaj dosti hitreje kot kakih 80-100Mbps, ali pac?

Hja dolocene Ciscotove skatle se reklamirajo gigabit-capable .. pri
strogo dolocenih robnih pogojih seveda (velikost paketov, stevilo
novih konekcij/sekundo,...) ;) Tu bo verjetno Iztok imel kaj vec za povedati .

> Kako pa ta nova tehnologija dela s protokoli, katerih interno delovanje
> ni javno znano, kot je naprimer vecina Microsoftovih protokolov?

Kot receno je tu misljeno predvsem nizjenivojsko analiziranje, in ne
toliko klasicno application-level filtriranje. Seveda omogocajo tudi
analizo aplikacijskih protokolov, ampak to ni primarni namen in
funkcionalnost.

> Ampak, ce je ta nova tehnologija boljsa od stare, t.i. "signature based"
> tehnologije, zakaj bi kdo hotel imeti hibridne sisteme?

Ker je vcasih dolocen napad iz vidika protokolov cisto legitimen,
poznas pa njegov 'podpis' in ga na podlagi tega lovis..

> Se pravi, da ti IPS lahko v dolocenih primerih povsem zaustavijo povsem
> normalen promet? Kolikor sem prebral, je najvecji problem pri teh
> IDS/IPS sistemih lih locevanje med resnicnim napadom in normalnim
> prometom, ki slucajno izgleda kot napad, vendar to ni.

To je zal dejstvo za vse avtomatizirane sisteme, pa ce so to antispam
mehanizmi, filtri paketov ali pa kaj tretjega.. Zato imas ponavadi
najprej obdobje ucenja, kjer opazujes promet na zivem omrezju in potem
na podlagi priporocil vendorja in lastnih opazanj nastavis
avtomatizirane mehanizme za dejansko blokiranje.

-- 
Best regards,
 Stojan                            mailto:stojan at aufbix.org

More information about the lugos-sec mailing list