[LUGOS-SEC] Re: [LUGOS] IDS
Iztok Umek
iztok at si-con.com
Fri Jul 2 15:49:53 CEST 2004
Saso <Saso at VSecureIT.net> said:
> In the message I received, Stojan Rancic writes:
>
> Stojan,
>
> >Novi IDS-i so bazirani na analizi samih protokolov, ki se pretakajo
> >cez njih. Prednost je predvsem v tem, da na podlagi nepravilnosti
> >protokolov zaznamo tudi do sedaj neznane napade, medtem ko pri
> >signature-based detekciji zaznamo le ze znane in obdelane tipe
> >napadov.
>
> Aha, se pravi nekaj v stilu "application layer gatewayev", ce sem prav
> prebral te zadeve. A ni to dokaj stara tehnologija potem?
Ne, ne. ALG (oz. proxy firewall) je nekaj drugega. Je specificni protokolni
proxy, IDS pa je genericen in dela na vec nivojih TCP/IP stacka.
>
> S to razliko, da so ALG spustili skozi le znan dober promet, medtem ko
> ta nova tehnologija zaustavi le bolj ali manj znan napad? Torej je ta
> nova tehnologija le kopija ze obstojece tehnologije, tokrat prirejene
> drugi vrsti varnostnih naprav; namesto pozarnega zidu imamo zdaj IDS.
Ne, pozarni zid se vedno ostane :)
> Glede na to, da je analiza protokolov dokaj intenzivna zadeva, vsaj kar
> se tice procesorske moci, kako hitro pa potem delajo ti novi IDS?
> Verjetno ne kaj dosti hitreje kot kakih 80-100Mbps, ali pac?
Recimo:
http://documents.iss.net/literature/proventia/ProventiaGSeries_Datasheet.pdf
Od 100 Mbps do 1200 Mbps
> Kako pa ta nova tehnologija dela s protokoli, katerih interno delovanje
> ni javno znano, kot je naprimer vecina Microsoftovih protokolov?
Verjami mi, dobijo dobolj podatkov za ustrezno delovanje. Tudi MS je
zainteresiran za to.
>
> > Obstajajo tudi hibridni sistemi, ki zdruzujejo oba tipa
> >(signature-based so hitrejsi, saj je regexp matching enostavno delat),
> >tako da lahko zdruzis prednosti obeh svetov.
>
> Ampak, ce je ta nova tehnologija boljsa od stare, t.i. "signature based"
> tehnologije, zakaj bi kdo hotel imeti hibridne sisteme?
So dolocene stvari, ki jih anomalije ne morejo pokriti, ker exploit sicer povsem
ustreza protokolu. V takem primeru se pac posluzis vzorca.
> Se pravi, da ti IPS lahko v dolocenih primerih povsem zaustavijo povsem
> normalen promet? Kolikor sem prebral, je najvecji problem pri teh
> IDS/IPS sistemih lih locevanje med resnicnim napadom in normalnim
> prometom, ki slucajno izgleda kot napad, vendar to ni.
Poglej si o konkretnem IPS na
http://documents.iss.net/literature/proventia/ProventiaGSeries_FAQ.pdf
7. Will it ever block legitimate traffic?
Proventia G Series appliances use deep protocol analysis techniques to
understand the
traffic that passes. This allows them to make accurate decisions about what
traffic to allow
and what to block, regardless of whether an attack is already known to exist or
not or whether
that traffic might fool a simpler pattern matching based system. Proventia G
Series
appliances include both detection and prevention integrated in a single,
centrally managed
device so that organizations can easily switch between detection and prevention.
The Proventia G Series can be deployed in three modes of operation: Active for
inline
protection, Passive for monitoring (traditional IDS) and Simulation (inline, but
no blocking).
Administrators can use Simulation mode as a troubleshooting or test tool to
determine what
the appliance would have done had it actually been blocking. This mode helps
ensure users
that the product is not disrupting or blocking legitimate network traffic.
More information about the lugos-sec
mailing list