[LUGOS-SEC] Re: [LUGOS] IDS
Adrijana Perič
adrijana.peric at guest.arnes.si
Fri Jul 2 15:54:10 CEST 2004
On Fri, 2 Jul 2004 13:49:53 -0000
Iztok Umek <iztok at si-con.com> wrote:
>
> Saso <Saso at VSecureIT.net> said:
>
> > In the message I received, Stojan Rancic writes:
> >
> > Stojan,
> >
> > >Novi IDS-i so bazirani na analizi samih protokolov, ki se pretakajo
> > >cez njih. Prednost je predvsem v tem, da na podlagi nepravilnosti
> > >protokolov zaznamo tudi do sedaj neznane napade, medtem ko pri
> > >signature-based detekciji zaznamo le ze znane in obdelane tipe
> > >napadov.
> >
> > Aha, se pravi nekaj v stilu "application layer gatewayev", ce sem prav
> > prebral te zadeve. A ni to dokaj stara tehnologija potem?
>
>
> Ne, ne. ALG (oz. proxy firewall) je nekaj drugega. Je specificni protokolni
> proxy, IDS pa je genericen in dela na vec nivojih TCP/IP stacka.
IDS od ISS podpira : network, transport, sesion, presentation in aplication layer.
>
> >
> > S to razliko, da so ALG spustili skozi le znan dober promet, medtem ko
> > ta nova tehnologija zaustavi le bolj ali manj znan napad? Torej je ta
> > nova tehnologija le kopija ze obstojece tehnologije, tokrat prirejene
> > drugi vrsti varnostnih naprav; namesto pozarnega zidu imamo zdaj IDS.
>
> Ne, pozarni zid se vedno ostane :)
Nii nujno:))))
>
>
> > Glede na to, da je analiza protokolov dokaj intenzivna zadeva, vsaj kar
> > se tice procesorske moci, kako hitro pa potem delajo ti novi IDS?
> > Verjetno ne kaj dosti hitreje kot kakih 80-100Mbps, ali pac?
>
> Recimo:
> http://documents.iss.net/literature/proventia/ProventiaGSeries_Datasheet.pdf
>
> Od 100 Mbps do 1200 Mbps
>
> > Kako pa ta nova tehnologija dela s protokoli, katerih interno delovanje
> > ni javno znano, kot je naprimer vecina Microsoftovih protokolov?
>
> Verjami mi, dobijo dobolj podatkov za ustrezno delovanje. Tudi MS je
> zainteresiran za to.
>
> >
> > > Obstajajo tudi hibridni sistemi, ki zdruzujejo oba tipa
> > >(signature-based so hitrejsi, saj je regexp matching enostavno delat),
> > >tako da lahko zdruzis prednosti obeh svetov.
> >
> > Ampak, ce je ta nova tehnologija boljsa od stare, t.i. "signature based"
> > tehnologije, zakaj bi kdo hotel imeti hibridne sisteme?
>
>
> So dolocene stvari, ki jih anomalije ne morejo pokriti, ker exploit sicer povsem
> ustreza protokolu. V takem primeru se pac posluzis vzorca.
>
>
> > Se pravi, da ti IPS lahko v dolocenih primerih povsem zaustavijo povsem
> > normalen promet? Kolikor sem prebral, je najvecji problem pri teh
> > IDS/IPS sistemih lih locevanje med resnicnim napadom in normalnim
> > prometom, ki slucajno izgleda kot napad, vendar to ni.
>
> Poglej si o konkretnem IPS na
> http://documents.iss.net/literature/proventia/ProventiaGSeries_FAQ.pdf
>
> 7. Will it ever block legitimate traffic?
> Proventia G Series appliances use deep protocol analysis techniques to
> understand the
> traffic that passes. This allows them to make accurate decisions about what
> traffic to allow
> and what to block, regardless of whether an attack is already known to exist or
> not or whether
> that traffic might fool a simpler pattern matching based system. Proventia G
> Series
> appliances include both detection and prevention integrated in a single,
> centrally managed
> device so that organizations can easily switch between detection and prevention.
> The Proventia G Series can be deployed in three modes of operation: Active for
> inline
> protection, Passive for monitoring (traditional IDS) and Simulation (inline, but
> no blocking).
> Administrators can use Simulation mode as a troubleshooting or test tool to
> determine what
> the appliance would have done had it actually been blocking. This mode helps
> ensure users
> that the product is not disrupting or blocking legitimate network traffic.
>
>
>
More information about the lugos-sec
mailing list