[LUGOS-SEC] Re: [LUGOS] IDS
Saso
Saso at VSecureIT.net
Sun Jul 4 08:05:30 CEST 2004
In the message I received, Stojan Rancic writes:
[Se opravicujem za pozne odgovore]
Hojla Stojan,
>> Aha, se pravi nekaj v stilu "application layer gatewayev", ce sem prav
>> prebral te zadeve. A ni to dokaj stara tehnologija potem?
>
>Recimo, za razne vrednosti pojma 'aplikacija' .. Eno so visokonivojski
>(7. ISO nivo) aplikacijski prehodi, ki preverjajo user-level
>protokole ( HTTP,FTP,...), drugo pa preverjanje delovanja protokolov na 3. oz.
> 4.
>nivoju (IP, TCP - opcije v paketih, zastavice,...). Razlika je
>predvsem v tem, da so zadeve sedaj resene v hardveru oz. firmwareu,
>svoj cas so bile pa pretezno v softveru (razni proxyji, ...)
Ah, ampak za take reci (3. in 4. nivo OSI modela) poskrbijo ze razni
'stateful inspection' firewalli, pa tudi routerji ne bodo na slepo
prenasali stvari, ki niso pravilne, ipd. Poleg tega pa se ne spomnim kaj
dosti bugov v TCP/IP skladu za vecino operacijskih sistemov; vsaj ne v
primerjavi s stevilom raznih varnostnih lukenj v razlicnih aplikacijah.
Zakaj bi torej tehnologija, ki je potemtakem slabsa od stare (ALG), bila
kovana v zvezde? Kar se mene tice, sodec po tej razlagi, ki sem jo zdaj
dobil, je ta "korak naprej" v bistvu "dva koraka nazaj".
[snip]
>> Glede na to, da je analiza protokolov dokaj intenzivna zadeva, vsaj kar
>> se tice procesorske moci, kako hitro pa potem delajo ti novi IDS?
>> Verjetno ne kaj dosti hitreje kot kakih 80-100Mbps, ali pac?
>
>Hja dolocene Ciscotove skatle se reklamirajo gigabit-capable .. pri
>strogo dolocenih robnih pogojih seveda (velikost paketov, stevilo
>novih konekcij/sekundo,...) ;) Tu bo verjetno Iztok imel kaj vec za povedati .
Aha, se pravi da je v teoriji gigabit, v praksi pa smo srecni, ce lahko
doseze kakih 60-80Mbps.
>> Kako pa ta nova tehnologija dela s protokoli, katerih interno delovanje
>> ni javno znano, kot je naprimer vecina Microsoftovih protokolov?
>
>Kot receno je tu misljeno predvsem nizjenivojsko analiziranje, in ne
>toliko klasicno application-level filtriranje. Seveda omogocajo tudi
>analizo aplikacijskih protokolov, ampak to ni primarni namen in
>funkcionalnost.
Glede na to, da je vecina varnostnih lukenj v aplikacijah, ne vidim
razloga, da bi kdo analiziral protokole na nizjih nivojih. Kar je
pomembno v (naprimer) TCP paketu ni toliko zaglavje, pac pa samo
sporocilo. In to sporocilo je, kar se tice TCP protokola, 'spanska
vas'. Za take reci je "signature based" tehnologija se vedno dosti
boljsa.
>> Ampak, ce je ta nova tehnologija boljsa od stare, t.i. "signature based"
>> tehnologije, zakaj bi kdo hotel imeti hibridne sisteme?
>
>Ker je vcasih dolocen napad iz vidika protokolov cisto legitimen,
>poznas pa njegov 'podpis' in ga na podlagi tega lovis..
In pridemo do tega, da ta "nova tehnologija" ni tako zelo uporabna, kot
je bilo najprej receno.
>To je zal dejstvo za vse avtomatizirane sisteme, pa ce so to antispam
>mehanizmi, filtri paketov ali pa kaj tretjega.. Zato imas ponavadi
>najprej obdobje ucenja, kjer opazujes promet na zivem omrezju in potem
>na podlagi priporocil vendorja in lastnih opazanj nastavis
>avtomatizirane mehanizme za dejansko blokiranje.
Hmm, kar se vedno pomeni, da se bodo crvi tipa Slammer normalno sirili
naokoli, ker so pac del normalnega delovanja sistema, ce imas MS SQL
bazo kje na 'Netu.
Vedno bolj se mi zdi, da je boljsa resitev, namesto takih avtomaticnih
posegov v delovanje sistema, postavitev pozarnih zidov, ki prepuscajo le
promet, ki je _nujno potreben_ za normalno delovanje.
LP,
Saso
More information about the lugos-sec
mailing list