[LUGOS-SEC] Re: [LUGOS] IDS

Saso Saso at VSecureIT.net
Sun Jul 4 08:05:39 CEST 2004 

In the message I received, Iztok Umek writes:
>Saso <Saso at VSecureIT.net> said:

>> Aha, se pravi nekaj v stilu "application layer gatewayev", ce sem prav
>> prebral te zadeve. A ni to dokaj stara tehnologija potem?
>
>
>Ne, ne. ALG (oz. proxy firewall) je nekaj drugega. Je specificni protokolni
>proxy, IDS pa je genericen in dela na vec nivojih TCP/IP stacka.

ALG prav tako delujejo na vec nivojih, saj blokirajo promet iz
racunalnikov, ki niso avtorizirani za dolocen promet. Ti podatki so
3. in 4. nivo.

>> Glede na to, da je analiza protokolov dokaj intenzivna zadeva, vsaj kar
>> se tice procesorske moci, kako hitro pa potem delajo ti novi IDS?
>> Verjetno ne kaj dosti hitreje kot kakih 80-100Mbps, ali pac?
>
>Recimo:
>http://documents.iss.net/literature/proventia/ProventiaGSeries_Datasheet.pdf
>
>Od 100 Mbps do 1200 Mbps

Teoreticno. Kako pa to deluje v praksi? 

Ce citiram zgoraj navedeni dokument:
   Includes more than 225 default rules out-of-the-box
   that prevent the propagation of hybrid threats, such
   as Sasser, MS Blaster, SQL Slammer, Nimda and
   Code Red 

Kar pomeni, da analiza protokola ni bila dovolj za zaustavitev le-teh
crvov, pac pa so morali uporabiti podpise za le-te crve, a ne?

In se en citat:
Layer Two (bridge-mode) Intrusion Prevention
. Invisible to the monitored network and
  determined attackers
. Separate out-of-band management interface

Kar zveni zelo, zelo znano. A niso take trike uporabljali ze pozarni
zidovi v prejsnjem tisocletju?

>> Kako pa ta nova tehnologija dela s protokoli, katerih interno delovanje
>> ni javno znano, kot je naprimer vecina Microsoftovih protokolov?
>
>Verjami mi, dobijo dobolj podatkov za ustrezno delovanje. Tudi MS je
>zainteresiran za to.

In kako to ves?

>So dolocene stvari, ki jih anomalije ne morejo pokriti, ker exploit sicer povs
>em
>ustreza protokolu. V takem primeru se pac posluzis vzorca.

Aha, kar pomeni, da v prakticnem pogledu tipicno "signature based"
IDS/IPS _enako_ dobro pokriva razlicne izbruhe crvov.


>Poglej si o konkretnem IPS na
>http://documents.iss.net/literature/proventia/ProventiaGSeries_FAQ.pdf

[snip]

Hmm, kaj drugega clovek ne bi pricakoval od proizvajalca opreme, a ne?
Tudi MS je garantiral, da so Windows NT/2000/XP/2003 povsem bug-free.

LP,

Saso

More information about the lugos-sec mailing list