Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Многоуровневые системы обнаружения вторжения
 
Нет, под IDS понимают именно ОБНАРУЖЕНИЕ, а под IPS - ПРЕДОТВРАЩЕНИЕ. Это разные вещи, т.к. IDS по сути снифер, который только слушает и анализирует по сигнатурам, а IPS включается в разрез и дропает (например) подозрительные пакеты, проходящие через нее. Правда из IDS легко сделать IPS, настроив соответствующие правила в случае обнаружения атак (например, выставление DACL на рутере на атакующий адрес).
А Киска вааще свои IDS в IPS переименовала (новая версия ПО для сенсоров), соответственно, их можно включать в разрез.
 
Да, забыл сказать, статья - фуфло.
 
Цитата
Luka пишет:
 Если вспомнить, что под IDS часто понимают также технологию предотвращения атак


Это двоечники понимают так. IDS И IPS  современном варианте суть одно и тоже для HIDS, но для сетевых систем это два совершенно разных направления.
Одно направлено на контроль периметра (IPS), а второе на контроль локальной сети.
Конечно, если модуль IPS встроен в коммутатор... Но это опять таки - периметр, если вспомнить сколько стоят 6000 и где их ставят. Всю локалку они не контролируют. Только важные куски
 
Опять сотрудники cisco свели всё к одному вендору :D
 
Цитата
idser пишет:
 Правда из IDS легко сделать IPS, настроив соответствующие правила в случае обнаружения атак (например, выставление DACL на рутере на атакующий адрес).

В этом случае ИДС будет корректирующим средством защиты. Атаку то она не предатвратила, а только помогла снизить последствия.

А превентивным будет снорт-инлайн. Но только для этого конкретного провода, куда он "заинлайнен". Периметр в общем :-Р
 
Цитата
idser пишет:
Нет, под IDS понимают именно ОБНАРУЖЕНИЕ, а под IPS - ПРЕДОТВРАЩЕНИЕ.

 Не будем спорить, т.к. каждый понимает то, что он понимает. Замечу только, что буква D в IDS не всегда означает detection, а буква P в IPS - не всегда prevention.

Цитата
idser пишет:
 Это разные вещи, т.к. IDS по сути снифер, который только слушает и анализирует по сигнатурам, а IPS включается в разрез и дропает (например) подозрительные пакеты, проходящие через нее. Правда из IDS легко сделать IPS, настроив соответствующие правила в случае обнаружения атак (например, выставление DACL на рутере на атакующий адрес).

 Вот именно. IDS (где D - это detection) изначально могли только обнаруживать атаки в близком к реальному времени (и далеко не всегда в сетевом трафике). Потом у них появился механизм реагирования в виде TCP Reset или изменения ACL. Это был переход к IPS (где P - это prevention). Потом появились inline IDS, которые позже были переименованы в IPS. Но по-прежнему всю технологию часто называют IDS. Также как под вирусами сейчас все понимают червей и троянцев, которые вирусами никогда не были.

Цитата
idser пишет:
А Киска вааще свои IDS в IPS переименовала (новая версия ПО для сенсоров), соответственно, их можно включать в разрез.

 Это не совсем так. Переименованы только 2 модели - IDS 4235 и IDS 4250. В IPS 4240 и IPS 4255 соответственно.
 
Цитата
Двоечники пишет:
Это двоечники понимают так. IDS И IPS  современном варианте суть одно и тоже для HIDS, но для сетевых систем это два совершенно разных направления.

 Ну двоечникам виднее. Пятерочники давно знают, что на уровне узла, т.е. host-based системы также строятся по разному. HIPS пропускают системные вызовы или трафик через себя, а HIDS контролируют логи.

Цитата
Двоечники пишет:
Конечно, если модуль IPS встроен в коммутатор... Но это опять таки - периметр, если вспомнить сколько стоят 6000 и где их ставят. Всю локалку они не контролируют. Только важные куски

 Вообще-то, если обратить внимание не на стоимость, а на SAFE, то Cat6k ставится в ЯДРЕ сети, т.к. зачастую пропускает весь трафик через себя.
 
Цитата
Dr.Bier пишет:
Опять сотрудники cisco свели всё к одному вендору :D

Самое интересное, что слово Cisco не разу не было произнесено ;-)
 
Цитата
Фигня пишет:
В этом случае ИДС будет корректирующим средством защиты. Атаку то она не предатвратила, а только помогла снизить последствия.

В этом случае атаку вообще предотвратить нельзя. Она реализуется независимо от того, какая система у тебя стоит. Хоть снорт-инлайн.
 
Плохая статья. Не для специалиста и даже не для любителя а для  "паркетного шаркуна"  далекого от реальной работы и из серии покупайте такую ЫДС потому что это прадвинуто.  Никакой конкретики.
 
кг/ам
 
и вправду просто время впустую статья-сакс
 
Цитата
Luka пишет:
 
HIPS пропускают системные вызовы или трафик через себя, а HIDS контролируют логи.

Чистые парсеры логов это конечно хорошо, но так и MOM можно в IDS записать. Но согласитесь - большая часть HIDS сейчас реализует и функции предотвращения?
А коллектор логов обычно стоит не на защищаемом узле а где-то сбоку. И льет их по syslog или там SMB.

Цитата
Luka пишет:
   Вообще-то, если обратить внимание не на стоимость, а на SAFE, то Cat6k ставится в ЯДРЕ сети, т.к. зачастую пропускает весь трафик через себя.

Ходить читать матчасть. Алексей, спросите хоть у Кадера, сколько трафика (% от общего) будет проходить через ЯДРО локалки этак на 1К машинок в котором стоят парочка 6000.
 
Цитата
Luka пишет:
 
В этом случае атаку вообще предотвратить нельзя. Она реализуется независимо от того, какая система у тебя стоит. Хоть снорт-инлайн.

В каком - этом?
Если сетевая систима стоит в разрыве точки периметра она вполне может "не пропускать", тот пакет на который отработала сигнатура.
 
Может просто кто-то написал реферат на тему компьютерной безопасности, и чтоб добро зря не пропадало решил слить его сюда...
 
IDS бывают разные. Бывают пассивные, они просто наблюдают и анализируют. Бывают активные, они еще и пытаются предотвратить атку. Вообще сабжевая статья на ][ заметно получше была ("IDS под микроскопом"). Там Подробнее все говорилось и даже описание софта было.
 
Цитата
Двоечники пишет:
В каком - этом?
Если сетевая систима стоит в разрыве точки периметра она вполне может "не пропускать", тот пакет на который отработала сигнатура.

Читать исходное сообщение. Речь шла о том, что IDS не предотвратила атаку. Но IPS ее тоже не предотвращает. Он ее блокирует. Предотвратить атаку можно только путем отказа от ее реализации/запуска. Если уж на то пошло, то IPS предотвращает ПОСЛЕДСТВИЯ атаки или ущерб от нее.
 
Цитата
Luka пишет:
Предотвратить атаку можно только путем отказа от ее реализации/запуска. Если уж на то пошло, то IPS предотвращает ПОСЛЕДСТВИЯ атаки или ущерб от нее.

Читать матчасть, в том числе книжку Лукацкого  "Обнаружение атак".

что-то типа "Атака это использованием уязвимости для реализации угрозы."
С помошью IPS, как средства защиты мы уязвимость устраняем, соответсвенно атаки становятся пшиком.
Если IPS отбросила "полохой" трафик, то угроза не была реализована и по вашему же определению....
 
Цитата
Luka пишет:
   Если уж на то пошло, то IPS предотвращает ПОСЛЕДСТВИЯ атаки или ущерб от нее.

Это больше к детективным и коррективным контролам относится. Т.е. к IDS.
 
пустословие, как в статье, так и в комментариях =)
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 1)