Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3
RSS
Многоуровневые системы обнаружения вторжения
 
Цитата
Двоечник пишет:
Цитата
Luka пишет:
Предотвратить атаку можно только путем отказа от ее реализации/запуска. Если уж на то пошло, то IPS предотвращает ПОСЛЕДСТВИЯ атаки или ущерб от нее.

Читать матчасть, в том числе книжку Лукацкого  "Обнаружение атак".

что-то типа "Атака это использованием уязвимости для реализации угрозы."
С помошью IPS, как средства защиты мы уязвимость устраняем

Вот именно читать матчасть. Уязвимость IPSом мы не устраняем. Дыру можно устранить руками, сканером или специализированным софтом. А IPS блокирует ФАКТ ИСПОЛЬЗОВАНИЯ уязвимости, т.е. блокирует атаку, но не предотвращает ее. Предотвратить атаку, можно путем блокирования ее источника. А если источник атаки продолжает спокойно существовать, то атаку можно только блокировать/отражать.
 
Цитата
Двоечник пишет:
 
Цитата
Luka пишет:
   Если уж на то пошло, то IPS предотвращает ПОСЛЕДСТВИЯ атаки или ущерб от нее.

Это больше к детективным и коррективным контролам относится. Т.е. к IDS.

Повторюсь еще раз - такие средства защиты, как МСЭ, IPS, content filtering, AV и т.д. не предотвращают атаки, а только блокируют их в процессе реализации/распространения.
 
Цитата
Luka пишет:
Предотвратить атаку, можно путем блокирования ее источника. А если источник атаки продолжает спокойно существовать, то атаку можно только блокировать/отражать.

ОЙ мама, рассмешили. Тогда единственный способ предотвратить атаку - убить всех людей. Все остальные - только блокировка :-)))
 
Да, к стати. А почему это "файрвол на линуксе" не "устраняет источник" через уязвимость lsas если он отфильтровывает соединения к netbios/cifs?
 
Блин, тогда и физическое отключение тоже не предотвращает атаку а только блокирует... Син пакет то полетит!
Как жить в этом мире....
 
Цитата
Двоечник пишет:
Блин, тогда и физическое отключение тоже не предотвращает атаку а только блокирует... Син пакет то полетит!
Как жить в этом мире....

Золотые слова! Если сесть и хорошо подумать, то приходим к следующему поколению средств защиты - средства расследования инцидентов, которые:
1. Могут сделать трассировку до реального источника атаки (после чего дело передается в правильные руки и атаки с этого источника больше не происходят в течение как минимум нескольких лет ;-)
2. Могут реализовать грамотную контратаку, что может предотвратить будущие атаки с этого источника (первый вариант правильнее)
 
Забыл добавить. А текущие средства защиты будут носить только вспомогательную роль. Но до этого нам пока далеко, хотя действия в данном направлении ведутся.
 
Цитата
Luka пишет:
    Ну двоечникам виднее. Пятерочники давно знают, что на уровне узла, т.е. host-based системы также строятся по разному. HIPS пропускают системные вызовы или трафик через себя, а HIDS контролируют логи.

Хм. LIDS (Linux IDS, www.lids.org) вот суть патч к ядру, следовательно "пропускает системные вызовы", и никоим образом не парсит логи, а называется все равно почему-то Intrusion Detection.

Хотя "LIPS" звучало бы прикольно. "Loose LIPS sink ships" :)
 
Цитата
Павлик пишет:
 
Цитата
Luka пишет:
    Ну двоечникам виднее. Пятерочники давно знают, что на уровне узла, т.е. host-based системы также строятся по разному. HIPS пропускают системные вызовы или трафик через себя, а HIDS контролируют логи.

Хм. LIDS (Linux IDS, www.lids.org) вот суть патч к ядру, следовательно "пропускает системные вызовы", и никоим образом не парсит логи, а называется все равно почему-то Intrusion Detection.

А ты читал, что я раньше написал? Я про это и говорю, что многие и IPS и IDS объединяют под последним термином.
 
Luka, слежу за вашим творчеством начиная со статьи
"Как я ломал сеть" , не планируется ли продолжение статьи?
 
Статья напоминает издательство Microsoft Press. Кто прочел хоть одну их книгу по Виндоуз тот поймет: куча воды, а конкретики никакой.
P.S. Пример из книги Windows 98: "..у Win98 сетевая защита стоит на очень высоком уровне, а у Win NT - на высочайшем...". Без комментариев...
 
Цитата
Luka пишет:
 
Цитата
Павлик пишет:
 
Цитата
Luka пишет:
    Ну двоечникам виднее. Пятерочники давно знают, что на уровне узла, т.е. host-based системы также строятся по разному. HIPS пропускают системные вызовы или трафик через себя, а HIDS контролируют логи.

Хм. LIDS (Linux IDS, www.lids.org) вот суть патч к ядру, следовательно "пропускает системные вызовы", и никоим образом не парсит логи, а называется все равно почему-то Intrusion Detection.

А ты читал, что я раньше написал? Я про это и говорю, что многие и IPS и IDS объединяют под последним термином.

То что "многие объединяют" - это так себе аргумент. По-твоему дак получается, что LIDS двоечники писали.  А все потому что продукт свой IDS, а не IPS назвали.

Я все к тому, что есть ли смысл вообще вводить термин IPS, ведь по большому счету функционал "P" там все равно ограничен. На корректные сигнатуры в отдельности, но которые комплексно составляют атаку, он отреагировать не в состоянии. В состоянии обнаружить такие атаки SIMS, но у них с реагированием бяда.
 
Цитата
Павлик пишет:
То что "многие объединяют" - это так себе аргумент.

 Кому как... Терминологию как раз придумывают "многие".

Цитата
Павлик пишет:

Я все к тому, что есть ли смысл вообще вводить термин IPS, ведь по большому счету функционал "P" там все равно ограничен. На корректные сигнатуры в отдельности, но которые комплексно составляют атаку, он отреагировать не в состоянии.

 Ну чтобы отделить IDS от более функциональных систем этот термин и ввели. И комплексные атаки (из нескольких сигнатур) тоже обнаруживают обычные ID&PS и SIMS тут не нужны. Есть решения, в которых встроены механизмы корреляции разных событий в метасобытие более высокого уровня.

Цитата
Павлик пишет:
В состоянии обнаружить такие атаки SIMS, но у них с реагированием бяда.

 Очередное ошибочное мнение. Многие SIMS не могу реагировать, но не значит все. Есть системы, которые и реагировать могут.
 
Цитата
фан_клуб_Лукацкого пишет:
Luka, слежу за вашим творчеством начиная со статьи
"Как я ломал сеть" , не планируется ли продолжение статьи?

Конечно планируется. Завтра смотри на этом сайте. Как раз новое мое творение появится.
 
Абсолютно согласна.

Цитата
Luka пишет:
Видимо автор статьи абсолютно не знаком с темой. Нет такого понятия как mIDS (хотя автор его мог создать самостоятельно). То, что он описывает называется SIMS - Security Information Management Systems или системы корреляции событий безопасности (по русски).
 
Цитата
Luka пишет:
 
Цитата
Павлик пишет:
В состоянии обнаружить такие атаки SIMS, но у них с реагированием бяда.

 Очередное ошибочное мнение. Многие SIMS не могу реагировать, но не значит все. Есть системы, которые и реагировать могут.

Какие например системы корреляции обладают механизмом реагирования? И на какие атаки? Буду признателен за конкретные названия.

Принципиально этот вопрос решаем, я согласен. Проблема в реагировании на комплексные атаки в том, что метаатака варьируется по времени ее реализации, по последовательности действий, по адресам источника и получателя наконец. Механизм реагирования на подобные атаки базируется на применении нейросетей, а данная область пока существует только на модельном уровне.
 
Прикольная статья. Когда дошел до бурения до ядра, в обход коры земли, то аж припух. На таких аналогиях только случку ослов описывать, а не IDS. Мы же технари, точность - НАША ВЕЖЛИВОСТЬ. Как у киллеров :).

По поводу IDS\IPS. Какая нам разница как понимают и что называет IDS всякое недоученное <beeep>? "Intrusion Detection System" это "Система ОБНАРУЖЕНИЯ Атак". Или мы будем идти на поводу у всяких околотрущихся? Так мы тогда скоро скатимся до уровня терминов "хАААроооошая прыграмма, плыыыхая прыыграмма, хыыыыкерская прыыыграмма и антихыыыкерская прыграмма". Никаких IDS и IPS, это все будет "антихыыыкерская прыграмма", а вирусы трояны и прочая обьединим под знаком "плыыыхая прыыграмма".

Давайте не будем подменять понятия. Троян вирусом может назвать какой нибудь далекий от компа юзер, но не нормальный программист. Это уровень ПОСТОРОННЕГО человека, но мы же СПЕЦИАЛИСТЫ в этой области, или как?! У меня друг авиаконструктор, вы думаете они там разговаривают терминами "крылья-морда-хвост"? Только потому что пассажиры так называют? Я с ним так даже не шучу, "там у них другие мерки, не поймут - сьедят живьем" ((с)Высоцкий). Представьте Вам дом будет ложить строитель, который знает только 3 типа стройматериалов: кЯрпич (все что твердое и прямоугольное, от блоков до фундамента, до плитки), бЯтон (все что жидкое и затвердевает, в т.ч. и клей для обоев), жЯлязяка. И так и общаются с коллегами.

Опопсеваемся, господа!!! Скоро уже и не поймем друг друга.
 
Могу сказать, что-то подобное можно реализовать на Liux'е под названием LIDS (Linux Intrusion Detection System)реализованное как патч к ядру. Неплохая кстати штука
Страницы: Пред. 1 2 3
Читают тему