Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак II

Recommended Posts

Threat#47

Может быть не в той теме... Но вопрос:

 

В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

Так почитайте матчасть, IPS включает по определению IDS, а вот IDS не включает IPS. IPS функциональнее, может предотвращать вред от атаки, IDS же только детектит, ну это если очень кратко. Вообще, IPSы разные бывают в зависимости от производителя. Думаю, что Symantec делает лучший авто - IPS (который можно спокойно реализовать в домашнем продукте), очень функциональная штука способна на многое: от обнаружения использования 0 day дырок и защиты браузера до детекта исходящей подозрительной нагрузки в ICMP.

В продуктах Symc нет веб-антивируса, IPS своим функционалом частично заменяет веб-антивирус и это хорошо, ведь одна IPS сигнатура имеет очень высокую эффективность и имеет проактивность. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

 

Может быть не в той теме... Но вопрос:

 

В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

Так почитайте матчасть, IPS включает по определению IDS, а вот IDS не включает IPS. IPS функциональнее. 

 

Это я знаю.

 

Просто некоторые производители пишут на сайте или в документации о присутствии IDS, но нечего о IPS.

 

Поэтому был и задан вопрос. Зачем обнаруживать - но при этом не предотвращать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

Может быть не в той теме... Но вопрос:

 

В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

Так почитайте матчасть, IPS включает по определению IDS, а вот IDS не включает IPS. IPS функциональнее. 

 

 

 

Поэтому был и задан вопрос. Зачем обнаруживать - но при этом не предотвращать ?

 

http://netconfig.ru/server/ids-ips/

http://www.altell.ru/solutions/by_technologies/ids/

Инфы навалом. 

Я думаю, что способность блокировки всё таки есть в IDS-ах (старая классификация), просто детектирущий функционал до IPS не дотягивает, вот и пишут, что IDS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Думаю, что Symantec делает лучший авто - IPS (который можно спокойно реализовать в домашнем продукте), очень функциональная штука способна на многое: от обнаружения использования 0 day дырок и защиты браузера до детекта исходящей подозрительной нагрузки в ICMP.

В продуктах Symc нет веб-антивируса, IPS своим функционалом частично заменяет веб-антивирус и это хорошо, ведь одна IPS сигнатура имеет очень высокую эффективность и имеет проактивность.

Очередная реклама Symantec ? На счет лучшего... - это ваше личное мнение, не более.

http://netconfig.ru/server/ids-ips/

http://www.altell.ru/solutions/by_technologies/ids/

Инфы навалом. 

Я думаю, что способность блокировки всё таки есть в IDS-ах (старая классификация), просто детектирущий функционал до IPS не дотягивает, вот и пишут, что IDS. 

 

Ни одна ссылка не ответила на мой вопрос. Тут опять ключевая фраза - "Я думаю"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
 это ваше личное мнение, не более.

 

Вот как? А я не знал, я ведь этого "не писал": "Думаю, что Symantec делает лучший авто - IPS ":lol: Вы лучше вообще мне не пишите про "рекламу", вы судя по всему, ни о каком IPS-е не знаете. Вот спрошу я вас о возможностях IPS-а Symc, какие сигнатуры используются, доп. слои и т.д. - не ответите, верно? Или просто о задачах IPSа и IDSа и почему файера не достаточно. Ну так чего провоцируете людей, как - будто всё знаете? Скромнее надо быть. Вы на форум наверное за индексируемыми ссылками ходите, а не за "мнениями"..."не более".

_______________________________________________________________

Ссылки чётко сказали: "Зачем обнаруживать - но при этом не предотвращать", там это выделено в задачи IDS-а. Плохо читали или вообще не читали. 

________________________________________________________________

Вы так говорите, будто на любые вопросы есть фактические ответы. Тогда каждый человек мог научиться всему. Думать надо уметь, предполагай и догадываться. IDS по факту блокирует активность, ибо тест есть, так? Однако IPS-ом система не называется, так? Значит вывод прост: IDS содержит только сигнатурный подход и имеет лишь базовую функцию точного детектирования - нет других вариантов на мой взгляд.

 

_________________________________________________________________

Почитайте лучше об этом в книге Шаньгина В.Ф. "Защита информация в КСИС", Глава 12. Правда, чёткого ответа на ваш вопрос там не будет, что очевидно. И в любом другом источнике не будет, это известно только производителю IDS-а, ведь он не мог не внедрить с детектором модуль блокировки (смысл IDS в классическом понимании может быть только для продуктов корпоративного сегмента), однако, IPS-ом модуль назван не был, значит, ни детектора по аномалиям, ни детектора по поведению и т.д. там нет. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

  Вы лучше вообще мне не пишите про "рекламу", вы судя по всему, ни о каком IPS-е не знаете. Вот спрошу я вас о возможностях IPS-а Symc, какие сигнатуры используются, доп. слои и т.д. - не ответите, верно? Или просто о задачах IPSа и IDSа и почему файера не достаточно. Ну так чего провоцируете людей, как - будто всё знаете? Скромнее надо быть. Вы на форум наверное за индексируемыми ссылками ходите, а не за "мнениями"..."не более".

Я говорил что все знаю?

 

О "задачах IPSа и IDSа и почему файера не достаточно" - я сам знаю. На счет разных "деталей" IPSа у Symantec - вы правы - я не в курсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

 

 

В большинстве случаев это одно и тоже. Под IDC исторически подразумевается детектирование атак на уровне фаервола. В дальнейшем с развитием противодействия атакам стали называть этот модуль IPS. 

 

Но не стоит путать IPS и HIPS. Если под первым подразумевается противодействие сетевым атакам (в основном обнаружение эксплойтов). То HIPS имеет более широкий функционал и способен защищать от всевозможных видов атак, не обязательно сетевых, так как анализируется поведение в системе в целом. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Но не стоит путать IPS и HIPS. Если под первым подразумевается противодействие сетевым атакам (в основном обнаружение эксплойтов).

Кстати, а почему именно IPS, а не NIPS, коль сетевой уровень? 

 

 

То HIPS имеет более широкий функционал и способен защищать от всевозможных видов атак, не обязательно сетевых, так как анализируется поведение в системе в целом. 

Но сенсоры HIPS-а также слабы против системных уязвимостей. В современных корпоративных решениях проще и даже надёжнее использовать "Контроль запуска приложений", который ориентируется на белый список ПО. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Кстати, а почему именно IPS, а не NIPS, коль сетевой уровень? 

Почему Symc указывает именно IPS теперь понятно, межпрограммный интерфейс, мол NIPS и HIPS (SONAR (SEP 12, Norton), Threat Scan by Whole Security (SEP11)) объединены в сеть взаимодействия (STAR Intelligence Communication Protocol) . Это и есть IPS. Т.е. всё логично, значит, и почему IDS указывается (но не указывается IPS) - тоже есть логика. BitDefender, к примеру, имеет похоже и HIDS и NIDS (судя по настройкам модуля в антивирусе), у них есть возможность блокировки обнаруженной активности, однако, назвали не IPSом - дело не только в блокирующем модуле.

4806b81a801d.jpg

d72f69504197.png 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кстати, а почему именно IPS, а не NIPS, коль сетевой уровень? 

 

Так исторически сложилось. NIPS не используется в качестве аббревиатуры.  Обычно пишут просто IPS, подразумевая сетевой уровень защиты. На самом деле это легко объяснить, так как более 90% атак приходят по сети (в основном с веба). Поэтому и IPS подразумевает в первую очередь защиту именно от сетевых атак.

 

Но сенсоры HIPS-а также слабы против системных уязвимостей. В современных корпоративных решениях проще и даже надёжнее использовать "Контроль запуска приложений", который ориентируется на белый список ПО. 

 

Контроль запуска приложений и белые списки - это части современного HIPS, разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×