Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак II

Recommended Posts

Threat#47

Может быть не в той теме... Но вопрос:

 

В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

Так почитайте матчасть, IPS включает по определению IDS, а вот IDS не включает IPS. IPS функциональнее, может предотвращать вред от атаки, IDS же только детектит, ну это если очень кратко. Вообще, IPSы разные бывают в зависимости от производителя. Думаю, что Symantec делает лучший авто - IPS (который можно спокойно реализовать в домашнем продукте), очень функциональная штука способна на многое: от обнаружения использования 0 day дырок и защиты браузера до детекта исходящей подозрительной нагрузки в ICMP.

В продуктах Symc нет веб-антивируса, IPS своим функционалом частично заменяет веб-антивирус и это хорошо, ведь одна IPS сигнатура имеет очень высокую эффективность и имеет проактивность. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

 

Может быть не в той теме... Но вопрос:

 

В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

Так почитайте матчасть, IPS включает по определению IDS, а вот IDS не включает IPS. IPS функциональнее. 

 

Это я знаю.

 

Просто некоторые производители пишут на сайте или в документации о присутствии IDS, но нечего о IPS.

 

Поэтому был и задан вопрос. Зачем обнаруживать - но при этом не предотвращать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

Может быть не в той теме... Но вопрос:

 

В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

Так почитайте матчасть, IPS включает по определению IDS, а вот IDS не включает IPS. IPS функциональнее. 

 

 

 

Поэтому был и задан вопрос. Зачем обнаруживать - но при этом не предотвращать ?

 

http://netconfig.ru/server/ids-ips/

http://www.altell.ru/solutions/by_technologies/ids/

Инфы навалом. 

Я думаю, что способность блокировки всё таки есть в IDS-ах (старая классификация), просто детектирущий функционал до IPS не дотягивает, вот и пишут, что IDS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Думаю, что Symantec делает лучший авто - IPS (который можно спокойно реализовать в домашнем продукте), очень функциональная штука способна на многое: от обнаружения использования 0 day дырок и защиты браузера до детекта исходящей подозрительной нагрузки в ICMP.

В продуктах Symc нет веб-антивируса, IPS своим функционалом частично заменяет веб-антивирус и это хорошо, ведь одна IPS сигнатура имеет очень высокую эффективность и имеет проактивность.

Очередная реклама Symantec ? На счет лучшего... - это ваше личное мнение, не более.

http://netconfig.ru/server/ids-ips/

http://www.altell.ru/solutions/by_technologies/ids/

Инфы навалом. 

Я думаю, что способность блокировки всё таки есть в IDS-ах (старая классификация), просто детектирущий функционал до IPS не дотягивает, вот и пишут, что IDS. 

 

Ни одна ссылка не ответила на мой вопрос. Тут опять ключевая фраза - "Я думаю"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
 это ваше личное мнение, не более.

 

Вот как? А я не знал, я ведь этого "не писал": "Думаю, что Symantec делает лучший авто - IPS ":lol: Вы лучше вообще мне не пишите про "рекламу", вы судя по всему, ни о каком IPS-е не знаете. Вот спрошу я вас о возможностях IPS-а Symc, какие сигнатуры используются, доп. слои и т.д. - не ответите, верно? Или просто о задачах IPSа и IDSа и почему файера не достаточно. Ну так чего провоцируете людей, как - будто всё знаете? Скромнее надо быть. Вы на форум наверное за индексируемыми ссылками ходите, а не за "мнениями"..."не более".

_______________________________________________________________

Ссылки чётко сказали: "Зачем обнаруживать - но при этом не предотвращать", там это выделено в задачи IDS-а. Плохо читали или вообще не читали. 

________________________________________________________________

Вы так говорите, будто на любые вопросы есть фактические ответы. Тогда каждый человек мог научиться всему. Думать надо уметь, предполагай и догадываться. IDS по факту блокирует активность, ибо тест есть, так? Однако IPS-ом система не называется, так? Значит вывод прост: IDS содержит только сигнатурный подход и имеет лишь базовую функцию точного детектирования - нет других вариантов на мой взгляд.

 

_________________________________________________________________

Почитайте лучше об этом в книге Шаньгина В.Ф. "Защита информация в КСИС", Глава 12. Правда, чёткого ответа на ваш вопрос там не будет, что очевидно. И в любом другом источнике не будет, это известно только производителю IDS-а, ведь он не мог не внедрить с детектором модуль блокировки (смысл IDS в классическом понимании может быть только для продуктов корпоративного сегмента), однако, IPS-ом модуль назван не был, значит, ни детектора по аномалиям, ни детектора по поведению и т.д. там нет. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

  Вы лучше вообще мне не пишите про "рекламу", вы судя по всему, ни о каком IPS-е не знаете. Вот спрошу я вас о возможностях IPS-а Symc, какие сигнатуры используются, доп. слои и т.д. - не ответите, верно? Или просто о задачах IPSа и IDSа и почему файера не достаточно. Ну так чего провоцируете людей, как - будто всё знаете? Скромнее надо быть. Вы на форум наверное за индексируемыми ссылками ходите, а не за "мнениями"..."не более".

Я говорил что все знаю?

 

О "задачах IPSа и IDSа и почему файера не достаточно" - я сам знаю. На счет разных "деталей" IPSа у Symantec - вы правы - я не в курсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В продуктах класса Internet Security, везде где указан IDS (Intrusion Detection System) обязательно есть также IPS (Intrusion Prevention System)?

 

 

В большинстве случаев это одно и тоже. Под IDC исторически подразумевается детектирование атак на уровне фаервола. В дальнейшем с развитием противодействия атакам стали называть этот модуль IPS. 

 

Но не стоит путать IPS и HIPS. Если под первым подразумевается противодействие сетевым атакам (в основном обнаружение эксплойтов). То HIPS имеет более широкий функционал и способен защищать от всевозможных видов атак, не обязательно сетевых, так как анализируется поведение в системе в целом. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Но не стоит путать IPS и HIPS. Если под первым подразумевается противодействие сетевым атакам (в основном обнаружение эксплойтов).

Кстати, а почему именно IPS, а не NIPS, коль сетевой уровень? 

 

 

То HIPS имеет более широкий функционал и способен защищать от всевозможных видов атак, не обязательно сетевых, так как анализируется поведение в системе в целом. 

Но сенсоры HIPS-а также слабы против системных уязвимостей. В современных корпоративных решениях проще и даже надёжнее использовать "Контроль запуска приложений", который ориентируется на белый список ПО. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Кстати, а почему именно IPS, а не NIPS, коль сетевой уровень? 

Почему Symc указывает именно IPS теперь понятно, межпрограммный интерфейс, мол NIPS и HIPS (SONAR (SEP 12, Norton), Threat Scan by Whole Security (SEP11)) объединены в сеть взаимодействия (STAR Intelligence Communication Protocol) . Это и есть IPS. Т.е. всё логично, значит, и почему IDS указывается (но не указывается IPS) - тоже есть логика. BitDefender, к примеру, имеет похоже и HIDS и NIDS (судя по настройкам модуля в антивирусе), у них есть возможность блокировки обнаруженной активности, однако, назвали не IPSом - дело не только в блокирующем модуле.

4806b81a801d.jpg

d72f69504197.png 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кстати, а почему именно IPS, а не NIPS, коль сетевой уровень? 

 

Так исторически сложилось. NIPS не используется в качестве аббревиатуры.  Обычно пишут просто IPS, подразумевая сетевой уровень защиты. На самом деле это легко объяснить, так как более 90% атак приходят по сети (в основном с веба). Поэтому и IPS подразумевает в первую очередь защиту именно от сетевых атак.

 

Но сенсоры HIPS-а также слабы против системных уязвимостей. В современных корпоративных решениях проще и даже надёжнее использовать "Контроль запуска приложений", который ориентируется на белый список ПО. 

 

Контроль запуска приложений и белые списки - это части современного HIPS, разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×