web-dev-qa-db-ja.com

IPSのステートフル署名

私はインラインIPSデバイスとそのシグネチャをステートフルとステートレスの両方で調査しています。IPS inに実装しようとしているテストネットワークには、ステートフルな非対称トラフィックがあります検査はほぼ不可能です。ステートフル検査によってのみ軽減できる脅威の割合はどれくらいですか。

IPSのステートフルインスペクションをオフにした場合、テストネットワークを開いたままにしておく脅威は何ですか?

1
SomethingSmithe

通常、ステートフルパケットインスペクションは、悪意のある攻撃者の動作に対処するためのネットワークセキュリティの業界標準です。パケットが異なるネットワークセグメントで出入りできる非対称ネットワークを実行しているため、IPSはおそらくすべてのトランザクションの状態を維持できないため、攻撃が識別されない可能性が高く、ペイロードを目的地に配信し続けることができるので、基本的には、大量の誤った希望を伴う修正というよりは、バンドエイドになります。

ステートフルインスペクションは、ヘッダー情報を調べるだけでなく、パケットコンテンツ全体(アプリケーション層まで)も検査するため、送信元と宛先の情報を超えて、パケットに関するより多くのコンテキストを決定します。ほとんどのステートフルインスペクションは、接続の状態も監視し、状態/セッションテーブルに履歴情報をまとめます。その結果、動的フィルタリングの決定は、既知のIPアドレスまたはTCPポート(静的パケットフィルタリングの場合のように)を単にブロックする一般的な管理者定義のルールを超えて拡張され、パケットのコンテキストを考慮に入れることができます。以前にIPSを通過したパケットによって確立されました。

ステートフルインスペクションをオンにしないと、基本的に通常のファイアウォールブロッキングを実行し、ほとんどのトラフィックを監視しないままにします。現在のタイムラインの種類はわかりませんが、ネットワークにIDSボックスをインストールし、ミラーポートを介してメインスイッチに数週間接続して、どのように、誰があなたであるかを把握します。疑わしいセキュリティの脅威をトップにして、一連のアクションを計画します。

ネットワークではSnorbyまたはSecurityOnionを使用しており、潜在的な脅威を特定するのに非常に効果的です。前日のレポートを毎晩メールで送信するように設定しているので、トラフィックが最も疑われるローカルIPと、それらがヒットしているシグニチャがわかります。次に、署名のヒットが本物か誤検知かをバックアップして調査できます。次に、問題の修正に取り組みます。

これがお役に立てば幸いです

1
J Baron