Назад | Перейти на главную страницу

Подписи с отслеживанием состояния в IPS

Я исследую встроенные IPS-устройства и их сигнатуры как с сохранением состояния, так и без него. Тестовая сеть, в которой я хочу реализовать IPS, имеет асимметричный трафик, поэтому проверка состояния будет практически невозможна. Какой процент угроз можно уменьшить только с помощью проверки с отслеживанием состояния?

Если бы я отключил проверку состояния на IPS, каким угрозам я оставил бы тестовую сеть открытой?

Обычно проверка пакетов с отслеживанием состояния является отраслевым стандартом сетевой безопасности для предотвращения злонамеренного поведения злоумышленников. Поскольку вы используете асимметричную сеть, в которой пакеты могут входить и выходить в разных сегментах сети, ваша IPS, вероятно, не может поддерживать состояние для всех транзакций, очень вероятно, что атаки не будут идентифицированы и смогут продолжить свой путь к доставить свой груз до места назначения. Так что, по сути, это будет скорее пластырь, чем исправление с множеством ложных надежд.

Поскольку проверки с отслеживанием состояния не только проверяют информацию заголовка, они также проверяют все содержимое пакета (вплоть до уровня приложения), они определяют дополнительный контекст пакета, помимо информации об источнике и получателе. В большинстве случаев проверка с отслеживанием состояния также отслеживает состояние соединения и компилирует историческую информацию в таблице состояний / сеансов. В результате решения динамической фильтрации могут быть расширены за пределы обычных правил, определенных администратором, которые просто блокируют известные IP-адреса или порты TCP (как при статической фильтрации пакетов), чтобы учесть контекст пакета, который был установлен пакетами, которые ранее прошли через IPS.

Без включенной проверки состояния вы в основном выполняете обычную блокировку брандмауэра и оставляете большую часть вашего трафика без контроля. Я не уверен, в какой временной шкале вы находитесь, но я бы установил блок IDS в вашей сети, подключил его к вашему главному коммутатору через зеркальный порт на несколько недель, чтобы сначала понять, как и кто вы выявить предполагаемые угрозы безопасности, а затем спланировать действия.

Мы используем Snorby или Security Onion в нашей сети, и он очень хорошо работает для выявления потенциальных угроз. Я даже настроил его для отправки мне по электронной почте еженощных отчетов за предыдущие дни, где он выявляет, какие локальные IP-адреса имеют наиболее подозрительный трафик и какие подписи они поражают. Затем мы можем выполнить резервное копирование и исследовать, являются ли совпадения сигнатур действительными или ложными. Затем работайте над устранением проблемы.

надеюсь, это поможет