Ids

IPS 中的狀態簽名

  • March 23, 2012

我正在研究線上 IPS 設備及其有狀態和無狀態的簽名。我希望在其中實施 IPS 的測試網路具有不對稱的流量,因此幾乎不可能進行狀態檢查。有多少百分比的威脅只能通過狀態檢查來緩解?

如果我要關閉 IPS 上的狀態檢查,我會讓測試網路面臨哪些威脅?

通常,狀態數據包檢查是網路安全解決惡意攻擊者行為的行業標準。由於您正在執行一個非對稱網路,其中數據包可以在不同的網段上進出,您的 IPS 可能無法維護所有事務的狀態,因此很有可能無法辨識攻擊,並且能夠繼續攻擊將有效載荷運送到目的地。所以基本上,它更像是一種創可貼,而不是用大量虛假希望來解決問題。

由於狀態檢查不僅檢查標頭資訊,還檢查整個數據包內容(向上通過應用程序層),它們可以確定有關數據包的更多上下文,而不是其源和目標資訊。大多數情況下,狀態檢查還監視連接狀態並在狀態/會話表中編譯歷史資訊。因此,動態過濾決策可以擴展到典型的管理員定義的規則之外,這些規則簡單地阻止已知的 IP 地址或 TCP 埠(如在靜態數據包過濾中),以考慮由先前通過的數據包建立的數據包的上下文IPS。

如果沒有打開狀態檢查,您基本上是在進行正常的防火牆阻止,並使您的大部分流量不受監控。我不確定你屬於哪種類型的時間線,但我會在你的網路上安裝一個 IDS 盒子,首先通過鏡像埠將它連接到你的主交換機幾週,以了解你的方式和是誰排查可疑的安全威脅,然後製定行動方案。

我們在我們的網路上使用 Snorby 或 Security Onion,它非常適合辨識潛在威脅。我什至將它設置為在前幾天每晚通過電子郵件向我發送報告,其中列出了哪些本地 IP 具有最可疑的流量以及它們正在攻擊哪些簽名。然後我們可以備份和研究簽名命中是真實的還是誤報的。然後努力解決問題。

我希望這有幫助

引用自:https://serverfault.com/questions/372766