Emre'nin yazdıklarına katılıyorum. IPS/IDS sistemlerin işi paket incelemektir ve bu yüzden donanımları ve yazılımları buna göre optimize edilir. Firewall ise paket filtreler. Bu durumda IPS/IDS sistemleri Firewall önünde olduğu zaman, sakıncalı bulduğu paketleri drop ederek Firewall üzerindeki yükü azaltacaktır. Yalnız ürünleri seçerken 100Mbit/s bant genişliği olan bağlantıda çalışabilmelerine dikkat etmek gerekiyor.
2011/4/21 Emre Tugriceri <[email protected]>: > IPS ler çok fazla portlar ile ilgilenmez. Paketler ile ilgilenir. > Ihtiyaç duyulmayan filtrelerin kapatılması IPS için performans sağlarken > portların kapatılması kayda değer bir performans sağlamayacaktır. > IPS in FW un önüne koyulması daha mantıklı gibi çünkü IPS ler çoğunlukla > inline configure edildiğinden FW unuza yapılacak bir atak içinde önleyici > olacaktır. > > Emre > > ----- Original Message ----- > From: "Atıf CEYLAN" <[email protected]> > To: "Linux Güvenlik" <[email protected]> > Sent: Thursday, April 21, 2011 1:39:18 PM > Subject: [Linux-guvenlik] Re: ids/ips firewall onceliklendirme > > Bunu biliyorum ancak bende de $oyle bir kani olustu, > toplam hizmet verdigim servis sayim 5 olsun. Saldiri tespit sistemi her port > ve servis icin koruma saglamaya calisacagindan, bende olmayan servisler icin > bosh yere ugrasmasina engel olmak amaci ile on tarafa firewall alsam mi diye > dusunmeye basladim. Neticede firewall icin gerekli cpu ve memory ihtiyaci > ips ile kiyas goturmyecek kadar az. Yanlis/eksik dusundugum noktalari veya > bu varsayimin olumsuz yonlerinin neler oldugunu merak ediyorum acikcasi. > > On 04/21/2011 01:31 PM, emrecan ural wrote: > > Genel uygulama IDS/IPS sistemlerinin Firewall önünde olması yönünde. > > 2011/4/21 Atıf CEYLAN <[email protected]>: > > > Merhabalar, > 100 mbit network icin en onde ids/ips olmasi mi, netfilter olmasi mi makul? > > Kolay gelsin, > -- > /** > * @author Atıf CEYLAN > * Software Developer & System Admin > * http://www.atifceylan.com > */ > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > -- > /** > * @author Atıf CEYLAN > * Software Developer & System Admin > * http://www.atifceylan.com > */ > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > _______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
