Marco Ermini ha scritto: > > Detto così sembra che un IPS guardi soltanto ai primi 200 bytes in una > sessione. In genere dovrebbe avere una "finestra" di un tot di byte, > ma questi possono essere benissimo al centro o alla fine della > sessione stessa. > > [...] > .... E mi sa che qualche vendor a caso fa proprio questo... ma non mi sembra corretto fare nomi dato che non conosco lo stato dell'arte di TUTTI i vendor.
> Ma in questo caso, ovviamente, un network IDS/IPS non è la soluzione > giusta. Dovresti avere altri strumenti, come un host-based IDS/IPS > (oppure per Oracle ad es. esistono applicazioni in grado di monitorare > il database per possibili attacchi, oppure mod_security per Apache, > ecc.) > Non sto parlando di integrazione di prodotti o soluzioni. Ma di criteri d'accettazione del rischio rispetto a questa soluzione ed alle sue configurazioni. > In gergo si chiamano "signature", non molto diverse da quelle di un > anti-virus, solo che gli IDS/IPS devono essere necessariamente più > "semplici" (ma possono svolgere altre funzioni di intelligence che gli > AV in genere non eseguono) > No Comment. :-) >> Ora mi chiedo su che base statistica i vendor fissino questa variabile >> e, naturalmente, alzandola adrei significativamente ad impattare sulle >> performances del mio apparato, ma, abbassandola, potrei ridurre >> drasticamente le mie capacità di detection/prevention. >> > > Non solo sulle performance dell'apparato, impatti potenzialmente anche > sulla latenza imposta alla rete, nel caso di IPS. > > Appunto ho parlato "performances". Forse sarebbe il caso addirittura di introdurre il concetto anglofono di "warranty". >> Getto lì la domanda: che ne pensate? >> c'è una vulnerabilità relativa all'evasion/diversion insita su ogni >> prodotto o sono eccessivamente paranoico? >> > > Non ho capito la domanda... > E' semplice: se io so a priori che il vendor X dopo i primi 25K ignora la sessione, mi basta effettuare l'attacco dopo quella finestra per non essere identificato :-) il problema è che quando poni queste domande ai vendor, nessuno ti dice con certezza SI o NO. Per questo giro la domanda in list. Ora sarebbe interessante, per chi ha un laboratorio a disposizione per effettuare svariati test su singola sessione. > > > In genere questa opzione non è "tunabile". Che io sappia, è una > costante del prodotto. > Si lo è, almeno sui vendor che ho visto io. > Non credo che questo sia l'unico valore su cui ci si dovrebbe basare > per valutare un buon IDS/IPS. Ci sono molte altre considerazioni da > fare. In genere la qualità delle signature è ritenuta la cosa più > importante (o una delle più importanti), molto più del parametro di > cui tu stai parlando. > > > Hai ragione, ne sono perfettamente conscio, ma è quello che ho voluto prendere in considerazione io in questo specifico topic poichè ha suscitato la mia curiosità e non mi ero mai trovato a doverlo affrontare in maniera strutturata rispetto ad una gestione del rischio puntuale. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
