2009/10/31 Stefano Zanero: > Iceman wrote: >> Stefano Zanero wrote >>>>> C'e' molta ricerca (stai parlando di anomaly detection), ma niente di >>>>> veramente utilizzabile eccetto le soluzioni di Arbor e di Lancope. >> >> Stefano, hai avuto esperienze con Sourcefire e la loro tencologia 3D? >> Non conosco Arbor ma leggendo tra i datasheet pare che faccia la >> stessa cosa di Sourcefire, tramite il modulo RNA... > > Ciao, > > no, non ho avuto modo di sperimentare la tecnologia di Netflow anomaly > detection di Sourcefire. Tuttavia, c'e' un elementino che peserei a > favore di Arbor: e' tecnologia provider-grade che viene usata con > successo da molti anni in quasi tutti i grandi carrier. > > Fermo restando che sono certo che il team di Marty abbia implementato > bene la soluzione di Sourcefire ;-)
L'ultima volta che ho controllato, nessun modello di appliance Sourcefire inclusi i più grandi e costosi, era in grado di gestire traffico asincrono su due linee in VRRP, o qualsiasi traffico che fosse 10 o più Gigabit/sec. Quindi decisamente niente di carrier grade :-) Come detto, io eviterei di confondere le due tecnologie. Può darsi che Sourcefire legga i flussi Netflow per capire quale tipo di componente è presente nella rete, ma rimane un IPS, che significa che ha una certa tecnologia, che legge ogni pacchetto (fino al limite dei primi tot byte, ovviamente), che verifica gli attacchi contro specifiche signature, ed ha un certo "orizzonte" di eventi. Arbor (almeno il componente Peakflow) effettua un campionamento, come detto, e non controlla i payload del pacchetti, ma solo gli header. Se si trova di fronte a quello che riconosce come un attacco, non blocca selettivametente i pacchetti "cattivi", ma effettua una injection di route BGP statiche verso "zone morte" direttamente nei tuoi border router di frontiera con i tuoi upstream provider, mettendo in quarantena intere classi di rete. Almeno così l'ho capito io :-) - di sicuro Arbor ha più prodotti, ma in buona sostanza, dovrebbero essere tecnologie completamente diverse e per molti versi complementari rispetto ai "tradizionali" IPS. Che poi al giorno d'oggi sia più "importante" usare prodotti come Peakflow (perché è più probabile che ti attacchino con un DDoS che con un attacco "mirato" contro una applicazione, ecc.) dipende da un sacco di considerazioni che esulano dal puramente tecnologico... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
