Best practice per la creazione di una politica IPS iniziale

Naviga le tue risposte
5

Vedo che la maggior parte degli IPS disponibili sul mercato è dotata di una politica predefinita predefinita su cui gli amministratori possono basarsi quando creano la loro politica IPS iniziale. Tuttavia, questi criteri potrebbero essere insufficienti e l'amministratore potrebbe dover scavare più a fondo. Di conseguenza, qual è la procedura migliore quando si crea una politica iniziale e assicurarsi che nulla venga perso.

Ovviamente verrà fornita una lista di applicazioni, SO, porte conosciute, ecc. in una rete e possiamo creare una politica da lì; ma lo manteniamo rigoroso e limitato alla lista che ci è stata data o ci rilassiamo un po 'per una più ampia copertura di protezione.

Ad esempio, se un server Web esegue Microsoft IIS ma non FrontPage, abilitiamo regole / firma per IIS e FrontPage Extensions per garantire che l'IPS sia in grado di rilevare i tentativi di exploit / probing di FrontPage?

Inoltre, come possiamo garantire che l'usabilità, la funzionalità e la sicurezza, nonché le prestazioni dell'IPS stesso non siano influenzate dal criterio IPS che abbiamo creato come alcune delle regole / firma in alcune soluzioni IPS che conosco avere un sovraccarico / impatto sulle prestazioni.

    
posta Fred1234 31.05.2011 - 17:55
fonte

3 risposte

3

Normalmente consiglierei di implementare il tuo IPS in modalità non bloccante per iniziare con l'esecuzione della politica di default, più eventuali altri criteri di firma che si applicano specificamente a che cosa è in esecuzione sulla tua rete.

Una volta che la politica è stata attiva e funzionante per un po ', sei soddisfatto del seguente

  1. Il tasso di falsi positivi
  2. Le statistiche sulle prestazioni (caduta di pacchetti, ecc.), specialmente con alto carico (pps, velocità effettiva)
  3. Il tunning che hai fatto per eliminare i falsi positivi

Quindi è necessario considerare se ampliare il set di politiche abilitate. Nel fare ciò è necessario considerare quanto segue.

  • Hai il pieno controllo sulle applicazioni \ nodi distribuiti sulla tua rete?
  • Sarai avvisato se nuove applicazioni \ nodi apparire sulla tua rete?

In uno scenario ideale, l'IPS avrà solo firme abilitate che coprono le applicazioni in esecuzione sulla rete. Il vantaggio di farlo è il seguente.

  1. Riduce la possibilità di un traffico legittimo di blocco dei falsi positivi, minore è la quantità di firme che consente di abbassare i falsi positivi.

  2. In generale quanto più basso è il numero di firme abilitate significa migliori prestazioni riducendo le possibilità che il traffico dannoso non venga rilevato a causa di problemi di prestazioni.

Dopo averlo fatto, dovresti prendere in considerazione l'abilitazione della modalità di blocco sul tuo IPS.

    
risposta data 02.06.2011 - 14:15
fonte
2

A meno che tu non abbia una performance o altri problemi, mi piace iniziare con la politica più ampia che includo. Quindi rimuovo / modifica le regole caso per caso. Consiglierei di mantenere regole che non coprano necessariamente i prodotti che hai, come il set di regole di Frontpage Extensions, a meno che tu non abbia una procedura in atto in cui qualcuno possa iniziare a sviluppare alcune app di Frontpage fantastiche, quindi aggiungi le regole appropriate. Anche se non è mai possibile installare un prodotto / tecnologia sulla rete, puoi comunque essere avvisato quando alcuni script script lanciano un exploit per un prodotto che non possiedi.

Quindi mi piace iniziare con il set di regole predefinito, guardare i registri, rimuovere o modificare regole che producono falsi positivi, aggiungere un altro set di regole o due, risciacquare e ripetere.

    
risposta data 31.05.2011 - 18:15
fonte
1

Vorrei suggerire quando si implementa un IPS in un ambiente prima di passare in modalità passiva. Devi prima vedere che traffico sta arrivando per identificare cosa è il traffico valido e cosa no. Dal momento che hai già raccolto un elenco di porte e protocolli noti che devono avere il traffico in entrata nella rete, sarà più facile.

Ci vuole tempo per modificare un IPS. Hai davvero bisogno di iniziare in senso lato e restringerlo per assicurarti di non influenzare nessuno degli affari. Vuoi proteggere la tua rete ma devi anche mantenere il business funzionale.

Direi che questo sarebbe vero prima di implementare qualsiasi nuovo dispositivo sulla rete che stai per creare regole che potrebbero influenzare il traffico sulla tua rete e, a sua volta, influenzare l'attività della tua azienda.

    
risposta data 04.06.2011 - 23:16
fonte

Leggi altre domande sui tag

Sfrutta inevitabilmente "il costo di fare affari su Internet"? Reverse Proxy Secure Configuration