Domanda di base su come funziona un IDS

4

L'ubicazione di un sensore di rilevamento delle intrusioni (o analisi dei pacchetti) su una rete interna influisce sul fatto che l'IP di origine dell'host esterno (presupponendo il traffico TCP in entrata) sia recuperabile da un pacchetto?

Metti diversamente, c'è uno scenario di distribuzione comune in cui il posizionamento di un sensore significherebbe vedere costantemente un IP interno come sorgente piuttosto che l'host esterno effettivo da cui è originato il traffico?

(sì, so come ottiene l'attribuzione rischiosa - intendo l'ultimo host mittente)

    
posta PurpleDragon 01.03.2016 - 21:01
fonte

1 risposta

2

Dipende da come viene configurata la tua rete; ma di solito l'IP non viene rimosso e le intestazioni dei pacchetti contengono l'origine e la destinazione originali.

Generalmente, un interruttore principale viene fornito dopo un router, il router è probabile che su una rete aziendale esegua molte traduzioni NAT. In tal caso, potresti vedere l'IP NAT di un determinato pacchetto a cui fai riferimento (ad esempio, invece di un ip pubblico, vedi 192.168.x.x). Quindi è probabile che vedrete l'IP interno come una fonte di qualsiasi cosa in uscita, perché, questo è l'unico IP a conoscenza del dispositivo di rete - l'IP esterno viene applicato dal router che esegue NAT.

Tuttavia, a meno che tu non stia effettuando alcune strane ispezioni a livello di pacchetto (ad esempio Cisco) e cambino, le intestazioni dei pacchetti dovrebbero rimanere invariate e indicare l'IP di origine e destinazione degli endpoint - non di dispositivi di rete intermedi che portano il traffico. Questi dispositivi hanno solo IP di gestione - e non tendono (anche se questo può accadere in sofisticate configurazioni di switching di livello 3 che sono rari) alterare le intestazioni dei pacchetti.

    
risposta data 01.03.2016 - 21:54
fonte

Leggi altre domande sui tag