Se si deve fare una scelta sulla selezione di una modalità di errore per un IPS in linea che protegge i server, quali sono i criteri da considerare per selezionare una delle modalità di errore:
1- Fail close: se l'IPS fallisce, disconnetterà il server che sta proteggendo.
2- Fail open: se l'IPS fallisce, passerà tutto il traffico verso il server inclusi eventuali attacchi.
Quali sono i rischi e i benefici coinvolti in entrambi gli scenari?
Il modo migliore per capire qual è la tua propensione al rischio è
Se è necessario avere un servizio a tutti i costi, non si vuole chiudere il processo, poiché qualsiasi problema con tale IPS causerà un Denial of Service. Questo è uno scenario molto raro, tuttavia la maggior parte delle implementazioni è configurata per proteggere il server e i dati su di esso.
Questo è il punto in cui la difesa in profondità entra in gioco. Filtrate del traffico (ad es. Tutto tranne le porte 80/443) usando un dispositivo hardware - questo vi dà la velocità e la capacità di rimuovere la maggior parte del traffico che potrebbe avere un impatto su di voi.
Quindi utilizza un firewall per limitare le connessioni solo a quelle di cui hai bisogno. Se può fare un controllo stato, questo può essere usato per limitare il traffico dei tipi.
Quindi indurisci il tuo server web e individualo in una DMZ che è separata dalla rete interna e dai database da ulteriori firewall o controlli di accesso sui router.
etc etc etc
La stratificazione ti dà la possibilità di far fronte al fallimento di un componente, quindi nel tuo caso, se il tuo IPS fallisce, puoi effettuare una chiamata basandosi sulla sicurezza degli altri livelli sul fatto che tu fallisca l'apertura e faccia fronte a una riduzione livello di protezione fino al fix o fallito e subire un'interruzione.
Leggi altre domande sui tag ip protection risk-analysis ids