Sto eseguendo un IDS all'esterno del mio firewall (non so l'ideale) e un IDS all'interno della mia LAN che esegue gli stessi algoritmi e definizioni di rilevamento. Il mio sito web reindirizza automaticamente tutte le richieste HTTP a HTTPS. Il mio ID rileva frequentemente scansioni nmap, attività di scansione OpenVAS, tentativi di iniezione di codice variabile GNU Bash Environment, ecc. All'interno della mia LAN che non sono visti o bloccati dal mio IPS all'esterno della mia rete. Presumo che questo sia dovuto al fatto che questi attacchi vengono crittografati usando il mio SSL e dato che il mio IPS all'esterno non ospita i miei certificati SSL, non può vedere questi attacchi. Il traffico viene decodificato sulla mia LAN da un servizio di bilanciamento del carico che ospita gli SSL prima di passare il traffico ai server IIS e questo è dove l'IDS rileva gli attacchi.
La mia unica conclusione basata sulla mancanza di rilevamento di questi attacchi è che i pacchetti stanno entrando nella nostra rete crittografati con i nostri certificati SSL ed è quindi "invisibile" all'IPS.
È possibile, o forse anche comune, che questi tentativi di exploit utilizzino i certificati SSL di un target per evitare il rilevamento?