Mi piacerebbe sapere che un sistema di prevenzione delle intrusioni di rete [IPS] può essere utilizzato come sistema di rilevamento delle intrusioni di rete [IDS] e viceversa.
L'IPS basato su host può essere utilizzato come IDS basato su host e viceversa?
È necessario avere sia IPS che IDS?
Quale è più affidabile IPS / IDS basato su rete o IPS / IDS basati su host
In IPS è essenzialmente un IDS con funzionalità extra. Sia un IDS che un IPS monitorano e segnalano gli eventi, ma un IPS può anche intraprendere alcune azioni per bloccare automaticamente un attacco. Quindi, potresti usare un IPS come IDS semplicemente disabilitando le sue misure reattive, ma non puoi andare dall'altra parte in quanto la funzionalità reattiva non è presente.
Quale bisogno dipende dal problema di sicurezza che stai cercando di risolvere, a cui non è possibile rispondere in quanto non ci sono abbastanza informazioni nel tuo post. In generale, la funzionalità IPS dell'host è lo standard in molti settori, puoi prendere il tuo posto di guida. Si tratta esclusivamente di software basato su host, molte aziende eseguono il backup dell'host IPS con un sistema IDS basato su rete per monitorare gli eventi.
I would like to know can an Network Intrusion Prevention System[IPS] be used as an Network Intrusion Detection System[IDS] and vice versa.
Tipicamente un IDS significa semplicemente che è stato progettato per non essere in linea, o che è impostato in "modalità monitor". Esistono IPS non in linea, ma non funzionano come ci si aspetterebbe in genere.
Ad esempio, se disponi di un IPS non in linea e rileva una sorta di comunicazione che desidera interrompere tra due dispositivi, ciò che fa la maggior parte dei venditori è lo spoofing di due pacchetti TCP con il flag RST su entrambi i lati ( per maggiori dettagli, vai qui ). Si penserebbe che i dispositivi smetterebbero di comunicare a causa dell'RST, ma spesso si vedrà che il server interrogato (tipicamente il proprio server) fornirà comunque la risposta a causa di una sorta di supervisione con il pacchetto TCP (nel collegamento che ho fornito , era a causa di un errore che il venditore aveva fatto con il numero di sequenza sul pacchetto TCP RST sul server web).
Ci sono alcuni prodotti sul mercato che sono fatti per essere uno e non l'altro. Un esempio che posso dare è TippingPoint di HP; È progettato per essere un NIP in linea ma non per un dispositivo NIDS. Tutto ciò che riguarda il dispositivo è fatto per essere veloce e spietato, prendendo decisioni divise. Ciò significa che non è in grado di competere bene (anche se può funzionare come dispositivo NIDS) nello spazio NIDS perché altri fornitori di NIDS possono fare cose come aggiungere contesto (SourceFire e McAfee lo fanno) come informazioni importate dagli scanner di vulnerabilità.
Can the Host based IPS be used as a host based IDS and vice versa ?
Questa è una domanda molto diversa.
Una cosa da tenere a mente è che IDS / IPS non sono gli unici meccanismi di sicurezza basati su host disponibili. C'è anche whitelist dell'applicazione , che è estremamente efficace (e probabilmente più efficace), crittografia a riposo (se sei preoccupato per l'estrazione dei dati, questa non è crittografia completa del disco ), anti-virus (che è notoriamente obsoleto e sempre meno efficace), TCP Wrapper , HBSS , e altro .
Ma per rispondere alla tua domanda, in genere esiste una funzionalità "modalità monitor" integrata nei prodotti HIPS. Non esiste sempre una "modalità di prevenzione" incorporata nei prodotti HIDS (e in alcuni c'è una modalità di prevenzione, ma non è molto buona).
Is it necessary to have both IPS and IDS ?
Tipicamente no, ma dipende da cosa intendi per IPS e IDS. Intendi HIPS e NIDS? Se è così, avrebbe senso avere entrambi. Supponendo che si intenda NID e NIP, potrebbe aiutare, ma solo in situazioni di estrema sicurezza di nicchia. Ad esempio, potrebbe essere utile quando non si desidera fare affidamento sulle firme di un singolo fornitore. Ciò segue la best practice generale di difesa approfondita , anche se sosterrei che stai solo sbagliando tipo di tecnologia alla soluzione.
Con molti fornitori di Network IDPS, puoi creare le tue firme e importarle se la firma non esiste già, ma questo richiede molto tempo e conoscenza che molti team non hanno.
Per questo motivo stai iniziando a vedere i venditori in uno spazio creato per difendersi da "Minacce persistenti avanzate" o APT. Alcuni chiamano questa protezione da malware di rete e i fornitori comuni includono Damballa , Fidelis e FireEye .
Which one is more reliable Network based IPS /IDS or host based IPS/IDS
Questa non è una domanda facile a cui rispondere in modo generale. Dipende dal venditore, dall'architettura e dal motivo per cui stai implementando i tuoi diversi meccanismi di sicurezza. L'affidabilità è relativa a ciò che stai cercando di realizzare.
Se la domanda è, è una migliore dell'altra, quindi dipende dal meccanismo che stanno utilizzando per il rilevamento (firme, euristiche, anomalie, ecc.) e come ciò si applica al tuo traffico individuale e ai tuoi schemi di attacco.
Leggi altre domande sui tag ids