Architettura di progettazione e sicurezza - dove dovrebbero essere collocati IPS / IDS?

0

Sono un'architettura di sistema che lavora su progetti - per lo più progetti relativi alla CDN - e al momento sono un po 'confuso su dove collocare l'IPS / IDS. Abbiamo un server web basato su NGINX per il bordo che viene protetto e monitorato con NAXSI come WAF. Tutti i server utilizzano SELinux e utilizzano firewalld come firewall di sistema. Le richieste devono essere inviate direttamente al edge server NGINX e sto cercando così duramente di evitare i dump di rete.

La domanda è, dove dovrebbe essere posizionato l'IPS / IDS. Dovrebbe essere sul server periferico stesso o dovrebbe essere su un'altra macchina? Le prestazioni sono la considerazione più essenziale che dovremmo avere.

|          |
|          |                            --->> OTHER SERVERS
| FIREWALL |                           /
|          |                          /
|          |  ---->>>    NGINX EDGE  ------>> OTHER SERVERS
|          |                          \
|          |                           \
|          |                            --->> OTHER SERVERS
|          |    
|          |   should IPS be on NGINX EDGE? Or should I add another
|          |   machine in front of NGINX EDGE - Closer to Firewall ?
    
posta Parsa Samet 10.05.2017 - 09:04
fonte

2 risposte

1

Non lontano da una questione di gusti ... Più esattamente dipende davvero da troppi fattori per consentire una risposta definitiva. Solo alcuni suggerimenti:

  • prima è meglio se vuoi essere avvisato contro gli attacchi contro il server periferico o il firewall stesso
  • dopo il bordo può essere migliore se hai un traffico molto elevato per evitare un collo di bottiglia in IDS / IPS
  • dopo il limite può avere senso se il traffico HTTPS è decrittografato a livello degli spigoli e si desidera analizzarlo

Ma potresti anche immaginare un ID di rete vicino al firewall per traffico crittografato non TLS e ID host sui server delle applicazioni per la parte crittografata TLS

    
risposta data 10.05.2017 - 10:23
fonte
1

Gli IDPS possono avere più sensori collocati in più posizioni di rete, a seconda delle informazioni che si desidera utilizzare per rilevare le anomalie o interrompere gli attacchi. Dovresti dare un'occhiata a NIST SP 800-94 , una guida su questo argomento esatto. Le architetture per gli IDP di rete sono trattate nelle sezioni 4.2 e 6.1. I sensori passivi dovrebbero avere un impatto minimo sulle prestazioni.

    
risposta data 11.05.2017 - 19:05
fonte

Leggi altre domande sui tag