Audit di configurazione per IPS / IDS [chiuso]

-1

Mi è stato assegnato il compito di controllo della configurazione come primo compito nel mio primo lavoro. Come sfida devo trovare vulnerabilità leggendo i registri della sessione PuTTy e non ho accesso alla console.

Si prega di condividere se si dispone di collegamenti per leggere e conoscere le revisioni di configurazione di IDS / IPS. In particolare,

Quali sono alcuni degli errori più comuni riscontrati durante l'audit di configurazione di IPS / IDS?

Modifica

Sto cercando qualcosa sulla falsariga di questo. Solo perché non ho accesso alla console, devo leggere tra le righe per trovare le vulnerabilità. Attraverso la configurazione, se trovo qualcosa del genere: manage telnet status set enable . So che telnet è abilitato, quindi lo riferirò come risultato.

    
posta xandfury 06.09.2015 - 04:08
fonte

1 risposta

1

Come ha detto Schroeder, il tuo lavoro sembra indicare se l'IDS / IPS applica correttamente la politica aziendale, ad es. genera un avviso quando qualcosa va contro la politica e rimane silenzioso quando il traffico è conforme alla politica.

Quindi non c'è modo di verificare correttamente se IDS / IPS è "configurato correttamente" senza avere una chiara conoscenza della politica corrente.

Per trovare "vulnerabilità", es. traffico consentito da IDS / IPS pur non essendo consentito dalla policy, è necessario avere una visione chiara di cose come:

  • Chi è autorizzato a connettersi,
  • A quali risorse sono autorizzati a connettersi,
  • Da dove sono autorizzati a connettersi,
  • Quando sono autorizzati a connettersi,
  • In che modo è consentito connettersi.

Una volta che lo sai, sarai in grado di individuare regole che possono essere troppo rigide (falsi positivi), troppo lassiste (falsi negativi) o semplicemente mancanti.

    
risposta data 06.09.2015 - 11:43
fonte

Leggi altre domande sui tag