彙整

Posts Tagged ‘IDS/IPS’

IDS and IPS 雜記

2008 年 10 月 20 日 發表留言

以下節錄自: 誰對國內IDS市場比較熟悉,希望能做些介紹!

  • IDS和IPS是兩個完全不同的概念,IDS是將網絡事件進行呈現。而IPS是對網絡非法和異常數據進行阻斷。
  • 目前IDS產品已經是過時的產品了,早些年國外國內各個安全廠商都在IDS這個產品上使足了勁,其中國外著名的品牌如ISS公司,SYMANTEC公司,CA,Mccfee公司,國內的相中科網威,綠盟科技,啟明星辰等等吧,廠商太多了,說不過來了。。
    目前大家都把視線放到了IPS上來,用來終結IDS系統,使得安全防護更加人性化和可靠性。IPS系統現在就是各個廠商發展的重點,我想,現在的天下應該是IPS的天下了。至於誰家的產品功能更強大,性價比最好,那還要看測評機構的認可了。
  • IDP(入侵檢測和防護)
  • IDP是netscreen對自己IPS的稱呼。
  • IPS是IDS的防火牆版,絕對稱不上防火牆的升級版,IPS的主要功能還是IDS的那些,只是增加了部分攔截功能,但也只能作為防火牆的輔助
  • cisco和juniper提供的netflow功能確實可以在一定程度上具備IDS的功能,但是它不查看具體的數據報內容,所以也不是普遍意義上的ids。
    對netflow數據的深入分析和挖掘,確實可以做到發現網絡上的異常現象,並定位異常流量原因,從而從骨幹網這一級做一些防範措施,這一點在防範DDOS攻擊,以及突發事件處理方面具有重要的意義。
  • IDS產品發展趨勢就是IDS服務
  • 在很多的ids用戶那裡發現,網管人員往往都對ids的報警熟視無睹。因為,多數的ids會將各種攻擊一股腦的報告出來。現在掃瞄盛行,公網中的主機每天遭到的掃瞄多的去了。網管起初對那些報警都很注意,可是成天都是那些掃瞄的報警就使得網管逐步的不再去過問ids的報警信息。於是,ids就只能在那裡默默地吶喊了,或者是在除了大問題後作為事後查證之用。好在現在有的ids已經能夠判斷攻擊的成功與否了。我個人認為ids只是把攻擊特徵比對後報警是遠遠不夠的。

——————————————————————————

Internet Security System公司的RealSecure (ISS) — IDS產品

Proventia G系列50M,100M的硬件IDP

每一款IPS都不可能涵蓋所有已經出現過的攻擊

IDS是幫助用戶自我評估、自我認知的設備,而IPS或防火牆是改善控制環境的設備。IPS注重的是入侵風險的控制,而IDS注重的是入侵風險的管理。

IPS不等於FW+IDS
倒是有UTM的提法UTM=FW+IPS+Antivirus….etc

以下節錄自: 快手緝兇:2006年度IPS公開橫向比較測試

——————————————————————————

IPS 2400E表現最好,它可以實現即插即用的安全防禦,它工作在橋模式,無需設置IP地址,對於企業網中的所有流量來說都是透明的,它支持2000多種過濾器,但它缺省就啟動了超過1000條的安全過濾器。在保持出廠配置條件下,我們模擬的攻擊,幾乎都能觸發準確報警,並有超過半數的攻擊流被丟棄掉了。在它提供的報警中,包含了最為詳細的解釋說明,比如CVE編號和漏洞介紹以及相關鏈接等內容。我們實施的攻擊中,只有一項不在IPS 2400E的防禦範圍之內,在72小時內,TippingPoint完成了新過濾器的更新。在其升級後的版本中,我們重複測試了該項目,它能夠準確報警並阻斷。我們發現,所匹配的新的過濾器有著和其他過濾器一樣的標準格式。其結果如表1所示。

  FortiGate-800作為一款UTM,它支持透明和路由兩種方式,我們在測試中將產品配置成透明模式。當啟用IPS功能後,它可以防禦超過2000種的攻擊。在其默認配置中,它的攻擊告警多數都是啟動的,不過只有少部分的攻擊阻斷是打開的,用戶可以根據自己的需要開啟對某些攻擊的阻斷,配置過程也很簡單。Fortinet也在我們規定的時間內完成了對自己產品的更新。其結果如表2所示。

———————————————————————————-

區分IDS與IPS

■ IDS注重的是網絡安全狀況的監管

● 用戶進行網絡安全建設之前,通常要考慮信息系統面臨哪些威脅

● 需要考慮這些威脅的來源以及進入信息系統的途徑

● 需要考慮信息系統對這些威脅的抵禦能力如何

■ IDS需要部署在網絡內部的中心點

■ IDS需要觀察所有網絡數據

■ IPS關注的是對入侵行為的控制

● 首先用戶需要明確信息系統安全建設方案

● 其次需要制定各種安全策略

● 最後用戶需要在入侵防禦系統中實施邊界防護安全策略

■ IPS需要部署在網絡的邊界

■ IPS必須實時分析網絡數據

———————————————————————————-

其他參考文章:

NIDS和HIDS比較

分析:IPS与IDS的价值与应用比较

IDS和IPS,看似重疊,實際不同

[週報全文]告別紛爭的日子:IDS與IPS應用比較
分類:MIS維護 標籤:,
%d 位部落客按了讚: