Testowanie IPS/IDS

[golab]

Panowie potrzebuje malej podpowiedzi. Chce podłączyć i potestowac kilka IPS (różni producenci) zastanawiam się czy poniższy schemat ma prawo działac:



Firewall---(trunk)----IPS1----IPS2---IPSXX--------(acces)----serwer.

czy ewentualni lepszym rozwiazaniem jest:

Firewall ----(trunk)----SWITCH---IPS1----IPS2---IPSXX-serwer

Założenie jest takie ze jeden serwer ma byc wystawiony na ataki a kolejne IPS powinny zablokowa/wkryc atak i chce się przekonać który przepuści atak a na którym się zatrzyma.


Kolejnym Etapem według mojego planu jet podłączenie IPS jako IDS ale to jest proste, SPAN port i jazda.

Z góry dziekuje za podpowiedz.

[drozdov]

Hej

Lepiej wymieniaj IPS - testujesz jednego producenta, potem drugiego, potem trzeciego. Jezeli chodzi o umiejscowienie to wazne zeby byl pomiedzy atakujacym a ofiara i tyle.

[dorvin]

Umieszczenie jednego IPS za drugim mija się z celem. Jeśli pierwszy zatrzyma atak, to pozostałych nie przetestujesz. Muszą być one podłączane do testów niezależnie. W ostateczności równolegle.

Druga sprawa to przyjęte założenia odnośnie porównywania skuteczności. Bierz pod uwagę, że domyślna konfiguracja IPS jest słaba i zawsze trzeba ją dopasować do potrzeb danej sieci. Nawet jeśli na domyślnej konfiguracji jeden producent zatrzyma więcej ataków niż inny, to nic specjalnego to nie oznacza. Każdy sensowny IPS może zatrzymać te same ataki jeśli zostanie odpowiednio skonfigurowany. W tym momencie jako kryteria ewentualnego wyboru sensowniejsze byłoby np. sprawdzać wydajność, regularność updatów sygnatur, ilość standardowych sygnatur czy łatwość zarządzania.

[michaliwanczuk]

w zależności co chcesz testować zawsze możesz spróbować w trybie pasywnym testować przez span port.
w takiej sytuacji możesz dać ten sam ruch na kilka IPS'ów

Jak testowałem nikt mi na produkcji nie pozwolił na "in online"