Mam stejny nazor jako prispevek od stanojr(a).
Myslim se, ze IPS/IDS je jen slepa vetev
v bezpecnosti. Jak uz nekdo poznamenal
je to jako lecit AIDS. Predchazeni AIDS
je ovsem daleko ucinejsi. Celkove nesrovnatelne
s lecenim, ze?
Jinak kdyz uz IDS/IPS, tak proc zvlast,k
kdyz to ma byt soucast firewallu?
Porad v tom vidim akorat dalsi produkt
na prodej, nez smyslplne bezpecnostni zarizeni.
Osobne se priklanim spise k resenim typu
zavedeni dodatecnych prav (napr. DTE ...) nebo vhodne preskladani promenych pri kompilaci programu (napr. ProPolice).
Tohle je prevence, ale snazit se detekovat zname utoky pomoci pseudo-bezpecnostnich zarizeni IDS/IPS? Vzdyt trochu modifikovany worm, uz neni
detekovatelny... Ja myslim, kdo chce pochopit,
tak pochopi.
Predchazeni AIDS je jiste ucinnejsi, ale jak je videt ve svete, porad je dost nemocnych AIDS, takze kdyz budete chtit spat s nejakou narkomankou, je lepsi ji vzit nejdriv na testy (=pouzit IDS).
Pouziti IDS prece neznamena rezignovat na prevenci. IDS je opatreni, ktere se uplatni, pokud prevence selze, aspon tak to chapu ja.
V zasade chapu, co me chcete sdelit,
mam na to ale asi jiny pohled. Prave pristup,
"kdybych chtel spat s narkomankou" je u me
prave ten bod, ktery je pokud se bavime
o bezpecnosti uz nepripustny. Asi Vas nazor
a mnohych kdo souhlasi s filosofii IDS/IPS
prispiva, ze se tato technologie pouziva.
Ale hledat v provozu, uz zname retezce je
trochu od veci, kdyz se zarizeni udrzuji
up-to-date vzhledem ke znamym "chybam".
Ale co "public" nezname chyby, ktere
jsou zname pouze uzkemu kruhu?
IDS me to nedetekuje, ale preventivni opatreni
prave ano. Ale to je prave, co me zajima.
Me nezajima, co uz je public dostupne,
protoze proti tomu se lze efektivne branit.
Komercni IDS dale proklamuji detekovatelnost
dosud neznameho, ale ve skutecnosti se jedna
pouze o anomalie provozu na sitove vrstve
at uz v protokolu nebo ve statistickych datech
za urcite obdobi. Coz neni nic, co by bylo
nejak zajimave. Tohle prece se da resit
na urovni firewallu. Nejedna se ale
o aplikacni uroven v ramci techto implementaci,coz je ale v soucasne dobe prave stezejni misto utoku.
Jinak letmo prohlednute se me Vase prace libi
a zejmena pak napad. Myslim si, ze naopak od
predeslych prispevku jsou geneticke algoritmy pro toto reseni vhodne a zajimave.
Pochopi, pochopi ze je ve sve podstate nesmysl co rikate...
Jinymi slovy tvrdite ze kdyz nekdo onemocni AIDS tak ho radsi zastrelime nez abychom vyvijeli leky.
Dalsi podstatna vec je ze nemoc at je jak trivialni chce, nelze lecit bez toho aby ji nekdo diagnostikoval.
Je hezke si myslet ze muze vzniknout dokonale systemy do kterych se neni mozne dostat, ale to je ohromna hloupost.
Za nejdokonalejsi typ IDS bych oznacil jakehosi "pocitacoveho lekare" tedy IDS system ktery je schopny nejen zjistit ale i odstranit napadeni, pripadne zabranit jeho sireni.
Evolucni a podobne algoritmy maji velkou budoucnost a tohle je jedni z odvetvi ktere jiste jiz brzy ovladnou, ale musim se pridat, nejsem si jist zda geneticky algoritmus, tak jak byl pouzit zde je zcela to prave.
;-) Docela chapu, kam mirite s timto prispevkem.
Bohuzel se ale mylite, kdyz pouzijete zminovane
prirovnani striktne k podminkam lidskeho sveta.
V beznem zivote je samozrejme pravda, ze nelecit
cloveka nebo mu aspon nepomahat, kdyz je nevylecitelny je nehumanni, ale v bezpecnosti
je situace uplne jina.
Nekdy opravdu musite, co mozna nejlepe zajistit
bezpecnost tak, aby system nebyl nebo byl velice
spatne napadnutelny. Nemuzete si dovolit, aby
fungovali nejake opravne mechanizmy, ktere
by vam stejne nepomohly, jelikoz by byla data
jiz kompromitovana...
To, ze detekuji AIDS znamena v bezpecnosti,
ze uz nemam sanci, jak situaci zmenit, jelikoz
zarizeni je jiz kompromitovano a to nevratim nazpatek. V pripade cloveka se pak jedna
o dalsi preziti co nejdelsi dobu, v pripade stroje
jsou ale dulezite prave ty informace, ne
ten samotny stroj. No ale ty uz jsou zcizeny.
