Re: Intrusion Prevention/Detection System és virtualizáció
Laszlo Beres
laszlo at beres.me
2009. Dec. 1., K, 13:13:19 CET
2009/11/30 Illés Balázs <illesb at tomorkenygimn.hu>:
> Érdekelne, hogy aki használ valamilyen IDS/IPS (Untangle, Snort, stb.)
> megoldást, milyen tapasztalatai vannak vele.
Jomagam vegfelhasznalokent es ugyfeleinknel kihelyezett gepeken
Snortot hasznaltam. Alapvetoen remek kis alkalmazas, sokfele
reportingra van lehetoseg vele, modularis, sokfele szabaly
implementalhato benne, de a ruleset vagy elofizeteses konstrukcioban
erheto el, vagy 30 nap mulva ingyen letoltheted. Masreszt:
> Felmerül továbbá a kérdés, hogy egyáltalán szükség van-e ilyen rendszer
> alkalmazására iskolai környezetben. Nyilván ebben megoszlanak a vélemények,
> ezért is érdekelne hogy hányan használnak ilyen rendszert.
Nyilvan fugg a kliensek es a halozatban talalhato kiszolgalok
szamatol, valamint a kialakitott topologiatol. En biztosan nem tennek
IDS/IPS rendszert olyan kornyezetbe, ahol nincs mit vedeni, tehat
nincs rendesen kiepitett DMZ, belso szolgaltatasok, stb. Az atlagos
(alapszintu) IDS rendszerek raadasul hajlamosak sok false positive
riasztast generalni, tehat eleg sok idod elmegy majd azzal, hogy
ezeket nezegeted.
> Ehhez kapcsolódik az ilyen rendszerek és tűzfalak alkalmazása virtualizált
> környezetben. A témával kapcsolatban több helyen olvastam, hogy ellenezték a
> tűzfalak virtuális gépen történő futtatását, mivel a host ilyen esetben
> támadható. Mivel egyre több helyen alkalmaznak virtualizált megoldásokat,
> érdekelne hogy kinél hogyan van megoldva a host gép védelme.
Ha host alatt virtualizacios hostot ertesz, akkor en nem felnek
ennyire, a mostanaban hasznalt virtualizacios technologiakkal
kapcsolatban nem hallottam meg kihasznalt tamadasi lehetoseget (igen,
vannak elmeleti bizonyitasok, de gyakorlati megvalositasrol nem
tudok).
Az altalad emlitett Untangle jopofa appliance-nek tunik, a website-on
leirt hardverkovetelmenyek (http://www.untangle.com/#hardware) sem
egetveroek manapsag.
--
BÉRES László RHCE, RHCX system engineer
Red Hat, Fedora, CentOS, SELinux: http://sys-admin.hu
További információk a(z) Techinfo levelezőlistáról