我正在研究在线IPS设备及其签名有状态和无状态。 我期望实施IPS的testingnetworking具有不对称的stream量,因此几乎不可能进行有状态的检查。 只有有状态的检查才能减轻多大比例的威胁?
如果我要closuresIPS的状态检查什么威胁我离开testingnetworking开放?
通常,有状态数据包检测是解决恶意攻击者行为的networking安全的行业标准。 由于你运行的是一个不对称的networking,数据包可以在不同的网段上进出,所以你的IPS可能无法保持所有事务的状态,所以攻击很可能不会被识别,并且能够继续前进将其有效载荷传送到目的地。 所以基本上这将是更多的创可贴,而不是一个虚假的希望。
由于状态检查不仅检查标题信息,而且还检查整个数据包内容(直至应用层),所以它们确定关于数据包的超出其源和目的地信息的更多上下文。 大多数状态检查还监视连接状态,并在状态/会话表中编辑历史信息。 因此,dynamic过滤决策可以超越通常阻止已知IP地址或TCP端口的典型pipe理员定义的规则(如在静态分组过滤中那样),以考虑已经由先前通过的分组build立的分组的上下文IPS。
如果没有启用状态检查,您基本上正在执行正常的防火墙阻止,并且不监控大部分stream量。 我不确定你是在什么types的时间线下,但是我会在你的networking上安装一个IDS盒,首先通过一个镜像端口将它连接到你的主交换机上,以便了解你是如何以及谁是你的排在最前面的可疑安全威胁,然后计划一个行动路线。
我们在我们的networking上使用Snorby或Security Onion,它可以很好地识别潜在的威胁。 我甚至可以设置每天晚上给我发电子邮件,告诉我们哪些本地IP有最大的可疑stream量,以及它们打的是什么签名。 然后,我们可以备份和研究,如果签名点击是真实的或误报。 然后努力解决这个问题。
我希望这有帮助