tgoop.com/cybersecdugin/312
Last Update:
Давайте вспомним, каким образом IPS (он же NDR) может активно противодействовать сетевым атакам. Речь пойдет не об алгоритмах обнаружения, а именно отражения атак.
1. Режим in-line. Как очень умный и очень дорогой кабель. В этом случае IPS может выполнять как silent block, так и отправку RST, имитируя инициацию окончания сессии любой из сторон (если TCP). Даже соседнее активное сетевое оборудование не поймёт, что IPS посередине в такой ситуации.
2. FW block. Анализировать копию трафика, и в случае обнаружения атаки отправлять команду на блокировку источника на firewall. Необходима соответствующая интеграция с FW/NGFW по управляющему протоколу.
3. RST mode. Анализировать копию трафика и отправлять TCP RST в обе стороны от IP-адреса второго участника. В зависимости от реализации производителем, отправлять RST может либо "слушающий" интерфейс IPS, либо управляющий.
Ограничение: работает только с TCP.
a. Через управляющий интерфейс. RST от имени участников сессии попадет в VLAN управления IPS, далее по таблице маршрутизации долетит до адресатов.
На интерфейсе, являющемся default gateway для этой подсети, необходимо отключить настройки защиты от спуфинга и включить ARP proxy.
Если сегмент управления защищен с помощью FW/NGFW - на соответствующем интерфейсе отключается защита от спуфинга и разрешаются RST-пакеты без проверки сессий (если софт еще позволит).
b. Через "слушающий". На активном сетевом оборудовании настраивается SPAN-порт с возможностью приема трафика в ingress VLAN.
Послабления безопасности аналогичны вышеописанному для управляющего.
Ограничения (кроме TCP only): не реализуемо, если на "слушающий" порт трафик подается с пакетного брокера, на который стекается с оптических съемников.
👍 - все понятно!
🤔 - лучше с картинкой!
🤯 - с картинкой и объяснениями всяких нерусских терминов
BY Кибербез Андрея Дугина
Share with your friend now:
tgoop.com/cybersecdugin/312