IPS,IDS Önerileriniz

[a.guven]

Merhaba arkadaşlar,

Klasik bir UTM çözümünden çok daha fazla security önlemi için UTM 'in de önüne IPS,IDS gibi dedicate çözümler kullanmak istiyoruz. Bunun için önerileriniz nedir ?

Tipping point'i çok övüyorlar. Kullanan arkadaşlar var mı ?

[Nexus]

İyi bir ekip varsa (özellikle bilgili ve script yapabilen) Open source üzerinden gidilebilir. Suricata veya snort çok başarılı. Daha farklı sürümlerde mevcut.

Ayrıca IPS/IDS'in firewall'dan önce konumlanması uygun değildir. İçerden dışarıya olan trafiği de düşünmek gerekir. Bu sebeple DMZ veya firewall'dan sonraya alıp tüm trafiği ona mirrorlayabilirsin. Ben genel konuştum burada bu konumlama IPS ve IDS içinde değişiklik gösterir.

IDS'e tüm trafiği mirrorlayıp çözümlemesini sağlarsın, kapsayıcı tedbir alabilmesi amacıyla da IPS'i üzerinden tüm trafiği geçirip firewall veya Router'a iletecek şekilde konumlandırabilirsin.

[a.guven]

Maalesef bu konuda daha çok global bir marka değeri olan bir firma düşünülüyor.

Firewall'dan sonra konumlandırmak LAN trafiği için mantıklı.

IPS olduktan sonra ikinci olarak IDS konumlandırmak mantıklı mı peki ? Sadece detect etmesi için siz olsaydınız konumlandırır mıydınız ?

[Nexus]

Maalesef bu konuda daha çok global bir marka değeri olan bir firma düşünülüyor.

Firewall'dan sonra konumlandırmak LAN trafiği için mantıklı.

IPS olduktan sonra ikinci olarak IDS konumlandırmak mantıklı mı peki ? Sadece detect etmesi için siz olsaydınız konumlandırır mıydınız ?

IDS ve IPS birbirinden tamamen farklı araçlar. IDS ben olsam kullanırım. Pasif bir araç olsa da, engelleme özelliği olmasa da trafiği sürekli analiz ediyor ve senin yapılandırmaya göre kıyaslıyor. Anormalliklerde seni uyarıyor, logluyor ve istatistiki olarak bu bilgileri tutuyor. Bazı yapılarda da IPS, firewall gibi araçları tetikleyebiliyor.


Yani bu durumda IDS'e trafiğini inceletip IPS'e durumsal olarak görev verirsin. IPS performansını bu sayede artırmış olursun.

[Soul]

ips de olsa bir şekilde geçilirse IDS den başka trafiği anlayabileceğin birşey kalmıyor.
modern güvenlik anlayışında hem ips hemde ids olur.

[a.guven]

Bilgilendirme için çok teşekkürler.

Citrix netscaler ve Forti'yi ayrı ayrı önümüzdeki haftalarda demo edeceğim. Olumlu/olumsuz geri dönüş yapacağım.

[a.guven]

Merhaba arkadaşlar,

Öncelikle geç dönüş yaptığım için üzgünüm.

IPS tarafında Fortigate ile devam etme kararı aldım. Yaklaşık 8-9 aydır da çok memnunum.

Diğer vendor'larda IPS , IDS gibi teknolojileri monitor etmek ve policy uygulamak zahmetli geldi bana. Forti'de bu işi kolaylıkla yapabiliyorsunuz ve gayet başarılı.

Teşekkürler.

[ydev]

merhabalar

eğer'ki oldukça komplike bir yapınız var ise
cisco firepower onun yanında hp tipping point bu iki ürünü öneririm

[root]

firepower sanırım modüler idi cisco asa 5500-x ile kullanmıştık ngw yani next generating firewall olarak geçiyor ids olarak çalışıyor mu emin değilim. Snort bu konuda en iyi üründür. Global marka demişsiniz snort'u product olarak sunan global firmalar da var.