论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 讨论评测IPS方法
帖子发表于 : 2006-07-07 14:46 
离线
新手

注册: 2006-07-06 10:57
最近: 2010-06-03 11:03
拥有: 80.20 安全币

奖励: 0 安全币
在线: 673 点
帖子: 13
自己分析IPS对于用户来说最大的好处有以下几点:
1、能够实时的反应网络状况.包括网络中的各种正常与非正常的流量。这样有助于能实时把握网络中的整体状况,做到心中有数。
2、能够将已知的攻击记录下来,包括原始数据,做到有据可察。这样在入侵证据采集过程中可能比较有用。
3、能够进行一些阻断,更好的控制和改善网络环境。通过在IPS上的观察,可以限制BT和emule的使用,阻断各种蠕虫、病毒,大大改善了网络环境。曾经发现的攻击有,公司内网中有人中了木马,反连到internet上被黑客控制,黑客就可通过该员工攻击公司内网。IPS发现后将其阻断。
4、能更早于操作系统补丁,对高风险爆发的威胁进行阻断。
虽然好处有很多缺点当然也有不少这里就不一一举例(有点跑题)
怎样让用户去正确的评测IPS产品,以选择哪款产品是最适合自己最好的产品一直是用户头疼的问题。自己想到几点抛砖引玉,希望通过大家的分析能够总结出一套可行的测试方法。
1、通过模拟大流量环境来测试设备的性能。(性能测试)
2、自己模拟攻击行为来检测设备的特征库对攻击检测能力,是否存在漏报误报的情况.(此项不能让厂商自己来测,必须自己模拟攻击行为.曾经这样测试过几个厂商,最后出现的结果是各家模拟的攻击行为自家的设备都能完全挡住其他设备大部分都挡不住的情况,汗)
3、通常IPS需要串联在网络出口处,虽然其有failopen机制,但无法确定其在down掉的一瞬间,是否会影响到整个网络的稳定。此点各厂商宣称都有failopen功能是否有效还需测试


--------本帖迄今已累计获得31安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-07-10 14:29 
离线
新手

注册: 2006-07-06 10:57
最近: 2010-06-03 11:03
拥有: 80.20 安全币

奖励: 0 安全币
在线: 673 点
帖子: 13
现在厂商卖IPS\IDS几乎都会遇到用户要求测试的环节,怎样去说服客户.通过什么样的方法来告诉客户自家产品才是对方最需要最适合的产品.当然如果是用户也应该了解怎样去评测产品是否是自己最需要的最好的.此贴已近50人浏览竟然无人讨论.......


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 国家的IDS标准是启明制定的
帖子发表于 : 2006-07-10 16:35 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
国家的IDS标准是启明制定的,IDS/IPS测试都是参照英国的!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2011-03-15 12:30 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 4,005.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
目前我们国家在标准方面存在很多问题,一个标准应该是各个厂商一起订,这样可以避免利益群体的操纵,可我们国家要不就是一群只有理论的人在做,要不就是一群利益相关方在做,没有用户代表也没有其它监督机制。


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-12 16:34 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,363.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
其实问题很简单,直接用metasploit中的db_autopwn自动攻击,看拦下来多少,肯定是越多越好,另外BT5里面也有测试IDS的程序,只是我没用过~~呵呵


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-12 20:45 
离线
超级用户

关注按钮

注册: 2009-12-22 13:25
最近: 2013-08-27 09:45
拥有: 2,732.00 安全币

奖励: 1109 安全币
在线: 4247 点
帖子: 407
最近用了McAfee和TippingPoint的IPS,正好看到有人说IPS,就随便写点。
从表明肤浅的评两款产品,还不能算是测:
TP的易用,在易用性方面,国内产品好好学习TP,McAfee的要java环境,个人不喜欢,反应太慢;
TP的检测策略多,约翻倍,质量方面真心不好说;
升级周期TP短,约1周,McAfee约2周;人家是真的每次升级有内容,不像国内某某厂商,为了一周升级而升级,其实没有内容。
状态监控:TP很强,设备温度、风扇转速、电力供应都监控了,别说其他的了(CPU/内存、接口状态、流量、硬盘空间、日志条数、block list、Frame size、HA状态等等),唉,对于监控风扇转速,国内的产品情何以堪啊。
HA:McAfee此功能我没有找到
基本管理:SNMP McAfee仅支持V3,TP支持V2c和V3,McAfee的NTP同步基于Windows,syslog两家都能喷
报表:McAfee支持英文,还支持中文,TP仅英文
事件说明:McAfee本地有详细的说明库,TP本地库不详细,要借助TMC(互联网上)
bypass:都支持硬件bypass,TP的叫zero power什么的,设备掉电无忧,McAfee也有。
内置二层:都支持,TP一个按钮下去(layer 2 fallback),网络根本没有察觉直接二层打通了,McAfee的我还没有测试,理论上没有问题,好象是设备有致命错误后自动触发layer 2 pass-though,这个监控enable。
都支持抓包,McAfee好象可以定义抓多少字节,还没有具体用过
都支持自定义策略,都支持snort规则进行转换,各自还有自己的策略编辑方法,McAfee不知道什么样,TP的不怎么好用(能支持IPV6)
售后服务:McAfee是肯定的,800电话直接打,一会儿,文档就到邮箱了;TP嘛,复杂点问题要找老美,没法快,我们上班他们在睡觉。
做过一次测试,以惨败告终,用国内的一些asp马连接,TP毫无反应,估计水土不服。

McAfee还有很多功能我尚不熟悉,在缓慢的学习中,有谁熟悉的还请多指教。


--------本帖迄今已累计获得34安全币用户奖励--------


最后由 jimao123 编辑于 2012-08-17 10:52,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-17 17:57 
离线
超级用户

关注按钮

注册: 2009-12-22 13:25
最近: 2013-08-27 09:45
拥有: 2,732.00 安全币

奖励: 1109 安全币
在线: 4247 点
帖子: 407
比较了一下McAfee和TP的策略
数量:McAfee3700+(单向,双向的话一个策略写2次,重复);TP 6800+
质量:从cve的比较,McAfee编号为CVE-2012-*的策略有70+;TP编号为CVE-2012-*的策略有80+;都是最近更新的。
TP更新比McAfee略快点,从CVE最新的编号也可以看出,总体上来说,难分伯仲。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-18 09:57 
离线
初级用户

注册: 2006-03-23 17:07
最近: 2012-12-14 17:20
拥有: 328.20 安全币

奖励: 0 安全币
在线: 644 点
帖子: 47
地址: 北京
我们在项目中主要推 McAfee和TippingPoint的IPS。

产品这块基本业内最好的IPS就是这两个品牌。macfee背景是intel,tp的背景是hp。长期看两个产品的支持还是到位的。基本上高端用户的项目都是这个两个品牌在pk。

对于IPS的测试 如果能对零时攻击做好防范是最重要的,如果他们不能及时为整个系统提供虚拟的安全补丁,应对新的威胁,IPS的意义就不大了。


来至 www.sasdigg.cn的推荐


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-18 10:10 
离线
新手

注册: 2012-07-16 02:53
最近: 2012-08-03 13:11
拥有: 47.00 安全币

奖励: 0 安全币
在线: 250 点
帖子: 9
呵呵 我用过IBM的ISS 和Mcafee ISS 作为曾经的IDS老大 被IBM收购后 研发力度差了很多 但是 还是有自己的特点的 Mcafee 的IPS 在用户体验上 个人感觉是很好的


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-19 21:18 
离线
超级用户

注册: 2007-10-27 06:56
最近: 2015-03-18 22:33
拥有: 16.20 安全币

奖励: 5292 安全币
在线: 3481 点
帖子: 367
good


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-07-20 09:31 
离线
顶级用户

注册: 2008-08-28 10:02
最近: 2014-01-14 17:10
拥有: 5,619.90 安全币

奖励: 6 安全币
在线: 4826 点
帖子: 657
别忘了,还有个在幕后,专心做oem的厂商,非常专业。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-08-17 10:48 
离线
超级用户

关注按钮

注册: 2009-12-22 13:25
最近: 2013-08-27 09:45
拥有: 2,732.00 安全币

奖励: 1109 安全币
在线: 4247 点
帖子: 407
LACP目前用的不多了,大家都上万兆了,但是救急的时候还是不错的。
通过实际测试,TP夹在LACP链路中,只要将“不对称网络”这个功能打勾,就可以支持上下设备之间链路聚合了。当然,开了不对称网络,会失去对DDoS的判断能力,因为搞不清TCP的状态了。有得有失,但IPS处理DDoS本来就是意思意思的,所以也无所谓。

至于McAfee,不清楚是否支持,一堆的菜单,眼花。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-08-17 11:20 
离线
顶级用户

关注按钮

注册: 2009-09-09 15:33
最近: 2016-05-03 09:22
拥有: 6,669.00 安全币

奖励: 2109 安全币
在线: 11570 点
帖子: 1116
地址: 上海
jimao123 写道:
LACP目前用的不多了,大家都上万兆了,但是救急的时候还是不错的。
通过实际测试,TP夹在LACP链路中,只要将“不对称网络”这个功能打勾,就可以支持上下设备之间链路聚合了。当然,开了不对称网络,会失去对DDoS的判断能力,因为搞不清TCP的状态了。有得有失,但IPS处理DDoS本来就是意思意思的,所以也无所谓。

至于McAfee,不清楚是否支持,一堆的菜单,眼花。


IPS专家了。你叫原来启明的IPS是什么呢。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-08-17 14:29 
离线
顶级用户

注册: 2004-02-03 14:27
最近: 2017-12-28 16:42
拥有: 1,180.70 安全币

奖励: 836 安全币
在线: 9253 点
帖子: 779
叫 p
jerry6 写道:
jimao123 写道:
LACP目前用的不多了,大家都上万兆了,但是救急的时候还是不错的。
通过实际测试,TP夹在LACP链路中,只要将“不对称网络”这个功能打勾,就可以支持上下设备之间链路聚合了。当然,开了不对称网络,会失去对DDoS的判断能力,因为搞不清TCP的状态了。有得有失,但IPS处理DDoS本来就是意思意思的,所以也无所谓。

至于McAfee,不清楚是否支持,一堆的菜单,眼花。


IPS专家了。你叫原来启明的IPS是什么呢。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 讨论评测IPS方法
帖子发表于 : 2012-08-23 18:39 
离线
超级用户

关注按钮

注册: 2009-12-22 13:25
最近: 2013-08-27 09:45
拥有: 2,732.00 安全币

奖励: 1109 安全币
在线: 4247 点
帖子: 407
caibao 写道:
叫 p
jerry6 写道:
jimao123 写道:
LACP目前用的不多了,大家都上万兆了,但是救急的时候还是不错的。
通过实际测试,TP夹在LACP链路中,只要将“不对称网络”这个功能打勾,就可以支持上下设备之间链路聚合了。当然,开了不对称网络,会失去对DDoS的判断能力,因为搞不清TCP的状态了。有得有失,但IPS处理DDoS本来就是意思意思的,所以也无所谓。

至于McAfee,不清楚是否支持,一堆的菜单,眼花。


IPS专家了。你叫原来启明的IPS是什么呢。


身处花花世界,心归华安信达,难得啊包子!


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012