• Strona główna

---

• Aktualności
• Newsletter
• Nowe produkty
• Testy

• SIECI KOMPUTEROWE
• BEZPIECZEŃSTWO
• TELEKOMUNIKACJA
• APLIKACJE I SYSTEMY OPERACYJNE
• SERWERY I PAMIĘCI MASOWE
• RYNEK
• UPS I ZASILANIE
• ZARZĄDZANIE SIECIAMI

---

• PRZEGLĄD PRODUKTÓW SIECIOWYCH 2008
• PORADY
• Opinie, Felietony, Wywiady
• Forum
• Programy
• Seminaria
• Whitepapers
• Suplementy
• Kompendium
• Archiwum
• Prenumerata

IPS nie w pełni wykorzystywane

24 września 2008 13:51

Józef Muszyński, IDG News Service

Według badań Infonetics Research, sieciowe systemy zapobiegania wtargnięciom (IPS), które są urządzeniami wpinanymi do sieci w celu wykrywania i blokowania różnych ataków, nadal używane są najczęściej jak systemy wykrywania wtargnięć (IDS), pasywnie monitorujące ruch.

Firma badawcza przeprowadziła ankietę wśród 169 specjalistów, odpowiedzialnych za zarządzanie IPS w różnych organizacjach, aby sprawdzić czy w rzeczywistości wykorzystywana jest pełna funkcjonalność IPS - to znaczy filtrowanie ruchu w celu zablokowania ataków. Badania zamówione przez TippingPoint, dostawcę IPS, objęły zarówno produkty tej firmy jak i Cisco, IBM, McAfee i Sourcefire.

Cisco jest dominującym dostawcą IPS i badania to odzwierciedlają: respondenci to 77 użytkowników rozwiązań Cisco, 36 - TippingPoint, 36 - IBM ISS Proventia, 26 - McAfee i 15 - Sourcefire. Wszyscy użytkownicy dostarczyli szczegółowych opisów sposobu wykorzystania IPS w swoich organizacjach.

Pierwszym krokiem wdrożenia IPS jest zazwyczaj podjecie decyzji czy ma być on używany "w pasmie" czy "pozapasmowo" i według badań, 91 proc. użytkowników TippingPoint wybrało pierwszą opcję, w wypadku Cisco było to 70 proc. IBM i McAfee - 67 proc, a Sourcefire ok. 55 proc.

Najczęściej podawanymi powodami wybrania opcji "poza pasmem" były obawy o niezawodność, niedostateczną przepustowość, opóźnienia w ruchu i problem fałszywych rozpoznań, związane z opcją "in-band".

Dla wybierających opcję "in-band", kolejnym krokiem jest decyzja, które z dostępnych w urządzeniu filtrów ma być aktywowanych w celu blokowania różnych typów ruchu związanych z atakiem. Badania pokazały, że w tym wypadku często nie stosuje się wszystkich filtrów w trybie blokowania ataków, ale w prostszym trybie alarmowania. Filtry IPS do blokowania były stosowane dużo częściej w urządzeniach TippingPoint, a znacznie rzadziej w Sourcefire. W urządzeniach IBM, Cisco i McAfee blokowania i alarmy były aktywowane w proporcjach "pół na pół".

Według badań tylko od 40 do 70 proc. uaktualnień filtrów, oferowanych przez dostawców, jest stosowanych w urządzeniach. Według analityków wynik ten odzwierciedla praktyki użytkowników, którzy zazwyczaj testują uaktualnienie filtrów w warunkach laboratoryjnych zanim je wprowadzą. Czasami nowe sygnatury mogą zakłócą pracę pewnych aplikacji lub blokować protokoły i jest to powód ich pomijania.

Analitycy zauważają też, że rozwiązania TippingPoint są konstruowane z założeniem pracy w paśmie, ale już urządzenia Cisco - nie.

Głównym powodem unikania włączania pełnych filtrów jest, zdaniem analityków, problem wydajności tych urządzeń, które pracując w paśmie mogą opóźniać przepływ ruchu, a także problem fałszywych rozpoznań, który może prowadzić do blokowania ruchu legalnego.

Komentarze

Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

• Liczba zatwierdzonych komentarzy (2) |
• dodaj komentarz |
• zobacz wszystkie