IPS en IDS vragen

[joostman]

1. De Unifi heeft de optie voor een IDS en IPS, waarbij IDS alleen detecteert en IPS detecteert en die ene keer tegenhoudt als het verkeer bekend is als signature / handtekening. Waarom zou je de IDS gebruiken en de IPS niet? Volgens mij is de IPS altijd gewenst boven het achteraf zien van dat er een aanval (misschien met succes) is geweest.

2. De IPS wordt genoemd dat hij een aanval blokkeert, echter doe hij dit per aanval. Dus als iemand 100x een aanval doet dan wordt dit hopelijk 100 keer geblokkeerd. Logischer zou volgens mij zijn dat iemand 1 aanval doet en vervolgens echt geblokkeerd wordt en vervolgens geen 99 andere pogingen meer kan doen. Is dat, anders dan handmatig alle aanvallen na te lopen en zelf te zien dat iemand 100 pogingen doet en dat je dit zelf handmatig op dat IP-adres blokkeert?

3. Een IDS en IPS werken op signatures /handtekeningen van bepaalde aanvallen of software. Echter als er vandaag een nieuwe aanval wordt ontwikkeld, dan zal dit met de huidige handtekeningendatabase niet worden gedetecteerd lijkt mij. Hoe worden deze handtekeningen geüpdatet of kan je dit zelf updaten? Een beetje net als een virusscanner lijkt mij, die elke dag nieuwe virusdefinities ophaalt?

 

[Hofstede]

1. Als je de aanvallen wel wilt detecteren maar door een andere firewall wilt laten afhandelen.
2. De aanval wordt binnen de Unifi router geblokkeerd. Maar de router kan natuurlijk de aanval pas blokkeren als hij binnenkomt. Zelf handmatig het IP blokkeren heeft geen zin want de IPS/IDS detectie wordt eerder uitgevoerd dan de IP blokkade in de firewall.
3. De Suricata signatures worden dagelijks opgehaald / ververst door de Unifi router.

 

[Eddie the Eagle]

2. De aanval wordt binnen de Unifi router geblokkeerd. Maar de router kan natuurlijk de aanval pas blokkeren als hij binnenkomt. Zelf handmatig het IP blokkeren heeft geen zin want de IPS/IDS detectie wordt eerder uitgevoerd dan de IP blokkade in de firewall.

Steal with pride (van UI-Glenn) & ter aanvulling op de opmerking van @Hofstede :

Bij Detect & Block (IPS) gaat er een block op van 300 seconden. Als je doorklikt op de melding, dan staat daar 'allowed'. Dat wordt aangepast in OS 3.1 want is verwarrend en wordt regelmatig gemeld op het UI-forum.

 

[joostman]

Bijzonder dus... Eigenlijk kan ik mijn Firewall dus gewoon met zijn regels laten zoals hij is voor aanvallen van buitenaf (niets aan range of IP blocken) en puur dit voor echt handmatige acties die je nodig vind?

@Eddie Ik ben wel benieuwd hoe je aan je aan dat screenshot komt.
Ik zie alleen dit in mijn trafficlogs op mijn Network 7.2.95 op UniFi OS UDM Pro 1.12.33
(nieuwe view)

Oude view:

 

[Eddie the Eagle]

Bijzonder dus... Eigenlijk kan ik mijn Firewall dus gewoon met zijn regels laten zoals hij is voor aanvallen van buitenaf (niets aan range of IP blocken) en puur dit voor echt handmatige acties die je nodig vind?

Ja is inderdaad wat ik er van leer, maar eigenlijk zei Hofstede dat ook al, is dat die Block Connection/IP geen toegevoegde waarde hebben, dat wordt al door die Suricata signatures en IPS proces afgehandeld. Heeft geen zin om die ook nog eens via die knoppen hieronder aan je firewall toe te voegen want dat is wat het doet. Het IPS zal dit al voor zijn.

@Eddie Ik ben wel benieuwd hoe je aan je aan dat screenshot komt.
Ik zie alleen dit in mijn trafficlogs op mijn Network 7.2.95 op UniFi OS UDM Pro 1.12.33

Dat zal alleen in OS 3.0 zichtbaar zijn (of Network 7.3). Dat verklaart ook de opmerking van UI-Glenn dat het in OS 3.1 aangepast wordt.