Estoy ejecutando un IDS en el exterior de mi firewall (no sé lo ideal) y un IDS en el interior de mi LAN ejecutando los mismos algoritmos y definiciones de detección. Mi sitio web redirige automáticamente todas las solicitudes HTTP a HTTPS. Mi IDS detecta con frecuencia las exploraciones de nmap, los análisis de OpenVAS, los intentos de inyección de código variable de GNU Bash Environment, etc. en el interior de mi LAN que mi IPS no ve o bloquea en el exterior de mi red. Supongo que esto se debe a que estos ataques vienen encriptados usando mi propio SSL y como mi IPS en el exterior no aloja mis certificados SSL, no puede ver estos ataques. El tráfico se descifra en mi LAN mediante un equilibrador de carga que aloja los SSL antes de pasar el tráfico a los servidores IIS y aquí es donde el IDS detecta los ataques.
Mi única conclusión basada en la falta de detección de estos ataques es que los paquetes ingresan a nuestra red encriptados con nuestros propios certificados SSL y, por lo tanto, son "invisibles" para el IPS.
¿Es posible, o incluso común, que estos intentos de explotación utilicen los certificados SSL propios de un objetivo para evitar la detección?