Pensando en las noticias recientes sobre los enrutadores SOHO vulnerables al ataque de VPNFilter: enlace .
Teóricamente, un dispositivo del Sistema de prevención de intrusiones (IPS) (Snort, Suricata, Cisco, Juniper, Barracuda, etc.) colocado entre un ISP / gateway y un enrutador / firewall vulnerable ha bloqueado el ataque, asumiendo una firma coincidente ¿Ya estaba instalado en la base de datos del dispositivo?
Más interesante aún, ¿alguien está al tanto de cualquier evidencia de que un IPS haya bloqueado tal ataque?
O, incluso si fuera posible bloquear un ataque de este tipo, ¿habría sido demasiado tarde si se tratara de un ataque de día cero?
Por lo general, IPS se ve como una herramienta para proteger a los usuarios finales del malware, aunque, a medida que se cifran más sitios web, algunos consideran que IPS es discutible, ya que no puede inspeccionar fácilmente dicho tráfico cifrado. ¿Pero podría ser útil bloquear los ataques en el enrutador / firewall?