Arquitectura de diseño y seguridad: ¿dónde se deben colocar los IPS / IDS?

0

Soy una arquitectura de sistema que trabaja en proyectos, en su mayoría proyectos relacionados con CDN, y actualmente estoy un poco confundido acerca de dónde se debe colocar el IPS / IDS. Tenemos un servidor web basado en NGINX para el borde que está siendo protegido y monitoreado con NAXSI como su WAF. Todos los servidores usan SELinux, y usan firewalld como su firewall del sistema. Las solicitudes deben enviarse directamente al servidor perimetral de NGINX, y estoy tratando de evitar los volcados de red.

La pregunta es, ¿dónde se debe colocar el IPS / IDS? ¿Debería estar en el servidor perimetral o debería estar en otra máquina? El rendimiento es la consideración más importante que debemos tener.

|          |
|          |                            --->> OTHER SERVERS
| FIREWALL |                           /
|          |                          /
|          |  ---->>>    NGINX EDGE  ------>> OTHER SERVERS
|          |                          \
|          |                           \
|          |                            --->> OTHER SERVERS
|          |    
|          |   should IPS be on NGINX EDGE? Or should I add another
|          |   machine in front of NGINX EDGE - Closer to Firewall ?
    
pregunta Parsa Samet 10.05.2017 - 09:04
fuente

2 respuestas

1

No muy lejos de ser una cuestión de gustos ... Más exactamente, realmente depende de demasiados factores para permitir una respuesta definitiva. Solo algunos consejos:

  • cuanto antes, mejor si desea que se le advierta contra ataques contra el servidor perimetral o el propio firewall
  • después del límite puede ser mejor si tiene un tráfico muy alto para evitar un cuello de botella en el IDS / IPS
  • después del límite puede tener sentido si tiene tráfico HTTPS descifrado en el nivel del borde y desea analizarlo

Pero también podría imaginar un ID de red cerca del firewall para tráfico no cifrado con TLS e ID de host en los servidores de aplicaciones para la parte cifrada TLS

    
respondido por el Serge Ballesta 10.05.2017 - 10:23
fuente
1

IDPS puede tener varios sensores ubicados en múltiples ubicaciones de red, dependiendo de la información que le gustaría usar para detectar anomalías o detener los ataques. Debería consultar NIST SP 800-94 , Una guía sobre este tema exacto. Las arquitecturas para IDPS de red están cubiertas en las secciones 4.2 y 6.1. Los sensores pasivos deberían tener un impacto mínimo en el rendimiento.

    
respondido por el Michał Staruch 11.05.2017 - 19:05
fuente

Lea otras preguntas en las etiquetas