Auditoría de configuración para IPS / IDS [cerrado]

-1

Se me ha asignado la tarea de auditoría de configuración como mi primera tarea en mi primer trabajo. Como desafío, tengo que encontrar vulnerabilidades al leer los registros de la sesión PuTTy y no tengo acceso a la consola.

Por favor, comparta si tiene algún enlace para leer y aprenda cómo hacer revisiones de configuración de IDS / IPS. En particular,

¿Cuáles son algunos de los errores comunes que se encuentran durante la auditoría de configuración de IPS / IDS?

EDIT

Estoy buscando algo en la línea de esto. Solo como no tengo acceso a la consola, tengo que leer entre líneas para encontrar vulnerabilidades. A través de la configuración, si encuentro algo como: manage telnet status set enable . Sé que telnet está habilitado, así que lo reportaré como un hallazgo.

    
pregunta xandfury 06.09.2015 - 04:08
fuente

1 respuesta

1

Como dijo Schroeder, su trabajo parece determinar si el IDS / IPS hace cumplir correctamente la política de la empresa, es decir. genera una alerta cuando algo va en contra de la política y permanece en silencio cuando el tráfico cumple con la política.

Por lo tanto, simplemente no hay forma de verificar correctamente si el IDS / IPS está "configurado correctamente" sin tener un conocimiento claro de la política actual.

Para encontrar "vulnerabilidades", es decir. el tráfico permitido por el IDS / IPS mientras que la política no lo permite, de hecho, debe tener una visión clara de cosas como:

  • Quién tiene permiso para conectarse,
  • A a qué recursos se les permite conectarse,
  • Desde a dónde se les permite conectarse,
  • Cuando se les permite conectarse,
  • Cómo se les permite conectarse.

Una vez que sepas esto, podrás identificar reglas que pueden ser demasiado estrictas (falsos positivos), demasiado laxas (falsos negativos) o simplemente faltantes.

    
respondido por el WhiteWinterWolf 06.09.2015 - 11:43
fuente

Lea otras preguntas en las etiquetas