IPSのステートフル署名

通常、ステートフルパケットインスペクションは、悪意のある攻撃者の動作に対処するためのネットワークセキュリティの業界標準です。パケットが異なるネットワークセグメントで出入りできる非対称ネットワークを実行しているため、IPSはおそらくすべてのトランザクションの状態を維持できないため、攻撃が識別されない可能性が高く、ペイロードを目的地に配信し続けることができるので、基本的には、大量の誤った希望を伴う修正というよりは、バンドエイドになります。

ステートフルインスペクションは、ヘッダー情報を調べるだけでなく、パケットコンテンツ全体（アプリケーション層まで）も検査するため、送信元と宛先の情報を超えて、パケットに関するより多くのコンテキストを決定します。ほとんどのステートフルインスペクションは、接続の状態も監視し、状態/セッションテーブルに履歴情報をまとめます。その結果、動的フィルタリングの決定は、既知のIPアドレスまたはTCPポート（静的パケットフィルタリングの場合のように）を単にブロックする一般的な管理者定義のルールを超えて拡張され、パケットのコンテキストを考慮に入れることができます。以前にIPSを通過したパケットによって確立されました。

ステートフルインスペクションをオンにしないと、基本的に通常のファイアウォールブロッキングを実行し、ほとんどのトラフィックを監視しないままにします。現在のタイムラインの種類はわかりませんが、ネットワークにIDSボックスをインストールし、ミラーポートを介してメインスイッチに数週間接続して、どのように、誰があなたであるかを把握します。疑わしいセキュリティの脅威をトップにして、一連のアクションを計画します。

ネットワークではSnorbyまたはSecurityOnionを使用しており、潜在的な脅威を特定するのに非常に効果的です。前日のレポートを毎晩メールで送信するように設定しているので、トラフィックが最も疑われるローカルIPと、それらがヒットしているシグニチャがわかります。次に、署名のヒットが本物か誤検知かをバックアップして調査できます。次に、問題の修正に取り組みます。

これがお役に立てば幸いです