What do you think?
Rate this book
Intrusion Prevention and Active Response: Deploying Network and Host IPS
Intrusion Prevention and Active Response provides an introduction to the field of Intrusion Prevention and provides detailed information on various IPS methods and technologies. Specific methods are covered in depth, including both network and host IPS and response technologies such as port deactivation, firewall/router network layer ACL modification, session sniping, outright application layer data modification, system call interception, and application shims.
Paperback
First published February 1, 2005
1 person want to read
Ratings & Reviews
Friends & Following
Create a free account to discover what your friends think of this book!
Community Reviews
Displaying 1 of 1 review
November 21, 2013
Encore dans la série des livres traitant des IDS/IPS.
Ce qui me semblait intéressant est ce qui suit :
- Un des premiers papiers qui traite des IDS est celui de James Anderson "Computer Security Threat Monitoring and Surveillance" (1980)
- La différence entre un "Active Response System" et un IPS est le fait que le 1er agit après coup (certains types d'attaques peuvent passer et la réponse automatisée sera vaine), par contre l'IPS (inline en réseau et par analogie sur le host) ne laisse pas d'emblée l'attaque passer
- C'était amusant de lire un exemple d'attaque par l'insertion de code binaire dans le Header "Referer" (HTTP). C'est une des questions que je discutais avec des collègues il n y a pas longtemps et il trouvaient du mal à concevoir une attaque par cette manière
- Un des mérites de ce livre est la discussion détaillée, avec des exemples, des limites des IDS / IPS à cause de la possibilité de générer facilement des faux positifs provoquant des alertes (IDS) ou même des actions (IPS)
- Une idée importante qui n'est pas toujours présente dans les implémentations des IPS est d'éviter d'attirer l'attention des attaquants sur la présence de ce dispositif. Ce qui nécessite de bien penser les réactions automatisées
Il faudra, selon l'auteur, éviter de droper ou de rejeter les paquets de l'attaquant, en procédant à la place à l'altération du contenu applicatif malicieux et faire passer les paquets à leur destination, devenus ainsi inoffensifs.
Mais dans ce cas, il faudra aussi faire attention à ne pas perturber le fonctionnement de l'applicatif derrière par cette altération, d'où la nécessité de bien maîtriser le fonctionnement de cet applicatif.
- Un plus de ce livre est les exemples détaillés des attaques et comment les traiter avec un IPS
- La partie "Host IPS" est un peu vague. On trouve les techniques qu'un Host IPS peut utiliser, en citant les patchs noyaux actuels, mais pas des produits ou solutions Host IPS
Ce qui me semblait intéressant est ce qui suit :
- Un des premiers papiers qui traite des IDS est celui de James Anderson "Computer Security Threat Monitoring and Surveillance" (1980)
- La différence entre un "Active Response System" et un IPS est le fait que le 1er agit après coup (certains types d'attaques peuvent passer et la réponse automatisée sera vaine), par contre l'IPS (inline en réseau et par analogie sur le host) ne laisse pas d'emblée l'attaque passer
- C'était amusant de lire un exemple d'attaque par l'insertion de code binaire dans le Header "Referer" (HTTP). C'est une des questions que je discutais avec des collègues il n y a pas longtemps et il trouvaient du mal à concevoir une attaque par cette manière
- Un des mérites de ce livre est la discussion détaillée, avec des exemples, des limites des IDS / IPS à cause de la possibilité de générer facilement des faux positifs provoquant des alertes (IDS) ou même des actions (IPS)
- Une idée importante qui n'est pas toujours présente dans les implémentations des IPS est d'éviter d'attirer l'attention des attaquants sur la présence de ce dispositif. Ce qui nécessite de bien penser les réactions automatisées
Il faudra, selon l'auteur, éviter de droper ou de rejeter les paquets de l'attaquant, en procédant à la place à l'altération du contenu applicatif malicieux et faire passer les paquets à leur destination, devenus ainsi inoffensifs.
Mais dans ce cas, il faudra aussi faire attention à ne pas perturber le fonctionnement de l'applicatif derrière par cette altération, d'où la nécessité de bien maîtriser le fonctionnement de cet applicatif.
- Un plus de ce livre est les exemples détaillés des attaques et comment les traiter avec un IPS
- La partie "Host IPS" est un peu vague. On trouve les techniques qu'un Host IPS peut utiliser, en citant les patchs noyaux actuels, mais pas des produits ou solutions Host IPS
Displaying 1 of 1 review