12345678910
返回列表 發帖
evantkh

Rank: 3Rank: 3Rank: 3
31# 跳轉到 »
發表於 2022-5-18 18:13 | 只看該作者
其實係有分別嘅

你講得無錯,明知有漏洞最根本應該 fix server 問題,但 IDS/IPS 係靠 pattern 去 ...
fakeman 發表於 2022-5-18 13:47


但如何定義合理也是另一個問題,reverse proxy本身也未必會明白個program本身個business logic,有漏洞一樣可以導致其他損失。

TOP

evantkh

Rank: 3Rank: 3Rank: 3
32#
發表於 2022-5-18 18:16 | 只看該作者
其實係有分別嘅

你講得無錯,明知有漏洞最根本應該 fix server 問題,但 IDS/IPS 係靠 pattern 去 ...
fakeman 發表於 2022-5-18 13:47


如果IPS/IDS認到已知漏洞,理論上軟件方面也應該知道,也應該是fix server才對(如果唔計misconfiguration)。

TOP

Reguna

Rank: 2Rank: 2
33#
發表於 2022-5-18 19:41 | 只看該作者
如果IPS/IDS認到已知漏洞,理論上軟件方面也應該知道,也應該是fix server才對(如果唔計misconfiguration ...
evantkh 發表於 2022-5-18 18:16


我會保持D package係最新既
不過諗左幾下 可能最後都係VPN算
需要比人用再放

TOP

evantkh

Rank: 3Rank: 3Rank: 3
34#
發表於 2022-5-18 20:16 | 只看該作者
我會保持D package係最新既
不過諗左幾下 可能最後都係VPN算
需要比人用再放 ...
Reguna 發表於 2022-5-18 19:41


或者評估過個application係internet safe也可以

TOP

fakeman

Rank: 4Rank: 4Rank: 4Rank: 4
35#
發表於 2022-5-18 20:21 | 只看該作者
如果IPS/IDS認到已知漏洞,理論上軟件方面也應該知道,也應該是fix server才對(如果唔計misconfiguration ...
evantkh 發表於 2022-5-18 18:16



    第一,所有野都有 time gap......custom server fix 未必係即時可以做到,咁 IDS/IPS 可以幫手填補時間空缺。

第二,IDS/IPS 有 d 係可以借助某 d pattern 去估係咪受攻擊,呢個擺係 server side 嘅話咪每部 server 都要 implement 一次?

TOP

fakeman

Rank: 4Rank: 4Rank: 4Rank: 4
36#
發表於 2022-5-18 20:22 | 只看該作者
但如何定義合理也是另一個問題,reverse proxy本身也未必會明白個program本身個business logic,有漏洞一 ...
evantkh 發表於 2022-5-18 18:13



    所有野擺得去 public access 就有一定風險,而家咪就係講緊減低風險啫,邊有可能 100% 擋住

TOP

evantkh

Rank: 3Rank: 3Rank: 3
37#
發表於 2022-5-18 21:30 | 只看該作者
所有野擺得去 public access 就有一定風險,而家咪就係講緊減低風險啫,邊有可能 100% 擋住 ...
fakeman 發表於 2022-5-18 20:22



   

關於Time gap問題,如果真有zero-day,就算更新IDS/IPS個pattern都要時間,要睇邊個快。如果是自己個business logic出問題,應該都冇辦法用出面pattern。如果有特別原因係唔想patch個server,例如擔心其他營運問題想要多啲時間做測試,甚至根本唔想patch,或者唔想花時間人力,個人認為這是政治問題多過技術問題。

如果要估是否受攻擊,可以照裝個IDS在防火牆內或外做個research用嘅setup。這樣就出現另一個考慮,用戶本身想做research還是只想保護server?如果只係想留證據,也可以按需要在server/application做access log、action log等。

回到風險問題,這個要對應需要保護的資產或內容來看。例如自己家裏、非經營性的內部使用,你未必會想故意購買DDoS防禦。到最後還是政治問題多過技術問題。

TOP

wunit

Rank: 3Rank: 3Rank: 3
38#
發表於 2022-5-18 21:38 | 只看該作者
可能我理解錯左DMZ
我諗住係有兩個subnet 一個放出街service 一個放私人野
然後出街個邊就用reverse proxy ...
Reguna 發表於 2022-5-18 12:36


你冇錯, 係有D師兄以為DMZ只係家用Router個"DMZ" option (姐係All Port Forward)

DMZ只係一個isolation的概念......

TOP

fakeman

Rank: 4Rank: 4Rank: 4Rank: 4
39#
發表於 2022-5-18 21:58 | 只看該作者
關於Time gap問題,如果真有zero-day,就算更新IDS/IPS個pattern都要時間,要睇邊個快。如果是自 ...
evantkh 發表於 2022-5-18 21:30



    咁講喇,patch 點落,係要時間消化,如果本身你套嘢係跟足原裝(例如人地 fix Apache,你本身都係用緊 vanilla Apache)咁咪容易。但有好多嘢係改來改去,例如同樣係 Samba,S 牌個 samba 都唔可能自己寫 100%,佢係基於某版本去改,咁 official patch 係唔 work 㗎喎。廠商要時間去 fix,呢個就係 time gap。另外落 patch 都要做 testing,屋企玩下冇所謂,commercial 唔係話 patch 即裝,有機會有問題㗎嘛(M$ 俾人插過唔少次 patch 完之後整死機,前排 Q 記 deadlock 單嘢,佢 force 用戶 remote update 後大把人本身 implement 咗嘅嘢炒晒),所以都唔可能有 patch 就諗都唔諗直上

IDS 正路應該要同 application 分開,同埋頭先我都講喇,如果我 firewall 後面有 10 個 web server,唔通 10 個都自己做IDS/IPS? 梗係出面一部機守龍門喇。

不過話分兩頭,一般家用就真係無咩需要 IDS 嘅,唔值得花時間做

TOP

dwight

Rank: 2Rank: 2
40#
發表於 2022-5-18 22:06 | 只看該作者
之前睇過firewall log一排, 只要block咗香港以外ip, 同埋唔好放80, 443 & 22呢啲高危port, 基本上冇乜人會搞, 放出街都唔係咁危險.

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

TOP

12345678910
返回列表