Intrusion Prevention & DoS Flashcards
Quali sono i due tipi di attacchi rilevati dall’IPS di Fortigate e come vengono identificati?
I due tipi di attacchi rilevati dall’IPS di Fortigate sono gli attacchi di Anomaly (come Zero-Day attack o DoS) e gli attacchi di Exploit (attacchi già conosciuti). Gli attacchi di Anomaly vengono rilevati tramite analisi comportamentale, mentre gli attacchi di Exploit vengono rilevati tramite il matching di signature.
Qual è il ruolo dei protocol decoders nell’IPS di Fortigate?
I protocol decoders nell’IPS di Fortigate analizzano ogni pacchetto basandosi sulle specifiche del protocollo. Se il traffico non è conforme al protocollo, il decoder rileva l’errore e può segnalare eventuali anomalie.
Qual è la differenza tra il signature database “Regular” e “Extended” nell’IPS di Fortigate?
Il signature database “Regular” include attacchi comuni con identificazioni certe, mentre il signature database “Extended” include anche signature di attacchi più rari o meno comuni. Tuttavia, l’utilizzo del signature database “Extended” può richiedere più risorse computazionali.
Come vengono applicate le eccezioni nelle IPS policy di Fortigate?
le eccezioni possono essere applicate specificando gli indirizzi IP sorgente o destinazione. Queste eccezioni consentono di escludere determinati indirizzi IP dalle signature, consentendo un controllo più granulare sulle azioni intraprese dall’IPS.
Come fa l’IPS a fare intrusion detection e blocking?
Tramite le signature prese dal signature database di FortiGuard
Tramite protocol decoders e IPS Engine (web filtering, application control, antivirus…)
Che opzioni sono disponibili configurando filtri o aggiungendo signature all’IPS?
Allow
Monitor
Block
Reset: resetta la connessione
Default: prende l’azione della signature
Quarantine: Blocca l’IP per tot tempo
Che tipi di DoS policy esistono?
Flood: rileva alto volume di traffico
Sweep/scan: rilevva tentativi di scan
Source: rileva alto traffico da un IP
Destination: rileva altro traffico verso un IP