Netværkssikkerhed: Intrusion Prevention and Intrusion Detection - dummies

Netværksadministratorer bør implementere indbrudsdetekteringssystemer (IDS) og indbrudssikringssystemer (IPS) for at tilvejebringe en netværkssikker sikkerhedsstrategi. IDS og IPS tilbyder begge en lignende pakke af muligheder. Faktisk kan du tænke på IPS som en udvidelse af IDS, fordi et IPS-system aktivt kobler enheder eller forbindelser, der anses for at blive brugt til et indbrud.

IDS-enheder kan være netværksbaserede enheder, der kører som apparater eller separate servere, der kører software, som udfører IDS-rollen, men de kan også installeres på klient- eller netværkscomputere. Den senere refereres ofte til værtsbaseret indbrudsdetekteringssystem (HIDS).

Disse enheder kan opholde sig i dit netværk, bag din firewall, opdage abnormiteter der, og / eller de kan placeres uden for din firewall. Når de er uden for din firewall, er de typisk målrettet mod de samme angreb, der løber mod firewallen, og derved alerter dig til angreb, der køres mod din firewall.

Cisco tilbyder flere muligheder for IDS og IPS-systemer og tilbyder disse som selvstændige systemer eller som tilføjelser til dine eksisterende sikkerhedsprodukter. Følgende er to sådanne muligheder:

Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Modul

IDS og IPS har flere metoder til at arbejde med detektion. På samme måde som vira på dit netværk har indtrængen og angrebne funktioner, der registreres som en signatur eller adfærd. Så når IPS-systemet ser denne type data eller adfærd, kan IPS-systemet svinge til handling.

Mistænkelig adfærd kan også udløse disse systemer. Denne adfærd kan omfatte et fjernsystem, der forsøger at pinge alle adresser på dit undernet i rækkefølge og anden aktivitet, der anses for at være unormal. Når IPS-systemet ser denne aktivitet, kan IPS'en konfigureres til at blacklist eller blokere kildeenheden, enten på ubestemt tid eller i en periode.

På den anden side kan disse systemer identificere mistænkelig trafik på dit netværk, hvis de skal køre i en læringsmodus i en periode. I løbet af uger kan de klassificere regelmæssige trafikmønstre på dit netværk og derefter begrænse trafikken til de etablerede mønstre.

Hvis du introducerer ny software til dit netværk, skal du muligvis manuelt tilføje relevante regler eller køre en læringsperiode og derefter sætte systemet tilbage i forebyggelsestilstand.Denne nødvendighed er endog sandt for de værtsbaserede systemer, fordi de opdaterer deres regler fra ledelsen eller politiserveren, der kører på netværket.

Disse systemer hjælper med at forhindre spredning af

Day Zero attacks,, som er nye vira eller netværksangreb, der adskiller sig fra alle tidligere netværksintrænger. Fordi disse Day Zero-angreb er nye, har du ikke en bestemt underskrift for angrebet. men angrebet skal stadig udføre samme mistænkelige adfærd, som kan opdages og blokeres.