un sistem de prevenire a intruziunilor (IPS) este un instrument de securitate a rețelei și de prevenire a amenințărilor. Ideea din spatele prevenirii intruziunilor este de a crea o abordare preventivă a securității rețelei, astfel încât potențialele amenințări să poată fi identificate și să răspundă rapid. Sistemele de prevenire a intruziunilor sunt astfel utilizate pentru a examina fluxurile de trafic în rețea pentru a găsi software rău intenționat și pentru a preveni exploatările de vulnerabilitate.,un IPS este utilizat pentru a identifica activitatea rău intenționată, pentru a înregistra amenințările detectate, pentru a raporta amenințările detectate și pentru a lua măsuri preventive pentru a opri deteriorarea unei amenințări. Un instrument IPS poate fi folosit pentru a monitoriza continuu o rețea în timp real.prevenirea intruziunilor este o metodă de detectare a amenințărilor care poate fi utilizată într-un mediu de securitate de către administratorii de sistem și de securitate. Aceste instrumente sunt utile pentru sisteme ca o acțiune de prevenire a evenimentelor observate., În plus, cu multe modalități potențiale de apariție a unei activități suspecte, este important să existe un plan pentru detectarea atacurilor potențiale.un sistem de prevenire a intruziunilor este creat pentru a extinde capabilitățile de bază găsite în sistemele de detectare a intruziunilor (idses).
cum funcționează sistemele de prevenire a intruziunilor?
un sistem de prevenire a intruziunilor va funcționa scanând prin tot traficul de rețea. Pentru a face acest lucru, un instrument IPS va sta de obicei chiar în spatele unui firewall, acționând ca un strat suplimentar care va observa evenimente pentru conținut rău intenționat., În acest fel, instrumentele IPS sunt plasate pe căi de comunicare directă între un sistem și o rețea, permițând instrumentului să analizeze traficul de rețea.,în urma sunt trei abordări comune pentru un IPS instrument pentru a proteja rețelele:
- detectare pe bază de semnătură în care IPS instrument utilizează definite anterior semnăturile de atac a cunoscut amenințări de rețea pentru a detecta amenințările și să ia măsuri;
- anomalie bazate pe detectarea în care IPS căutări pentru neașteptate de comportament de rețea și blochează accesul la gazdă dacă este detectată o anomalie; și
- politici bazate pe detectarea în care IPS necesită, în primul rând administratorilor de a face politici de securitate-atunci când se produce un eveniment care rupe o anumită politică de securitate, o alertă este trimis pentru administratorii de sistem.,dacă sunt detectate amenințări, un instrument IPS este de obicei capabil să trimită alerte administratorului, să renunțe la pachetele de rețea rău intenționate și să reseteze conexiunile prin reconfigurarea firewall-urilor, reambalarea sarcinilor utile și eliminarea atașamentelor infectate de pe servere.
IPS instrumente pot ajuta fend off denial-of-service (DoS) atacuri distributed denial-of-service (DDoS) atacuri, viermi, viruși sau exploateaza, cum ar fi un zero-day exploit., Potrivit lui Michael Reed, anterior din Top Layer Networks (achiziționat de Corero), un sistem eficient de prevenire a intruziunilor ar trebui să efectueze o monitorizare și o analiză mai complexă, cum ar fi urmărirea și răspunsul la modelele de trafic, precum și pachetele individuale. „Mecanismele de detectare pot include potrivirea adreselor, potrivirea șirului HTTP și a substratului, potrivirea modelului generic, analiza conexiunii TCP, detectarea anomaliilor pachetelor, detectarea anomaliilor traficului și potrivirea portului TCP/UDP.”
tipuri de sisteme de prevenire a intruziunilor
trei tipuri de sisteme de prevenire a intruziunilor apar frecvent., Aceste tipuri sunt următoarele:
- rețea analiza comportamentului (NBA), care analizează comportamentul de rețea pentru anormală a fluxului de trafic — frecvent utilizat pentru detectarea atacurilor DDoS;
- network-based intrusion prevention system (NIPS), care analizează o rețea să se uite pentru traficul suspect-de obicei din jur protocoale;
- host-based intrusion prevention system (HIPS), care sunt instalate într-o singură gazdă și folosite pentru a analiza activitatea suspectă într-o anumită gazdă.în plus, există și alte tipuri de instrumente IPS, inclusiv cele care analizează rețelele fără fir., În linii mari, însă, se poate spune că un sistem de prevenire a intruziunilor include orice produs sau practică folosită pentru a împiedica atacatorii să obțină acces la rețeaua dvs., cum ar fi firewall-uri și software antivirus.,
Beneficii de prevenire a intruziunilor sisteme
Beneficiile de prevenire a intruziunilor sisteme includ următoarele:
- reducerea șansele de incidente de securitate;
- furnizarea de dinamic amenințare de protecție;
- în mod automat de notificare administratorilor, atunci când o activitate suspectă este găsit;
- atenuarea atacurilor de tip zero-day amenințări, atacuri DoS, Atacuri DDoS și brute-force atac încercări;
- reducerea întreținerea rețelelor de personal; și
- permite sau nega specifice traficul de intrare la o rețea.,
dezavantajele sistemelor de prevenire a intruziunilor
dezavantajele sistemelor de prevenire a intruziunilor includ următoarele:
- când un sistem blochează activitatea anormală într-o rețea presupunând că este rău intenționat, poate fi un fals pozitiv și poate duce la un DoS către un utilizator legitim.
- dacă o organizație nu are suficientă lățime de bandă și capacitate de rețea, un instrument IPS ar putea încetini un sistem.
- dacă există mai multe IP-uri într-o rețea, datele vor trebui să treacă prin fiecare pentru a ajunge la utilizatorul final, provocând o pierdere a performanței rețelei.
- IP-urile pot fi, de asemenea, costisitoare.,
IPS vs. IDS
IDSes sunt instrumente software create pentru a detecta și monitoriza traficul în rețea. Atât instrumentele IPS, cât și IDS vor citi pachetele de rețea și vor compara conținutul acestora cu amenințările cunoscute. Cu toate acestea, IDS diferă în ce acțiuni sunt luate în continuare. Un instrument IDS nu va lua nici o acțiune pe cont propriu. Un IDS necesită un om pentru a analiza rezultatele și să ia decizii cu privire la ce să facă în continuare. Acesta este motivul pentru care IPS este văzută ca o extensie a ID-urilor.
un IDS este conceput pentru a monitoriza o rețea și pentru a trimite alerte administratorilor dacă se găsește o amenințare., Cu toate acestea, un IPS este conceput pentru a controla accesul la rețea și pentru a proteja o rețea de rău.ca un IDS, un IPS va monitoriza traficul de rețea. Cu toate acestea, deoarece o exploatare poate fi efectuată rapid după ce atacatorul obține acces, sistemele de prevenire a intruziunilor au, de asemenea, capacitatea de a lua măsuri imediate, pe baza unui set de reguli stabilite de administratorul de rețea. De exemplu, un IPS ar putea să renunțe la un pachet pe care îl consideră rău intenționat și să blocheze tot traficul ulterior de la adresa sau portul Internet Protocol (IP)., Traficul legitim, între timp, ar trebui să fie transmis destinatarului fără întreruperi sau întârzieri aparente ale serviciului.