Securitatea rețelei: Prevenirea intruziunilor și detectarea intruziunilor - manechine

Administratorii de rețea ar trebui să implementeze sisteme de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS) pentru a oferi o strategie de securitate la nivel de rețea. IDS și IPS oferă atât o suită similară de opțiuni. De fapt, vă puteți gândi la IPS ca o extensie a IDS, deoarece un sistem IPS deconectează în mod activ dispozitivele sau conexiunile care sunt considerate ca fiind utilizate pentru o intruziune.

Dispozitivele IDS pot fi dispozitive bazate pe rețea, care rulează ca aparate sau servere separate care execută software care execută rolul IDS, dar pot fi instalate și pe computere client sau de rețea. Cea mai recentă este adesea denumită sistem de detectare a intruziunilor bazate pe gazdă (HIDS).

Aceste dispozitive pot locui în interiorul rețelei dvs., în spatele firewallului dvs., detectând anomalii acolo și / sau pot fi plasate în afara firewall-ului. Când sunt în afara firewall-ului dvs., aceștia sunt în mod obișnuit vizați pentru aceleași atacuri care se execută împotriva firewall-ului, alergându-vă astfel la atacurile care se execută împotriva firewallului.

Cisco oferă mai multe opțiuni pentru sistemele IDS și IPS și le oferă ca sisteme independente sau ca suplimente pentru produsele de securitate existente. Următoarele sunt două opțiuni:

Modulul de identificare a intruziunilor din seria Cisco Catalyst 6500 (IDSM-2) Modul

IDS și IPS au mai multe metode de lucru cu detectarea. Similar virușilor din rețea, intruziunile și atacurile au caracteristici care sunt înregistrate ca semnătură sau comportament. Deci, atunci când sistemul IPS vede acest tip de date sau comportament, sistemul IPS se poate schimba în acțiune.

Comportamentul suspect poate declanșa și aceste sisteme. Acest comportament poate include un sistem la distanță care încearcă să ping toate adresele din subrețea în ordine succesivă și alte activități care sunt considerate anormale. Atunci când sistemul IPS vede această activitate, IPS poate fi configurat să blocheze sau să blocheze dispozitivul sursă, fie pe durată nedeterminată, fie pe o perioadă de timp.

Cealaltă modalitate în care aceste sisteme pot identifica traficul suspect în rețeaua dvs. este ca acestea să fie difuzate într-un mod de învățare pentru o perioadă de timp. De-a lungul săptămânilor, aceștia pot clasifica regulile de trafic obișnuite în rețeaua dvs. și pot limita traficul la modelele stabilite.

Dacă introduceți un nou software în rețeaua dvs., este posibil să fie nevoie să adăugați manual reguli corespunzătoare sau să derulați o perioadă de învățare și apoi să puneți sistemul înapoi în modul Prevenire.Această necesitate este valabilă și pentru sistemele bazate pe gazdă, deoarece acestea își actualizează regulile de la serverul de administrare sau de politică care rulează în rețea.

Aceste sisteme ajută la prevenirea răspândirii atacurilor Zero Zero, care sunt noi viruși sau atacuri de rețea care diferă de toate intruziunile anterioare ale rețelei. Deoarece aceste atacuri Zero Zero sunt noi, nu aveți o semnătură specifică pentru atac; dar atacul încă trebuie să facă aceleași comportamente suspecte, care pot fi detectate și blocate.