Netværksintrusionsdetektion forebyggelse

Indlæg af Hanne Mølgaard Plasc

 

Funktioner

En netværksbaseret IDPS består af et netværksindbrudsdetekteringssystem (NIDS), som er en netværksbaseret IDS-enhed og et indbrudsforebyggelsessystem (IPS), som er en software. De to teknologier (IDS og IPS) overvåger ikke blot et netværk, men analyserer netværkstrafik, pakkeindhold og applikationsprotokolaktivitet; IDPS forhindrer desuden, at mistænkelige aktiviteter, som trusler eller angreb, forekommer på netværket.

Funktioner

En netværksbaseret IDPS kan overvåge et stort netværk på jagt efter ondsindede aktiviteter, der kan skade det. Det kan registrere hændelser, informere netværkssikkerhedspersonale, producere rapporter og reagere på trusler, hvis det opdages, på to måder: ved at stoppe det og / eller rapportere det.

Installation / Distribution

En netværksbaseret IDPS er bedst installeret i inline-tilstand, ikke passiv, for nem at overvåge netværkstrafikken og stoppe angreb (ved at blokere datastrømmen) fra at nå en destination. Mange gange er en IDPS placeret inden i firewall eller foran netværksserveren. Det er dog vigtigt at sikre, at IDPS enten placeres på den sikrere side af et netværk eller den side af netværket, der modtager det meste af trafikken.

Detektion / Forebyggelse

Et netværksbaseret IDPS registrerer usikre begivenheder og søger et netværk for mulige hændelser. Derudover registrerer den aktivt statistiske og protokolanomalier med detektionssoftware, der almindeligvis er kendt som agent, som overfører data til netværksserveren for at forhindre sådanne indtrængen. IDPS vil blokere uautoriserede forsøg på netværksforbindelser, ulovlig trafik og trusler eller angreb, såsom vira, malware, DoS-angreb og bufferoverløb.

Fordele / ulemper

Som en fordel, baseret IDPS hjælper med at registrere tegn på mulige hændelser på netværket. Når en hændelse (som en trussel eller et angreb) opdages, lyder det en alarm, der advarer korrekt personale i tide. Derudover kan en IDPS hjælpe med at løse hændelser, før de ødelægger, beskadiger eller ødelægger et netværk. Kort sagt giver en netværksbaseret IDPS komplet netværksdækning og sikkerhedsbeskyttelse. Som en ulempe er den tilbøjelig til falske alarmer (almindeligvis kendt som falske positiver): IDS'en advarer til en tilstand, der faktisk ikke er truende. For at rette op på denne type problem, skal en IDPS genkonfigurere for at ændre eller mindske sikkerhedsstyresignalerne. Alternativt kan sikkerhedskontroller indstilles ud fra regler eller politikker, der leveres af netværket eller sikkerhedsadministratoren.

Advarsel

Netværksbaserede IDPS'er er ofte rettet mod angribere, så det er vigtigt for en netværksadministrator at sikre IDPS-komponenter (herunder sensorer, konsoller og servere), samt at holde IDPS-softwaren opdateret.

Løsninger

Ifølge Snort.org er dets eget open source-program, Snort, det mest effektive gratis værktøj til at give netværkssikkerhed. Faktisk er Snort den mest udbredte IDS / IPS teknologi verden over. Sourcefire, skaberen af ​​Snort, foreslår også andre produkter, den skabte: Sourcefire IDS og Sourcefire IPS. Begge programmer er omkostningseffektive. Netværksintrusionsdetekteringsforebyggelsessystemer består af et indbrudsdetekteringssystem (IDS) og et intrusionsforebyggelsessystem (IPS). De leverer netværksbaseret indbrudsdetektering og forebyggelse. Det er en af ​​fire typer IDPS teknologier; de andre er: trådløs, netværksadfærd analyse (NBA) og vært-baseret.