Tinklo saugumo srityje pagrindinį vaidmenį vaidina įsibrovimų aptikimo sistema (ID) ir įsibrovimo prevencijos sistema (IPS). Šis straipsnis išsamiai išnagrinės jų apibrėžimus, vaidmenis, skirtumus ir taikymo scenarijus.
Kas yra ID (įsibrovimo aptikimo sistema)?
ID apibrėžimas
Įsibrovimo aptikimo sistema yra saugos priemonė, stebinanti ir analizuojanti tinklo srautą, kad nustatytų galimą kenksmingą veiklą ar atakas. Tai ieško parašų, atitinkančių žinomus atakų modelius, tiriant tinklo srautą, sistemos žurnalus ir kitą svarbią informaciją.
Kaip veikia ID
IDS veikia daugiausia šiais būdais:
Parašo aptikimas: IDS naudoja iš anksto nustatytą atakos modelių parašą, panašų į virusų skaitytuvus virusams aptikti. IDS padidina perspėjimą, kai sraute yra funkcijų, atitinkančių šiuos parašus.
Anomalijos aptikimas: IDS stebi normalios tinklo aktyvumo pagrindą ir kelia įspėjimus, kai nustato modelius, kurie labai skiriasi nuo įprasto elgesio. Tai padeda nustatyti nežinomus ar naujus išpuolius.
Protokolo analizė: IDS analizuoja tinklo protokolų naudojimą ir nustato elgesį, kuris neatitinka standartinių protokolų, taip nustatydama galimas atakas.
ID tipai
Priklausomai nuo to, kur jie yra dislokuoti, ID galima suskirstyti į du pagrindinius tipus:
Tinklo ID (NIDS): Įdiegta tinkle, kad būtų galima stebėti visą srautą, tekantį per tinklą. Tai gali aptikti tiek tinklo, tiek transporto sluoksnių atakų.
Pagrindinio kompiuterio ID (HIDS): Įdiegta viename pagrindiniame kompiuteryje, skirtą stebėti sistemos veiklą tame pagrindiniame kompiuteryje. Tai labiau orientuota į pagrindinio lygio atakų, tokių kaip kenkėjiškos programos ir nenormalus vartotojo elgesys, aptikimą.
Kas yra IPS (įsibrovėlių prevencijos sistema)?
IP apibrėžimas
Įsibrovimo prevencijos sistemos yra saugumo priemonės, kurios priima iniciatyvias priemones sustabdyti ar ginti nuo galimų išpuolių, aptikus jas. Palyginti su IDS, IPS yra ne tik stebėjimo ir įspėjimo priemonė, bet ir įrankis, galintis aktyviai įsikišti ir užkirsti kelią potencialioms grėsmėms.
Kaip veikia IPS
IPS apsaugo sistemą aktyviai blokuodamas kenkėjišką srautą, tekantį per tinklą. Pagrindinis jo darbo principas apima:
Užblokuojančios atakos srauto: Kai IPS nustato galimą atakų srautą, jis gali imtis nedelsiant, kad ši srautė nepatektų į tinklą. Tai padeda išvengti tolesnio išpuolio sklidimo.
Ryšio būsenos nustatymas iš naujo: IPS gali iš naujo nustatyti ryšio būseną, susijusią su potencialia ataka, priversdama užpuoliką atkurti ryšį ir taip nutraukti ataką.
Ugniasienės taisyklių modifikavimas:
IPS tipai
Panašiai kaip ID, IPS galima suskirstyti į du pagrindinius tipus:
Tinklo IPS (NIPS): Dislokuotas tinkle, kad būtų galima stebėti ir ginti nuo atakų visame tinkle. Jis gali apsiginti nuo tinklo sluoksnio ir transportavimo sluoksnių atakų.
Šeimininko IPS (klubai): Dislokuotas viename šeimininke, kad būtų užtikrinta tikslesnė gynyba, pirmiausia naudojama saugoti nuo šeimininko lygio išpuolių, tokių kaip kenkėjiška programa ir išnaudojimas.
Kuo skiriasi įsibrovimo aptikimo sistemos (IDS) ir įsibrovimo prevencijos sistemos (IPS)?
Skirtingi darbo būdai
IDS yra pasyvi stebėjimo sistema, daugiausia naudojama aptikimui ir aliarmui. Priešingai, IPS yra iniciatyvus ir gali imtis priemonių, kad apsigintų nuo galimų išpuolių.
Rizikos ir efekto palyginimas
Dėl pasyvaus ID pobūdžio jis gali praleisti ar klaidingai teigiamus, o aktyvi IP gynyba gali sukelti draugišką ugnį. Naudojant abi sistemas, reikia subalansuoti riziką ir efektyvumą.
Diegimo ir konfigūracijos skirtumų
ID paprastai yra lankstūs ir gali būti diegti skirtingose tinklo vietose. Priešingai, norint diegti ir konfigūruoti IP, reikia atidžiau planuoti, kad būtų išvengta trukdžių normaliam srautui.
Integruotas ID ir IPS taikymas
ID ir IPS papildo vienas kitą, kai IDS stebės ir teikia įspėjimus ir IPS, kai reikia, imsis iniciatyvių gynybinių priemonių. Jų derinys gali sudaryti išsamesnę tinklo saugumo gynybos liniją.
Labai svarbu reguliariai atnaujinti ID ir IPS taisykles, parašus ir grėsmės intelektą. Kibernetinės grėsmės nuolat keičiasi, o laiku atnaujinimai gali pagerinti sistemos sugebėjimą nustatyti naujas grėsmes.
Labai svarbu pritaikyti ID ir IPS taisykles konkrečiai tinklo aplinkai ir organizacijos reikalavimams. Tinkinus taisykles, sistemos tikslumą galima pagerinti ir klaidingai teigiamai ir draugiškus sužalojimus.
ID ir IP turi sugebėti reaguoti į galimas grėsmes realiu laiku. Greitas ir tikslus atsakymas padeda atgrasyti užpuolikus nuo didesnės žalos tinkle.
Nuolatinis tinklo srauto stebėjimas ir įprastų srauto modelių supratimas gali padėti pagerinti ID anomalijos aptikimo galimybes ir sumažinti klaidingų teigiamų galimybių galimybes.
Raskite teisingaiTinklo paketų brokerisdirbti su savo ID (įsibrovimo aptikimo sistema)
Raskite teisingaiĮregistralinis apėjimas TAP jungiklisdirbti su savo IP (įsibrovėlių prevencijos sistema)
Pašto laikas: 2012 m. Rugsėjo 26 d
