Nätverkssäkerhet: Intrusion Prevention och Intrusion Detection

July 31

Nätverksadministratörer bör genomföra intrångslarm system (IDS) och intrångs förebyggande system (IPS) för att tillhandahålla ett nätverk omfattande säkerhetsstrategin. IDS och IPS både erbjuda en liknande svit av optioner. I själva verket kan du tänka på IPS som en förlängning av IDS eftersom en IPS-systemet kopplar aktivt enheter eller anslutningar som bedöms som används för ett intrång.

IDS-enheter kan vara nätverksbaserade enheter, kör som apparater eller separata servrar som kör programvara som utför IDS roll, men de kan även installeras på klient eller nätverksdatorer. Den senare är ofta som värdbaserat intrångsdetekteringssystem (HIDS).

Dessa enheter kan finnas i ditt nätverk, bakom din brandvägg, upptäcka avvikelser där, och / eller att de kan placeras utanför brandväggen. När de är utanför brandväggen, är de vanligtvis riktade för samma attacker som löper mot brandväggen, därigenom varnar för attacker drivs mot din brandvägg.

Cisco erbjuder flera alternativ för IDS och IPS-system och erbjuder dessa som fristående system eller som tillägg för dina befintliga säkerhetsprodukter. Följande är två sådana alternativ:

  • Cisco ASA Advanced Kontroll och förebyggande Security Services Module
  • Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Modul

IDS och IPS har flera metoder för att arbeta med upptäckt. Liknar virus på ditt nätverk, intrång och attacker har funktioner som är inspelade som en signatur eller beteende. Så när IPS-systemet ser denna typ av data eller beteende, kan IPS-systemet svänga i handling.

Misstänkt beteende kan också utlösa dessa system. Detta beteende kan innefatta ett fjärrsystem försöker pinga varje adress på din subnät i ordningsföljd, och annan verksamhet som anses vara onormal. När IPS-systemet ser denna verksamhet, kan IPS konfigureras att svartlista eller blockera källenheten, antingen under obegränsad tid eller för en tid.

Det andra sättet dessa system kan identifiera misstänkta trafiken i nätverket är att ha dem köra i ett lärande läge för en tid. Under veckorna kan de klassificera regelbundna trafikmönster på ditt nätverk och begränsa trafiken till de etablerade mönster då.

Om du införa ny programvara till ditt nätverk, kan du behöva manuellt lägga lämpliga regler eller köra en inlärningsperiod och sedan sätta systemet tillbaka i förebyggande läge. Denna nödvändighet är ens sant av värdbaserade system eftersom de uppdaterar sina regler från ledningen eller policy-server som körs på nätverket.

Dessa system hjälper till att förhindra spridningen av Dag Zero attacker, som är nya virus eller nätverksattacker som skiljer sig från alla tidigare nätverksintrång. Eftersom dessa Dag Noll attacker är nytt, har du inte en specifik signatur för attacken; men attacken fortfarande behöver utföra samma misstänkta beteenden, som kan detekteras och blockerade.