Nettverkssikkerhet: Intrusion Prevention og Intrusion Detection

 Nettverksadministratorer bør utføre oppdage inntrenging systemer og Intrusion Prevention systemer for å gi et nettverk for hele sikkerhetsstrategi. IDS og IPS både tilby et lignende sett av alternativer. Faktisk kan du tenke på IPS som en forlengelse av IDS som en IPS system kobler aktive enheter eller tilkoblinger som er ment å brukes til et innbrudd.

 IDS enheter til nettverksbaserte enheter, implementert som separate enheter eller programvare servere, som utfører rollen til IDS, men de kan også installeres klient eller datamaskiner i nettverket. Den senere blir ofte referert til som vertsbasert Intrusion Detection System.

 Disse enhetene kan være innenfor nettverket, bak brannmuren, oppdager uregelmessigheter eksisterer, og / eller de kan plasseres utenfor brannmuren. Hvis de er utenfor brannmuren, er det vanligvis rettet mot de samme angrepene utført mot brannmur, advare deg dermed blir henrettet for angrep mot brannmuren.

 Cisco tilbyr flere alternativer for IDS og IPS systemer og tilbyr disse som frittstående systemer eller som add-ons for eksisterende sikkerhetsprodukter. Følgende er to slike alternativer:

  •  Cisco ASA Avansert Inspection and Prevention Security Services Module
  •  Cisco Catalyst 6500-serien Intrusion Detection System Module

 IDS og IPS har ulike metoder for å arbeide med deteksjon. I likhet med virus på nettverket inntrenging og angrep har funksjoner som er anerkjent som en signatur eller atferd. Så når IPS-systemet ser denne type data eller atferd, IPS-systemet i aksjon.

 Mistenkelig oppførsel kan også føre til disse systemene. Dette kan være et eksternt system forsøker å pinge hver adresse på subnettet i riktig rekkefølge, eller annen aktivitet som anses å være unormal. Når IPS-systemet ser denne aktiviteten, kan IPS konfigureres svarteliste eller blokkere kilden, enten på ubestemt tid eller i en viss tidsperiode.

 Omvendt kan disse systemene identifisere mistenkelig trafikk for å la nettverk for å kjøre i en læremodus for en periode av tid. I løpet av noen uker, kan du dele dem vanlige trafikkmønstre på nettverket, og deretter begrense trafikk til at faste mønstre.

 Hvis du introduserer ny programvare på nettverket ditt, trenger du de riktige reglene manuelt legge til eller gjennomføre en læringsperiode og deretter sette systemet tilbake i forebygging av moten. Dette behovet er også tilfelle i vertsbaserte systemer fordi de har sine regler for administrering eller administrasjonsserver som kjører for å oppdatere nettverket.

 Disse systemene bidra til å forhindre spredning av Day Zero angrep, nye virus eller angrep på nettverket, som er i motsetning til noen tidligere nettverksangrep er hans. Fordi denne Day Zero angrep er ny, trenger du ikke har en bestemt signatur for angrepet; men angrepet har fortsatt den samme mistenkelig oppførsel, som kan oppdages og utføre blokkert.

(0)
(0)
Kommentarer - 0
Ingen kommentarer

Legg en kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Tegn igjen: 3000
captcha