Ασφάλεια δικτύου: Πρόληψη εισβολής και ανίχνευση εισβολών - ανδρείκελοι

Οι διαχειριστές δικτύων θα πρέπει να εφαρμόσουν συστήματα ανίχνευσης εισβολής (IDS) και συστήματα πρόληψης εισβολής (IPS) για την παροχή μιας στρατηγικής ασφάλειας σε επίπεδο δικτύου. Η IDS και η IPS προσφέρουν μια παρόμοια σειρά επιλογών. Στην πραγματικότητα, μπορείτε να σκεφτείτε την IPS ως επέκταση του IDS επειδή ένα σύστημα IPS αποσυνδέει ενεργά συσκευές ή συνδέσεις που θεωρούνται ότι χρησιμοποιούνται για εισβολή.

Οι συσκευές IDS μπορούν να είναι συσκευές που βασίζονται στο δίκτυο, λειτουργούν ως συσκευές ή χωριστές διακομιστές που εκτελούν λογισμικό και εκτελούν το ρόλο του IDS, αλλά μπορούν επίσης να εγκατασταθούν σε υπολογιστές-πελάτες ή υπολογιστές δικτύου. Το τελευταίο αναφέρεται συχνά ως σύστημα ανίχνευσης εισβολής βασισμένο στον κεντρικό υπολογιστή (HIDS).

Αυτές οι συσκευές μπορούν να διαμένουν στο εσωτερικό του δικτύου σας, πίσω από το τείχος προστασίας σας, ανιχνεύοντας ανωμαλίες εκεί και / ή να τοποθετηθούν εκτός του τείχους προστασίας. Όταν βρίσκονται έξω από το τείχος προστασίας σας, είναι συνήθως στοχευμένες για τις ίδιες επιθέσεις που τρέχουν εναντίον του τείχους προστασίας, προειδοποιώντας σας έτσι για επιθέσεις που τρέχουν εναντίον του τείχους προστασίας σας.

Η Cisco προσφέρει πολλές επιλογές για τα συστήματα IDS και IPS και προσφέρει αυτά ως ανεξάρτητα συστήματα ή ως πρόσθετα για τα υπάρχοντα προϊόντα ασφαλείας. Τα παρακάτω είναι δύο τέτοιες επιλογές:

• Ενότητα Υπηρεσιών Ασφάλειας για προχωρημένους επιθεώρησης και πρόληψης της Cisco ASA

• Η μονάδα ανίχνευσης εισβολών Cisco Catalyst 6500 Series (IDSM-2)

Η IDS και η IPS διαθέτουν διάφορες μεθόδους για την εργασία με την ανίχνευση. Παρόμοια με τους ιούς στο δίκτυό σας, οι εισβολές και οι επιθέσεις έχουν χαρακτηριστικά που καταγράφονται ως υπογραφή ή συμπεριφορά. Έτσι, όταν το σύστημα IPS βλέπει αυτό το είδος δεδομένων ή συμπεριφοράς, το σύστημα IPS μπορεί να μετακινηθεί σε δράση.

Η ύποπτη συμπεριφορά μπορεί επίσης να ενεργοποιήσει αυτά τα συστήματα. Αυτή η συμπεριφορά μπορεί να περιλαμβάνει ένα απομακρυσμένο σύστημα που προσπαθεί να εντοπίσει όλες τις διευθύνσεις στο υποδίκτυο σας με διαδοχική σειρά και άλλες δραστηριότητες που θεωρούνται μη φυσιολογικές. Όταν το σύστημα IPS βλέπει αυτή τη δραστηριότητα, το IPS μπορεί να ρυθμιστεί σε μαύρη λίστα ή να μπλοκάρει τη συσκευή προέλευσης είτε επ 'αόριστον είτε για κάποιο χρονικό διάστημα.

Ο άλλος τρόπος με τον οποίο τα συστήματα αυτά μπορούν να αναγνωρίσουν την ύποπτη επισκεψιμότητα στο δίκτυό σας είναι να τα θέσουν σε λειτουργία εκμάθησης για μια χρονική περίοδο. Κατά τη διάρκεια των εβδομάδων, μπορούν να ταξινομήσουν τα κανονικά πρότυπα επισκεψιμότητας στο δίκτυό σας και στη συνέχεια να περιορίσουν την κυκλοφορία σε αυτά τα καθιερωμένα μοτίβα.

Εάν εισαγάγετε νέο λογισμικό στο δίκτυό σας, μπορεί να χρειαστεί να προσθέσετε χειροκίνητα τους κατάλληλους κανόνες ή να εκτελέσετε μια περίοδο εκμάθησης και στη συνέχεια να επαναφέρετε το σύστημα στη λειτουργία Πρόληψης.Αυτή η αναγκαιότητα ισχύει ακόμη και για τα συστήματα που βασίζονται σε κεντρικούς υπολογιστές επειδή ενημερώνουν τους κανόνες τους από το διακομιστή διαχείρισης ή πολιτικής που εκτελείται στο δίκτυο.

Αυτά τα συστήματα αποτρέπουν την εξάπλωση επιθέσεων Zero Day, που είναι νέοι ιοί ή επιθέσεις δικτύου που διαφέρουν από όλες τις προηγούμενες εισβολές δικτύου. Επειδή αυτές οι επιθέσεις ημέρας είναι νέες, δεν έχετε μια συγκεκριμένη υπογραφή για την επίθεση? αλλά η επίθεση πρέπει ακόμα να εκτελέσει τις ίδιες ύποπτες συμπεριφορές, οι οποίες μπορούν να εντοπιστούν και να μπλοκαριστούν.