miért kell Behatolásmegelőző rendszereket használni?
az IPS technologies képes észlelni vagy megelőzni a hálózati biztonsági támadásokat, mint például a brute force támadások, a Denial of Service (DoS) támadások és a sebezhetőség kihasználása. A sebezhetőség egy szoftverrendszer gyengesége, az exploit pedig egy olyan támadás, amely kihasználja ezt a sebezhetőséget, hogy átvegye a rendszer irányítását., Amikor egy exploit bejelentésre kerül, gyakran van lehetőség arra, hogy a támadók kihasználják ezt a biztonsági rést a biztonsági javítás alkalmazása előtt. Ezekben az esetekben behatolás-megelőzési rendszer használható ezeknek a támadásoknak a gyors blokkolására.
mivel az IPS technológiák figyelik a csomagáramlást, biztonságos protokollok használatának érvényesítésére is használhatók, valamint megtagadhatják a nem biztonságos protokollok használatát, például az SSL korábbi verzióit vagy a gyenge titkosítást használó protokollokat.
hogyan működnek a Behatolásmegelőző rendszerek?,
az IPS technológiák hozzáférhetnek a telepített csomagokhoz, akár hálózati behatolásérzékelő rendszerként (NIDS), akár Host behatolásérzékelő rendszerként (HIDS). A hálózati IP-k nagyobb képet mutatnak a teljes hálózatról, és passzív érzékelőként telepíthetik a hálózaton belüli inline-t vagy offline-t a hálózatra, amely csomagokat fogad egy hálózati csapból vagy SPAN portból.
az alkalmazott kimutatási módszer lehet aláírás vagy anomália alapú. Az előre meghatározott aláírások jól ismert hálózati támadások mintái. Az IPS összehasonlítja a csomagáramokat az aláírással, hogy megnézze, van-e minta egyezés., Az anomália – alapú behatolásérzékelő rendszerek heurisztikát használnak a fenyegetések azonosítására, például összehasonlítják a forgalom mintáját egy ismert alapvonalhoz képest.
mi a különbség az azonosítók és az IP-k között?
a technológia korai implementációit detect módban telepítették dedikált biztonsági készülékeken. Mivel a technológia már érett, és beköltözött az integrált következő generációs tűzfal vagy UTM eszközök, Az alapértelmezett művelet van beállítva, hogy megakadályozzák a rosszindulatú forgalom.,
egyes esetekben a forgalom észlelésére, elfogadására vagy megelőzésére vonatkozó döntés az IPS-védelem iránti bizalomon alapul. Ha alacsonyabb az IPS-védelem iránti bizalom, akkor nagyobb a valószínűsége a hamis pozitívumoknak. Hamis pozitív az, amikor az azonosítók egy tevékenységet támadásként azonosítanak, de a tevékenység elfogadható viselkedés. Ezért sok IPS technológia képes csomagsorozatokat rögzíteni a támadás eseményéből. Ezeket ezután elemezhetjük annak megállapítására, hogy volt-e tényleges fenyegetés, valamint az IPS-védelem további javítására.