dlaczego należy stosować systemy zapobiegania włamaniom?
technologie IPS mogą wykrywać lub zapobiegać atakom bezpieczeństwa sieci, takim jak ataki brute force, ataki typu Denial of Service (DoS) i luki w zabezpieczeniach. Luka jest słabością systemu oprogramowania, a exploit jest atakiem, który wykorzystuje tę lukę, aby uzyskać kontrolę nad systemem., Gdy zostanie ogłoszony exploit, atakujący często mają możliwość wykorzystania tej luki przed nałożeniem poprawki bezpieczeństwa. W takich przypadkach można użyć systemu zapobiegania włamaniom, aby szybko zablokować te ataki.
ponieważ technologie IPS obserwują przepływy pakietów, mogą być również używane do wymuszania stosowania bezpiecznych protokołów i odmawiania używania niezabezpieczonych protokołów, takich jak wcześniejsze wersje SSL lub protokoły używające słabych szyfrów.
jak działają systemy zapobiegania włamaniom?,
technologie IPS mają dostęp do pakietów, w których są wdrażane, albo jako systemy wykrywania włamań do sieci (Nid), albo jako systemy wykrywania włamań do hosta (HID). IP sieci ma większy widok całej sieci i może być wdrożony inline w sieci lub offline do sieci jako pasywny czujnik, który odbiera pakiety z sieciowego portu TAP lub SPAN.
zastosowana metoda wykrywania może być oparta na sygnaturze lub anomalii. Predefiniowane sygnatury to wzorce dobrze znanych ataków sieciowych. IPS porównuje przepływy pakietów z podpisem, aby sprawdzić, czy istnieje dopasowanie wzorca., Systemy wykrywania włamań oparte na anomaliach wykorzystują heurystykę do identyfikacji zagrożeń, na przykład porównując próbkę ruchu ze znaną linią bazową.
czym się różni IDS od IPS?
wczesne implementacje technologii zostały wdrożone w trybie detect na dedykowanych urządzeniach zabezpieczających. Gdy technologia dojrzała i przeniosła się do zintegrowanej zapory nowej generacji lub urządzeń UTM, ustawiono domyślne działanie, aby zapobiec szkodliwemu ruchowi.,
w niektórych przypadkach decyzja o wykryciu i zaakceptowaniu lub uniemożliwieniu ruchu opiera się na zaufaniu do konkretnej ochrony IPS. Gdy zaufanie do ochrony IPS jest niższe, istnieje większe prawdopodobieństwo fałszywych alarmów. Fałszywy wynik jest wtedy, gdy identyfikator identyfikuje aktywność jako atak, ale aktywność jest akceptowalnym zachowaniem. Z tego powodu wiele technologii IPS ma również możliwość przechwytywania sekwencji pakietów ze zdarzenia ataku. Można je następnie przeanalizować w celu ustalenia, czy istniało rzeczywiste zagrożenie i dalszej poprawy ochrony IPS.