De ce ar trebui folosite sistemele de prevenire a intruziunilor?
tehnologiile IPS pot detecta sau preveni atacurile de securitate a rețelei, cum ar fi atacurile brute force, atacurile Denial of Service (DoS) și exploatările de vulnerabilitate. O vulnerabilitate este o slăbiciune într-un sistem software și un exploit este un atac care valorifică această vulnerabilitate pentru a obține controlul asupra unui sistem., Când este anunțat un exploit, există adesea o fereastră de oportunitate pentru atacatori de a exploata acea vulnerabilitate înainte de aplicarea corecției de securitate. Un sistem de prevenire a intruziunilor poate fi utilizat în aceste cazuri pentru a bloca rapid aceste atacuri.deoarece tehnologiile IPS urmăresc fluxurile de pachete, ele pot fi de asemenea utilizate pentru a impune utilizarea protocoalelor sigure și a nega utilizarea protocoalelor nesigure, cum ar fi versiunile anterioare de SSL sau protocoalele care utilizează cifruri slabe.
cum funcționează sistemele de prevenire a intruziunilor?,
tehnologiile IPS au acces la pachetele unde sunt implementate, fie ca sisteme de detectare a intruziunilor de rețea (Nids), fie ca sisteme de detectare a intruziunilor gazdă (HIDS). Rețeaua IPS are o vedere mai mare a întregii rețele și poate fi implementată în linie în rețea sau offline în rețea ca un senzor pasiv care primește pachete de la un robinet de rețea sau un port SPAN.metoda de detectare utilizată poate fi bazată pe semnătură sau anomalie. Semnăturile predefinite sunt modele de atacuri de rețea cunoscute. IPS compară fluxurile de pachete cu semnătura pentru a vedea dacă există o potrivire a modelului., Sistemele de detectare a intruziunilor bazate pe anomalii utilizează euristică pentru a identifica amenințările, de exemplu, comparând un eșantion de trafic cu o linie de bază cunoscută.
care este diferența dintre ID – uri și IP-uri?
implementările timpurii ale tehnologiei au fost implementate în modul detect pe aparatele de securitate dedicate. Pe măsură ce tehnologia s-a maturizat și s-a mutat în Firewall-uri integrate de generație următoare sau dispozitive UTM, acțiunea implicită este setată pentru a preveni traficul rău intenționat.,în unele cazuri, decizia de a detecta și accepta sau preveni traficul se bazează pe încrederea în protecția IPS specifică. Atunci când există o încredere mai mică într-o protecție IPS, atunci există o probabilitate mai mare de fals pozitive. Un fals pozitiv este atunci când ID-urile identifică o activitate ca un atac, dar activitatea este un comportament acceptabil. Din acest motiv, multe tehnologii IPS au, de asemenea, capacitatea de a capta secvențe de pachete din evenimentul de atac. Acestea pot fi apoi analizate pentru a determina dacă a existat o amenințare reală și pentru a îmbunătăți în continuare protecția IPS.