varför ska Intrusion Prevention Systems användas?
IPS-teknik kan upptäcka eller förhindra nätverkssäkerhetsattacker som brute force attacks, Denial of Service (DoS) – attacker och sårbarhetsutnyttjande. En sårbarhet är en svaghet i ett mjukvarusystem och ett utnyttjande är en attack som utnyttjar den sårbarheten för att få kontroll över ett system., När en exploit meddelas, det finns ofta ett fönster av möjlighet för angripare att utnyttja denna sårbarhet innan säkerhets patch tillämpas. Ett Intrusionsförebyggande System kan användas i dessa fall för att snabbt blockera dessa attacker.
eftersom IPS technologies watch packet flows kan de också användas för att genomdriva användningen av säkra protokoll och neka användningen av osäkra protokoll som tidigare versioner av SSL eller protokoll som använder svaga chiffer.
hur fungerar system för förebyggande av intrång?,
IPS-teknik har tillgång till paket där de distribueras, antingen som nätverksintrångsdetekteringssystem (NIDS) eller som Värdintrångsdetekteringssystem (HIDS). Network IPS har en större bild av hela nätverket och kan antingen distribueras inline i nätverket eller offline till nätverket som en passiv sensor som tar emot paket från ett nätverk kran eller SPAN-port.
den detekteringsmetod som används kan vara signatur eller anomalibaserad. Fördefinierade signaturer är mönster av välkända nätverksattacker. IPS jämför paketflöden med signaturen för att se om det finns en mönstermatchning., Anomalibaserade intrångsdetekteringssystem använder heuristik för att identifiera hot, till exempel jämföra ett urval av trafik mot en känd baslinje.
vad är skillnaden mellan ID och IPS?
tidiga implementeringar av tekniken användes i detect-läge på dedikerade säkerhetsapparater. Eftersom tekniken har mognat och flyttat in i integrerade nästa generations brandvägg eller UTM-enheter, är standardåtgärden inställd för att förhindra skadlig trafik.,
i vissa fall baseras beslutet att upptäcka och acceptera eller förhindra trafiken på förtroendet för det specifika IPS-skyddet. När det finns lägre förtroende för ett IPS-skydd, så finns det en högre sannolikhet för falska positiva. En falsk positiv är när ID identifierar en aktivitet som en attack men aktiviteten är acceptabelt beteende. Av denna anledning har många IPS-tekniker också möjlighet att fånga paketsekvenser från attackhändelsen. Dessa kan sedan analyseras för att avgöra om det fanns ett verkligt hot och för att ytterligare förbättra IPS-skyddet.