Ce este un sistem de prevenire a intruziunilor?
Sistemele de prevenire a intruziunilor (IPS) sunt unele dintre cele mai importante securitatea retelei măsuri a reţea poate avea. IPS sunt ceea ce este cunoscut ca un sistem de control, deoarece nu numai că detectează potențialele amenințări la adresa unui sistem de rețea și a infrastructurii acestuia, dar încearcă să blocheze în mod activ orice conexiuni care ar putea fi o amenințare. Acest lucru este diferit de protecțiile mai pasive, cum ar fi sistemele de detectare a intruziunilor.
Ce este tehnologia IPS?
Un sistem de prevenire a intruziunilor monitorizează în mod constant traficul de rețea, în special la nivel individual pachete, pentru a căuta eventuale atacuri rău intenționate. Colectează informații despre aceste pachete și le raportează administratorilor de sistem, dar face și mișcări preventive. Dacă un IPS detectează potențial malware sau alt tip de atac răzbunător, va bloca accesul acelor pachete în rețea.
Poate lua și alți pași, cum ar fi închiderea lacunelor în securitatea sistemului care ar putea fi exploatate continuu. Poate închide punctele de acces la o rețea, precum și configura secundare
Ce fel de atacuri poate preveni IPS?
Sistemele de prevenire a intruziunilor pot căuta și proteja împotriva unei varietăți de potențiale atacuri rău intenționate. Ei au capacitatea de a detecta și bloca atacurile de tip denial of service (DoS), distribuite refuzul serviciului atacuri (DDoS), kituri de exploatare, viermi, virușii informatici, și alte tipuri de malware.
Ce face IPS dacă detectează un atac?
Un sistem de prevenire a intruziunilor poate detecta diverse atacuri analizând pachete și căutând anumite semnături malware, deși poate, de asemenea, să folosească urmărirea comportamentală pentru a căuta activități anormale într-o rețea, precum și pentru monitorizarea oricăror protocoale și politici administrative de securitate și dacă acestea sunt încălcat.
Dacă oricare dintre aceste metode de detectare descoperă un potențial atac, un IPS poate opri imediat conexiunea de la care provine. Ofensiva adresa IP poate fi blocat ulterior dacă IPS-ul este configurat să facă acest lucru sau utilizatorului asociat cu acesta i se interzice accesul din nou la rețea și la orice resurse conectate.
Un IPS poate modifica, de asemenea, setările paravanului de protecție local pentru a urmări din nou astfel de atacuri și poate chiar elimina orice rămășițe de un atac prin eliminarea antetelor afectate de programe malware, a atașamentelor infectate și a linkurilor rău intenționate din fișiere și e-mail servere.
IDS vs IPS
Sisteme de detectare a intruziunilor (IDS) și sistemele de prevenire a intruziunilor (IPS) ar putea fi ambele legate de securitate, dar au scopuri și mijloace complet diferite în acest scop.
Există multe tipuri de IDS și IPS și toate funcționează puțin diferit. Pentru IDS, există sisteme de detectare a intruziunilor în rețea (NIDS) care se află în puncte strategice din cadrul unei rețele pentru a detecta atacurile potențiale pe măsură ce acestea sunt în desfășurare în rețea. HIDS sau sistemele de detectare a intruziunilor gazdă rulează pe sisteme și dispozitive individuale și monitorizează doar activitatea din rețea care merge către și dinspre acel anumit sistem.
În ambele cazuri, ID-urile care descoperă un potențial atac vor notifica administratorii de sistem.
În schimb, sistemele IPS vor juca un rol similar cu IDS - și pot fi utilizate împreună cu acestea pentru o mai bună supraveghere a rețelei - dar vor juca un rol mai activ în protejarea rețelei. De asemenea, vor notifica administratorii dacă sunt detectate atacuri, dar vor lua și acțiuni punitive împotriva oricăror sisteme, conturi individuale sau lacune din firewall pentru a vă asigura că atacul este blocat și orice fișiere asociate eliminate din reţea.
După cum sugerează numele, sistemele de detectare a intruziunilor sunt concepute pentru a vă anunța dacă și când are loc un atac, astfel încât să puteți trata manual problema. Sistemele de prevenire a intruziunilor sunt concepute pentru a vă proteja în mod activ sistemul de atacuri și pentru a le preveni pe cele viitoare prin ajustarea parametrilor rețelei.