Netzwerksicherheit: Intrusion Prevention und Intrusion Detection
Netzwerkadministratoren sollten Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) implementieren eine netzwerkweite Sicherheitsstrategie zur Verfügung zu stellen. beide IDS und IPS bieten eine ähnliche Reihe von Optionen. In der Tat kann man von IPS denken als eine Erweiterung der IDS, weil ein IPS-System aktiv Geräte oder Verbindungen trennt, die für einen Eingriff als verwendet gelten.
IDS Geräte können Netzwerk-basierte Geräte, ausgeführt als Geräte oder separaten Servern Software ausgeführt wird, die das IDS Rolle ausführt, aber sie können auch auf Client- oder Netzwerk-Computer installiert werden. Je später oft als Host-basierte Intrusion Detection System (HIDS).
Diese Geräte können in Ihrem Netzwerk befinden, hinter der Firewall, Erkennung Anomalien gibt, und / oder sie können außerhalb der Firewall platziert werden. Wenn sie außerhalb der Firewall sind, sind sie in der Regel für die gleichen Angriffe gezielt, die gegen die Firewall laufen, damit Sie auf Angriffe Alarmierung gegen Ihre Firewall wird ausgeführt.
Cisco bietet verschiedene Optionen für IDS und IPS-Systeme und bietet diese als eigenständige Systeme oder als Add-ons für Ihre bestehenden Sicherheitsprodukte. Im folgenden werden zwei solche Optionen:
Cisco ASA Erweiterte Inspection and Prevention Security Services Modul
Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Modul
IDS und IPS haben verschiedene Methoden zur Erkennung arbeiten. Ähnlich wie Viren in Ihrem Netzwerk, Einbrüche und Angriffe haben Eigenschaften, die als Signatur oder Verhalten aufgezeichnet werden. Also, wenn das IPS-System diese Art von Daten oder Verhalten sieht, kann das IPS-System in Aktion zu schwingen.
Verdächtiges Verhalten können auch diese Systeme auslösen. Dieses Verhalten kann ein Remote-System versucht, falls jede Adresse in Ihrem Subnetz in der angegebenen Reihenfolge, und andere Aktivitäten zu pingen, die als abnormal angesehen wird. Wenn das IPS-System diese Tätigkeit sieht, kann das IPS konfiguriert werden, um das Quellgerät Black- oder blockieren, entweder auf unbestimmte Zeit oder für einen bestimmten Zeitraum.
Die andere Möglichkeit, diese Systeme können verdächtigen Datenverkehr im Netzwerk zu identifizieren ist, sie für einen bestimmten Zeitraum in einem Lernmodus laufen zu lassen. Im Laufe der Wochen, können sie regelmäßig Verkehrsmuster in Ihrem Netzwerk zu klassifizieren und dann Verkehr zu diesen etablierten Mustern begrenzen.
Wenn Sie neue Software zu Ihrem Netzwerk einführen, müssen Sie manuell geeignete Regeln hinzufügen oder eine Lernphase laufen und dann das System-Modus zurück in die Prävention setzen. Diese Notwendigkeit gilt sogar für den Host-basierten Systemen, weil sie ihre Regeln aus der Verwaltung oder Richtlinienserver zu aktualisieren, die im Netzwerk ausgeführt wird.
Diese Systeme verhindern die Ausbreitung von Day Zero-Attacken, Welches sind neue Viren oder Netzwerk-Attacken, die von allen bisherigen Netzwerk Intrusionen unterschiedlich sind. Da diese Day Zero Attacken neu sind, müssen Sie nicht auf eine bestimmte Signatur für die attack- aber der Angriff muss noch die gleichen verdächtiges Verhalten auszuführen, die erkannt und blockiert werden kann.