Hvad er et system til forebyggelse af indtrængen?
Et internt forebyggelsessystem (IPS) overvåger et netværks datapakker for mistænksom aktivitet og forsøger at tage handling ved hjælp af specifikke politikker. Det fungerer noget som et intrusionsdetekteringssystem, der inkluderer en firewall til at forhindre angreb. Det sender en advarsel til et netværk eller systemadministrator, når der opdages noget mistænkeligt, hvilket giver administratoren mulighed for at vælge en handling, der skal udføres, når begivenheden finder sted. Intrusionsforebyggende systemer kan overvåge et helt netværk, trådløse netværksprotokoller, netværksadfærd og en enkelt computers trafik. Hver IPS bruger specifikke detektionsmetoder til at analysere risici.
Afhængigt af IPS-modellen og dens funktioner kan et indbrudssikringssystem registrere forskellige sikkerhedsbrud. Nogle kan registrere spredningen af malware over et netværk, kopiering af store filer mellem to systemer og brugen af mistænkelige aktiviteter, såsom havnescanning. Når IPS sammenligner problemet med dets sikkerhedsregler, logger det hver begivenhed og dokumenterer begivenhedens hyppighed. Hvis netværksadministratoren konfigurerede IPS til at udføre en bestemt handling baseret på hændelsen, udfører indtrængenforebyggelsessystemet derefter den tildelte handling. En grundlæggende alarm sendes til administratoren, så han eller hun kan svare korrekt eller se yderligere oplysninger om IPS, hvis nødvendigt.
Der er fire generelle typer af indbrudssikringssystemer, herunder netværksbaseret, trådløs, netværksadfærdsanalyse og værtbaseret. En netværksbaseret IPS analyserer forskellige netværksprotokoller og bruges ofte på fjernadgangsservere, virtuelle private netværksservere og routere. En trådløs IPS holder øje med mistænkelige aktiviteter på trådløse netværk og ser også efter uautoriserede trådløse netværk i et område. Netværksadfærdsanalyse ser efter trusler, der kan fjerne et netværk eller sprede malware og ofte bruges med private netværk, der opretter forbindelse til Internettet. En værtsbaseret IPS fungerer på et enkelt system og ser efter mærkelige applikationsprocesser, usædvanlig netværkstrafik til værten, filsystemmodifikation og konfigurationsændringer.
Der er tre påvisningsmetoder, som et indbrudssikringssystem kan bruge, og mange systemer bruger en kombination af alle tre. Signaturbaseret detektion fungerer godt til at registrere kendte trusler ved at sammenligne en begivenhed med en allerede dokumenteret underskrift for at afgøre, om der er opstået en sikkerhedsbrud. Anomalibaseret detektion ser efter aktivitet, der er unormal i sammenligning med de normale begivenheder, der opstår på et system eller netværk og er især nyttig til at identificere ukendte trusler. Statisk protokolanalyse ser efter aktivitet, der strider mod, hvordan en specifik protokol normalt bruges.