Hva er et innbyggingsforebyggende system?
Et IPS (IPS) overvåker nettverkets datapakker for mistenkelig aktivitet og prøver å iverksette tiltak ved å bruke spesifikke retningslinjer. Det fungerer noe som et inntrengingsdeteksjonssystem som inkluderer en brannmur for å forhindre angrep. Den sender et varsel til et nettverk eller systemadministrator når noe mistenkelig blir oppdaget, slik at administratoren kan velge en handling som skal utføres når hendelsen inntreffer. Innbruddsforebyggende systemer kan overvåke et helt nettverk, trådløse nettverksprotokoller, nettverksadferd og en enkelt datamaskins trafikk. Hver IPS bruker spesifikke deteksjonsmetoder for å analysere risiko.
Avhengig av IPS-modellen og dens funksjoner, kan et innbruddsforebyggende system oppdage forskjellige sikkerhetsbrudd. Noen kan oppdage spredning av skadelig programvare over et nettverk, kopiering av store filer mellom to systemer og bruk av mistenkelige aktiviteter som portskanning. Etter at IPS sammenligner problemet med sikkerhetsreglene, logger den hver hendelse og dokumenterer hendelsens frekvens. Hvis nettverksadministratoren konfigurerte IPS til å utføre en spesifikk handling basert på hendelsen, tar innbruddsforebyggingssystemet deretter den tildelte handlingen. Et grunnleggende varsel blir sendt til administratoren slik at han eller hun kan svare riktig eller se ytterligere informasjon på IPS, om nødvendig.
Det er fire generelle typer innbruddsforebyggende systemer, inkludert nettverksbasert, trådløs, nettverksatferdsanalyse og vertsbasert. En nettverksbasert IPS analyserer forskjellige nettverksprotokoller og brukes ofte på eksterne tilgangsservere, virtuelle private nettverksservere og rutere. En trådløs IPS ser etter mistenkelige aktiviteter i trådløse nettverk og ser også etter uautoriserte trådløse nettverk i et område. Nettverksatferdsanalyse ser etter trusler som kan ta ned et nettverk eller spre skadelig programvare og brukes ofte sammen med private nettverk som kobler seg til Internett. En vertsbasert IPS fungerer på et enkelt system og ser etter rare applikasjonsprosesser, uvanlig nettverkstrafikk til verten, filsystemmodifisering og konfigurasjonsendringer.
Det er tre påvisningsmetoder et innbruddsforebyggende system kan bruke, og mange systemer bruker en kombinasjon av alle tre. Signaturbasert deteksjon fungerer bra for å oppdage kjente trusler ved å sammenligne en hendelse med en allerede dokumentert signatur for å avgjøre om det har oppstått et sikkerhetsbrudd. Anomalibasert deteksjon ser etter aktivitet som er unormal sammenlignet med de normale hendelsene som oppstår på et system eller nettverk, og er spesielt nyttig for å identifisere ukjente trusler. Tilstrekkelig protokollanalyse ser etter aktivitet som går i mot hvordan en spesifikk protokoll normalt brukes.