Co to jest system zapobiegania włamaniu?

System zapobiegania włamaniu (IPS) monitoruje pakiety danych sieci pod kątem podejrzanej aktywności i próbuje podjąć działania za pomocą określonych zasad. Działa nieco jak system wykrywania włamań, który obejmuje zaporę zaproponową, aby zapobiec atakom. Wysyła ostrzeżenie do sieci lub administratora systemów, gdy wykryto coś podejrzanego, umożliwiając administratorowi wybrać działanie, które należy podjąć, gdy zdarzenie nastąpi. Systemy zapobiegania włamaniu mogą monitorować całą sieć, protokoły sieci bezprzewodowej, zachowanie sieciowe i ruch pojedynczy komputer. Każdy IPS wykorzystuje określone metody wykrywania do analizy ryzyka.

W zależności od modelu IPS i jego cech, system zapobiegania włamaniu może wykryć różne naruszenia bezpieczeństwa. Niektóre mogą wykryć rozprzestrzenianie się złośliwego oprogramowania w sieci, kopiowanie dużych plików między dwoma systemami oraz korzystanie z podejrzanych działań, takich jak skanowanie portów. Po tym, jak IPS porównuje problem z regułami bezpieczeństwa, rejestruje każde zdarzenie i dokumentuje wydarzenieczęstotliwość. Jeśli administrator sieci skonfigurował IPS do wykonywania konkretnej akcji na podstawie incydentu, system zapobiegania włamaniom podejmuje przypisane działanie. Podstawowy alert jest wysyłany do administratora, aby mógł odpowiednio odpowiedzieć lub wyświetlić dodatkowe informacje na temat IPS, jeśli to konieczne.

Istnieją cztery ogólne rodzaje systemów zapobiegania włamaniom, w tym sieć, bezprzewodowa, analiza zachowań sieciowych i hosta. Network IPS analizuje różne protokoły sieciowe i jest powszechnie używany na serwerach zdalnego dostępu, wirtualnych serwerach sieciowych i routerach. Bezprzewodowe IPS obserwuje podejrzane działania w sieciach bezprzewodowych, a także szuka nieautoryzowanych sieci bezprzewodowych w danym obszarze. Analiza zachowań sieci szuka zagrożeń, które mogą usunąć sieć lub rozpowszechniać złośliwe oprogramowanie i jest powszechnie używana z prywatnymi sieciami łączącymi się z Internetem. Gospodarz-Oparte na IPS działa na jednym systemie i szuka dziwnych procesów aplikacji, nietypowego ruchu sieciowego do hosta, zmianę systemu plików i zmiany konfiguracji.

Istnieją trzy metody wykrywania, które może zastosować system zapobiegania włamaniu, a wiele systemów stosuje kombinację wszystkich trzech. Wykrywanie oparte na podpisach działa dobrze w celu wykrywania znanych zagrożeń poprzez porównanie zdarzenia z już udokumentowanym podpisem w celu ustalenia, czy nastąpiło naruszenie bezpieczeństwa. Wykrywanie oparte na anomalii szuka aktywności, która jest nieprawidłowa w porównaniu z normalnymi zdarzeniami występującymi w systemie lub sieci i jest szczególnie przydatne do identyfikacji nieznanych zagrożeń. Analiza protokołu stanu szuka aktywności, która jest sprzeczna z tym, jak normalnie stosuje się określony protokół.