Segurança de rede: prevenção de intrusão e detecção de intrusão
Os administradores de rede devem implementar sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) para fornecer uma estratégia de segurança em toda a rede. IDS e IPS ambos oferecem um conjunto semelhante de opções. Na verdade, você pode pensar IPS como uma extensão da IDS porque um sistema IPS desconecta ativamente dispositivos e conexões que são consideradas como sendo usado para uma intrusão.
dispositivos IDS podem ser dispositivos baseados em rede, funcionando como aparelhos ou servidores separados executando o software, que está realizando o papel IDS, mas também pode ser instalado no cliente ou rede de computadores. A posterior é frequentemente referido como o sistema de detecção de intrusão baseados hospedeiro (SHID).
Estes dispositivos podem residir dentro da sua rede, atrás de seu firewall, detecção de anomalias lá, e / ou eles podem ser colocados fora do firewall. Quando eles estão fora do firewall, eles normalmente são direcionados para os mesmos ataques que correm contra o firewall, alertando assim para ataques a ser executado contra o seu firewall.
Cisco oferece várias opções para sistemas IDS e IPS e oferece-os como sistemas independentes ou como add-ons para o seu produto de segurança existentes. A seguir, são duas dessas opções:
Cisco ASA Inspeção Avançada e Prevenção Módulo Serviços de Segurança
Catalyst 6500 Intrusion Detection System Series Cisco (-2 IDSM) Module
IDS e IPS tem vários métodos para trabalhar com detecção. Semelhante ao vírus em sua rede, intrusões e ataques têm características que são gravadas como uma assinatura ou comportamento. Então, quando o sistema IPS vê este tipo de dados ou comportamento, o sistema IPS pode entrar em ação.
comportamentos suspeitos também podem desencadear estes sistemas. Este comportamento pode incluir um sistema remoto tentar executar ping cada endereço em seu sub-rede em ordem sequencial, e outra atividade que é considerado anormal. Quando o sistema de IPS vê esta actividade, o IPS pode ser configurado para barrar ou bloquear o dispositivo de origem, indefinidamente ou por um período de tempo.
A outra maneira estes sistemas podem identificar tráfego suspeito em sua rede é tê-los executado em um modo de aprendizagem para um período de tempo. Ao longo de semanas, eles podem classificar os padrões de tráfego regulares em sua rede e, em seguida, limitar o tráfego para esses padrões estabelecidos.
Se você introduzir um novo software para sua rede, você pode precisar adicionar manualmente regras adequadas ou executar um período de aprendizagem e, em seguida, colocar o sistema volta para o modo de prevenção. Esta necessidade é ainda verdadeiro para os sistemas baseados em host, porque eles atualizar suas regras do servidor de gestão ou política que está em execução na rede.
Estes sistemas ajudam a prevenir a propagação do Zero ataques de dia, que são novos vírus ou ataques de rede que são diferentes de todas as intrusões de rede anteriores. Porque estes ataques dia zero são novos, você não tem uma assinatura específica para o Attack- mas o ataque ainda precisa realizar os mesmos comportamentos suspeitos, que podem ser detectados e bloqueados.