Segurança de rede: prevenção de intrusão e detecção de intrusão

Os administradores de rede devem implementar sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) para fornecer uma estratégia de segurança em toda a rede. IDS e IPS ambos oferecem um conjunto semelhante de opções. Na verdade, você pode pensar IPS como uma extensão da IDS porque um sistema IPS desconecta ativamente dispositivos e conexões que são consideradas como sendo usado para uma intrusão.

dispositivos IDS podem ser dispositivos baseados em rede, funcionando como aparelhos ou servidores separados executando o software, que está realizando o papel IDS, mas também pode ser instalado no cliente ou rede de computadores. A posterior é frequentemente referido como o sistema de detecção de intrusão baseados hospedeiro (SHID).

Estes dispositivos podem residir dentro da sua rede, atrás de seu firewall, detecção de anomalias lá, e / ou eles podem ser colocados fora do firewall. Quando eles estão fora do firewall, eles normalmente são direcionados para os mesmos ataques que correm contra o firewall, alertando assim para ataques a ser executado contra o seu firewall.

Cisco oferece várias opções para sistemas IDS e IPS e oferece-os como sistemas independentes ou como add-ons para o seu produto de segurança existentes. A seguir, são duas dessas opções:

  • Cisco ASA Inspeção Avançada e Prevenção Módulo Serviços de Segurança

  • Catalyst 6500 Intrusion Detection System Series Cisco (-2 IDSM) Module



IDS e IPS tem vários métodos para trabalhar com detecção. Semelhante ao vírus em sua rede, intrusões e ataques têm características que são gravadas como uma assinatura ou comportamento. Então, quando o sistema IPS vê este tipo de dados ou comportamento, o sistema IPS pode entrar em ação.

comportamentos suspeitos também podem desencadear estes sistemas. Este comportamento pode incluir um sistema remoto tentar executar ping cada endereço em seu sub-rede em ordem sequencial, e outra atividade que é considerado anormal. Quando o sistema de IPS vê esta actividade, o IPS pode ser configurado para barrar ou bloquear o dispositivo de origem, indefinidamente ou por um período de tempo.

A outra maneira estes sistemas podem identificar tráfego suspeito em sua rede é tê-los executado em um modo de aprendizagem para um período de tempo. Ao longo de semanas, eles podem classificar os padrões de tráfego regulares em sua rede e, em seguida, limitar o tráfego para esses padrões estabelecidos.

Se você introduzir um novo software para sua rede, você pode precisar adicionar manualmente regras adequadas ou executar um período de aprendizagem e, em seguida, colocar o sistema volta para o modo de prevenção. Esta necessidade é ainda verdadeiro para os sistemas baseados em host, porque eles atualizar suas regras do servidor de gestão ou política que está em execução na rede.

Estes sistemas ajudam a prevenir a propagação do Zero ataques de dia, que são novos vírus ou ataques de rede que são diferentes de todas as intrusões de rede anteriores. Porque estes ataques dia zero são novos, você não tem uma assinatura específica para o Attack- mas o ataque ainda precisa realizar os mesmos comportamentos suspeitos, que podem ser detectados e bloqueados.


Publicações relacionadas
As questões de segurança você deve saber sobre começar um trabalho em rede
Lista de compras firewall
Linux: a implementação de uma metodologia de teste de segurança
Olhando para detecção de intrusão no chapéu vermelho enterprise linux 4
Prevenir ou mitigar ataques de rede
Detecção e análise forense em computação em nuvem
Áreas de gestão de segurança de rede da cisco
Estratégias de ataque de rede comum
Cisco wireless lan controller (wlc) apresenta com pontos de acesso de modo leve (lwap)
Implementação de firewall de rede
Firewalls de rede: perímetro de defesa
Empresa de segurança dispositivo móvel: no dispositivo firewalls
Defesas de rede gerais para evitar ser hackeado
Como planejar e executar ataques de hackers
Garantir a infra-estrutura com soluções de segurança de zimbro
Conheça as vulnerabilidades do sistema de mensagens para evitar hacks
Conheça os seus vulnerabilidades de infra-estrutura de rede para evitar hacks
Ferramentas que aumentam a sua proteção de firewall
Cisco networking: noções básicas de tráfego de rede
Estratégias de ataque de rede comuns: inundações syn