Video: Nätverkssäkerhet - Hacka webappar 2024
Nätverksadministratörer bör implementera intrångsdetekteringssystem (IDS) och system för intrångsskydd (IPS) för att tillhandahålla en nätverksövergripande säkerhetsstrategi. IDS och IPS erbjuder båda en liknande serie av alternativ. Faktum är att du kan tänka på IPS som en förlängning av IDS eftersom ett IPS-system kopplar aktivt bort enheter eller anslutningar som anses vara vanliga för intrång.
IDS-enheter kan vara nätverksbaserade enheter, springa som apparater eller separata servrar som kör programvara, som utför IDS-rollen, men de kan också installeras på klient- eller nätverksdatorer. Den senare refereras ofta till som värdbaserat intrångsdetekteringssystem (HIDS).
Dessa enheter kan ligga inuti ditt nätverk, bakom din brandvägg, upptäcka avvikelser där och / eller de kan placeras utanför din brandvägg. När de befinner sig utanför din brandvägg, är de vanligtvis riktade mot samma attacker som strider mot brandväggen och därigenom varnar dig för att attacker körs mot din brandvägg.
Cisco erbjuder flera alternativ för IDS och IPS-system och erbjuder dessa som fristående system eller som tillägg för dina befintliga säkerhetsprodukter. Följande är två sådana alternativ:
-
Cisco ASA Avancerad inspektion och förebyggande säkerhetstjänstmodul
-
Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Modul
IDS och IPS har flera metoder för att arbeta med detektion. På liknande sätt som virus på ditt nätverk har intrång och attacker funktioner som spelas in som en signatur eller ett beteende. Så när IPS-systemet ser denna typ av data eller beteende, kan IPS-systemet svänga till handling.
Misstänkt beteende kan också utlösa dessa system. Detta beteende kan innefatta ett fjärrsystem som försöker pinga varje adress på ditt delnät i sekventiell ordning och annan aktivitet som anses vara onormal. När IPS-systemet ser den här aktiviteten kan IPS konfigureras att svartlista eller blockera källanordningen, antingen på obestämd tid eller under en tidsperiod.
Det andra sättet som dessa system kan identifiera misstänkt trafik i ditt nätverk är att få dem att springa i ett lärarläge under en tidsperiod. Under veckorna kan de klassificera vanliga trafikmönster på ditt nätverk och sedan begränsa trafiken till de etablerade mönstren.
Om du introducerar ny programvara till ditt nätverk, kan du behöva manuellt lägga till lämpliga regler eller köra en lärandeperiod och sedan sätta systemet tillbaka i förebyggande läge.Denna nödvändighet är till och med sann för de värdbaserade systemen eftersom de uppdaterar sina regler från förvaltnings- eller policyservern som körs på nätverket.
Dessa system hjälper till att förhindra spridningen av Day Zero attacks, som är nya virus eller nätverksattacker som skiljer sig från alla tidigare nätverksintrång. Eftersom dessa Day Zero-attacker är nya har du inte en särskild signatur för attacken. men attacken behöver fortfarande utföra samma misstänkta beteenden som kan detekteras och blockeras.
