Rangkaian Keselamatan: Pencegahan Pencegahan dan Pengesanan Pencerobohan - dummies

Pentadbir rangkaian harus melaksanakan sistem pengesanan pencerobohan (IDS) dan sistem pencegahan pencerobohan (IPS) untuk menyediakan strategi keselamatan rangkaian menyeluruh. IDS dan IPS kedua-duanya menawarkan pilihan yang sama. Sebenarnya, anda boleh memikirkan IPS sebagai lanjutan IDS kerana sistem IPS secara aktif melucutkan sambungan peranti atau sambungan yang dianggap digunakan untuk pencerobohan. Peranti IDS boleh menjadi peranti berasaskan rangkaian, berjalan sebagai peralatan atau pelayan berasingan yang menjalankan perisian, yang melaksanakan peranan IDS, tetapi mereka juga boleh dipasang pada komputer klien atau rangkaian. Yang kemudiannya sering disebut sebagai sistem pengesanan pencerobohan berasaskan tuan rumah (HIDS).

Peranti ini boleh tinggal di dalam rangkaian anda, di belakang firewall anda, mengesan kelainan di sana, dan / atau mereka boleh diletakkan di luar firewall anda. Apabila mereka berada di luar firewall anda, mereka biasanya disasarkan untuk serangan yang sama yang dijalankan terhadap firewall, dengan itu memberi amaran kepada serangan yang dijalankan terhadap firewall anda.

Cisco menawarkan beberapa pilihan untuk sistem IDS dan IPS dan menawarkan ini sebagai sistem mandiri atau sebagai tambahan untuk produk keselamatan anda yang sedia ada. Berikut adalah dua pilihan seperti berikut:

Cisco ASA Modul Perkhidmatan Keselamatan dan Pemeriksaan Pencegahan Terperinci

• Cisco Catalyst 6500 Series IDS dan IPS mempunyai beberapa kaedah untuk bekerja dengan pengesanan. Sama seperti virus di rangkaian anda, pencerobohan dan serangan mempunyai ciri-ciri yang direkodkan sebagai tandatangan atau tingkah laku. Jadi, apabila sistem IPS melihat jenis data atau tingkah laku ini, sistem IPS boleh bergerak ke dalam tindakan.

Tingkah laku mencurigakan juga boleh mencetuskan sistem ini. Tingkah laku ini boleh termasuk sistem terpencil yang mencoba untuk ping setiap alamat pada subnet anda dalam susunan berurutan, dan aktiviti lain yang dianggap tidak normal. Apabila sistem IPS melihat aktiviti ini, IPS boleh dikonfigurasi untuk menyenaraihitamkan atau menyekat peranti sumber, sama ada selama-lamanya atau untuk tempoh masa.

Cara lain sistem ini dapat mengenal pasti trafik yang mencurigakan di rangkaian anda adalah untuk menjalankannya dalam mod Pembelajaran untuk jangka waktu tertentu. Sepanjang minggu, mereka boleh mengklasifikasikan corak lalu lintas biasa pada rangkaian anda dan kemudian mengehadkan lalu lintas ke corak yang ditetapkan.

Jika anda memperkenalkan perisian baru ke rangkaian anda, anda mungkin perlu menambah peraturan yang sesuai secara manual atau menjalankan tempoh pembelajaran dan kemudian masukkan semula sistem ke dalam mod Pencegahan.Keperluan ini adalah benar terhadap sistem berasaskan tuan rumah kerana mereka mengemas kini peraturan mereka dari pelayan pengurusan atau dasar yang berjalan di rangkaian.

Sistem ini membantu mencegah penyebaran serangan

Hari Zero, yang merupakan virus baru atau serangan rangkaian yang berbeza dari semua pencerobohan rangkaian sebelumnya. Kerana serangan Zero Hari ini baru, anda tidak mempunyai tandatangan khusus untuk serangan itu; tetapi serangan itu masih perlu melakukan tingkah laku yang mencurigakan yang sama, yang dapat dikesan dan disekat.