Netzwerksicherheit: Intrusion Prevention und Intrusion Detection - Dummys

gelten. Netzwerkadministratoren sollten Intrusion-Detection-Systeme (IDS) implementieren. und Intrusion-Prevention-Systeme (IPS) zur Bereitstellung einer netzwerkweiten Sicherheitsstrategie. IDS und IPS bieten beide eine ähnliche Reihe von Optionen. In der Tat kann man sich IPS als eine Erweiterung von IDS vorstellen, da ein IPS-System aktiv Geräte oder Verbindungen trennt, die als für ein Eindringen verwendet angesehen werden.

IDS-Geräte können netzwerkbasierte Geräte sein, die als Geräte oder separate Server ausgeführt werden, auf denen Software ausgeführt wird, die die IDS-Rolle ausführt. Sie können jedoch auch auf Client- oder Netzwerkcomputern installiert werden. Das spätere wird oft als Host-basiertes Intrusion Detection System (HIDS) bezeichnet.

Diese Geräte können sich in Ihrem Netzwerk, hinter Ihrer Firewall befinden, dort Anomalien erkennen und / oder außerhalb Ihrer Firewall platziert werden. Wenn sie sich außerhalb Ihrer Firewall befinden, sind sie normalerweise für die gleichen Angriffe wie für die Firewall gedacht. Dadurch werden Sie gewarnt, dass Angriffe gegen Ihre Firewall ausgeführt werden.

Cisco bietet verschiedene Optionen für IDS- und IPS-Systeme an und bietet diese als Standalone-Systeme oder als Add-ons für Ihre vorhandenen Sicherheitsprodukte an. Im Folgenden sind zwei solche Optionen aufgeführt:

• Cisco ASA Sicherheitsmodul für erweiterte Inspektion und Prävention

• Intrusion Detection System (IDSM-2) der Cisco Catalyst 6500-Serie Modul

IDS und IPS verfügen über verschiedene Methoden zur Erkennung. Ähnlich wie Viren in Ihrem Netzwerk verfügen Intrusionen und Angriffe über Merkmale, die als Signatur oder Verhalten aufgezeichnet werden. Wenn also das IPS-System diese Art von Daten oder Verhalten sieht, kann das IPS-System in Aktion treten.

Verdächtiges Verhalten kann diese Systeme ebenfalls auslösen. Dieses Verhalten kann ein Remotesystem umfassen, das versucht, alle Adressen in Ihrem Subnetz in der Reihenfolge zu pingen, und andere Aktivitäten, die als abnormal gelten. Wenn das IPS-System diese Aktivität sieht, kann das IPS so konfiguriert werden, dass es das Quellgerät auf unbestimmte Zeit oder für einen bestimmten Zeitraum auf eine schwarze Liste setzt oder blockiert.

Die andere Art, wie diese Systeme verdächtigen Datenverkehr in Ihrem Netzwerk erkennen können, besteht darin, sie für einen bestimmten Zeitraum in einem Lernmodus zu betreiben. Im Laufe der Wochen können sie regelmäßige Datenverkehrsmuster in Ihrem Netzwerk klassifizieren und dann den Datenverkehr auf diese festgelegten Muster beschränken.

Wenn Sie neue Software in Ihr Netzwerk einführen, müssen Sie möglicherweise manuell geeignete Regeln hinzufügen oder eine Lernphase ausführen und das System dann wieder in den Präventionsmodus versetzen.Diese Notwendigkeit gilt sogar für die hostbasierten Systeme, da sie ihre Regeln vom Management- oder Richtlinienserver aktualisieren, der im Netzwerk ausgeführt wird.

Diese Systeme helfen, die Verbreitung von Day Zero-Angriffen,, zu verhindern, bei denen es sich um neue Viren oder Netzwerkangriffe handelt, die sich von allen früheren Netzwerkangriffen unterscheiden. Da diese Day-Zero-Angriffe neu sind, haben Sie keine spezifische Signatur für den Angriff. Der Angriff muss jedoch immer noch dieselben verdächtigen Verhaltensweisen ausführen, die erkannt und blockiert werden können.