Segurança de rede: Prevenção de Intrusão e de Detecção de Intrusão
Os administradores de rede devem implementar sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) para fornecer uma estratégia de segurança em toda a rede. IDS e IPS ambos oferecem um conjunto semelhante de opções. Na verdade, você pode pensar IPS como uma extensão do IDS porque um sistema IPS desconecta ativamente dispositivos e conexões que são consideradas como sendo usado para uma intrusão.
dispositivos IDS podem ser dispositivos baseados em rede, funcionando como aparelhos ou servidores separados executando o software, que está realizando o papel IDS, mas também pode ser instalado no cliente ou rede de computadores. O mais recente é muitas vezes referido como sistema de detecção de intrusão baseados em host (HIDS).
Estes dispositivos podem residir dentro da sua rede, atrás de seu firewall, detecção de anomalias lá, e / ou eles podem ser colocados fora do firewall. Quando eles estão fora do firewall, eles normalmente são direcionados para os mesmos ataques que são executados contra o firewall, alertando, assim, para ataques a ser executado contra o seu firewall.
Cisco oferece várias opções de sistemas IDS e IPS e oferece a estes como sistemas independentes ou como add-ons para o seu produto de segurança existentes. A seguir, são duas dessas opções:
Cisco ASA de controlo avançado e Prevenção Módulo Serviços de Segurança
Catalyst 6500 Intrusion Detection System Series Cisco (-2 IDSM) Module
IDS e IPS têm vários métodos para trabalhar com detecção. Semelhante ao vírus em sua rede, invasões e ataques têm características que são registrados como uma assinatura ou comportamento. Então, quando o sistema IPS vê este tipo de dados ou comportamento, o sistema IPS pode entrar em ação.
comportamento suspeito também pode desencadear estes sistemas. Este comportamento pode incluir um sistema remoto tentar executar ping cada endereço na sub-rede em ordem sequencial, e outra atividade que é considerado anormal. Quando o sistema IPS vê esta actividade, o IPS pode ser configurado para barrar ou bloquear o dispositivo de origem, indefinidamente ou por um período de tempo.
A outra maneira estes sistemas podem identificar tráfego suspeito na rede é tê-los executado em um modo de aprendizagem durante um período de tempo. Ao longo de semanas, eles podem classificar os padrões de tráfego regulares em sua rede e, em seguida, limitar o tráfego para esses padrões estabelecidos.
Se você introduzir um novo software para sua rede, você pode precisar adicionar manualmente regras adequadas ou executar um período de aprendizagem e, em seguida, colocar o sistema volta para o modo de prevenção. Esta necessidade é ainda verdadeiro para os sistemas baseados em host, porque eles atualizar suas regras do servidor de gestão ou política que está em execução na rede.
Estes sistemas de ajudar a evitar a propagação de Zero ataques de dia, que são novos vírus ou ataques de rede que são diferentes de todas as intrusões de rede anteriores. Porque estes ataques dia zero são novos, você não tem uma assinatura específica para o Attack- mas o ataque ainda precisa realizar os mesmos comportamentos suspeitos, que podem ser detectados e bloqueados.