Въведение във видовете система за предотвратяване на проникване
Системата за откриване на проникване може да бъде дефинирана като инструмент, който се разгръща в интерфейса между публичната мрежа (взаимодействие) и частната мрежа с намерението да предотврати проникването на злонамерени мрежови пакети. Както се казва в името, целта на съществуването на този инструмент е да гарантира, че пакетите със злонамерен подпис не трябва да се допускат до частната мрежа, тъй като могат да навредят на интернет, ако се забавляват. Инструментите на IPS могат да бъдат интегрирани с други инструменти, които се използват в мрежовата сигурност, за да се предотврати атаките в мрежово ниво. В тази тема ще научим за Видовете система за предотвратяване на проникване.
Видове система за предотвратяване на проникване
Системата за предотвратяване на проникване не се ограничава само до сканиране на мрежовите пакети само на ниво влизане, но и да срещне злонамерената активност, случваща се в частната мрежа.
Въз основа на функционалността на IPS те са разделени на различни типове, които са споменати по-долу:
1. Система за предотвратяване на проникване на основата на домакин
Може да бъде определен като тип система за предотвратяване на проникване, която работи на един хост. Целта на този вид IPS е да се гарантира, че във вътрешната мрежа не трябва да се случва злонамерена дейност. Всеки път, когато IPS открие вътрешно някаква активност, която има ненормален подпис, IPS сканира мрежата, за да получи повече подробности за дейността и по този начин предотвратява появата на злонамерена дейност в този конкретен хост. Основната характеристика на този вид IPS е, че той никога не се грижи за цялата мрежа, но единственият хост, в който е разгърнат, държи го много сигурен и изцяло защитен от всички атаки, които биха могли да се случат през мрежовия слой.
2. Безжична система за предотвратяване на проникване
Тя може да се разглежда като другия тип система за откриване на проникване, която работи по безжичната мрежа. Този вид IPS се използва за следене на злонамерена активност в безжичната мрежа. Всички пакети, които се движат в безжичната мрежа, се проверяват или наблюдават от този вид IPS с помощта на подписи.
Ако се намери някакъв пакет, за който IPS има белег на злонамерен подпис, IPS ще попречи на пакета да влезе по-нататък в мрежата. Това е един от оптималните видове IPS, тъй като в наши дни безжичните мрежи се използват по-често, отколкото мрежата, базирана на LAN. Това прави мрежата достатъчно сигурна и не позволява на всички вредни мрежови пакети да направят всякакви промени в съществуващата среда.
3. Мрежова система за предотвратяване на проникване
Това може да се счита за другия вид IPS, който се разполага в мрежата, за да се предотврати злонамерени дейности. Целта на този IPS да следи или поддържа проверка на цялата мрежа. Всяка злонамерена дейност, открита в цялата мрежа, може да бъде предотвратена с използването на този вид IPS.
Тази система може да бъде интегрирана с други инструменти за сканиране в мрежата като Nexpose и така нататък. Като резултат, уязвимостите, открити от тези инструменти, ще се считат и от този вид IPS и ако се срещне някаква атака срещу уязвимостите, които са свидетели от мрежовия инструмент за сканиране, в този случай този IPS ще защитава системата, дори ако пластир за тази уязвимост не е наличен.
4. Анализ на поведението в мрежата
Както се казва в името, този вид IPS се използва за разбиране на поведението на мрежата и цялата мрежа, която се движи по цялата мрежа, остава в непрекъснато наблюдение на тази система. Всеки път, когато системата открие пакетите със злонамерен подпис, IPS гарантира, че блокира пакета, така че да не може да доведе до вреда на приложението.
Основната цел на този вид IPS е да се гарантира, че не трябва да се изготвят и предават злонамерени пакети през вътрешната мрежа. Организациите, използващи този тип IPS, винаги остават защитени срещу атаки като DOS (Отказ от услуга) или всякакъв вид атака, основана на нарушаване на поверителността.
В допълнение към това е много важно да се знае, че IPS работи съвместно със система за откриване на проникване (IDS). Ролята на IDS е да открива злонамерения пакет, докато ролята на IPS е да гарантира, че злонамерените пакети се унищожават или трябва да бъдат блокирани от изпълнение. IPS работи или чрез откриване и предотвратяване на пакетите въз основа на подпис или въз основа на статистическата аномалия.
Има голяма разлика между работата чрез двата подхода. Откриването, което се извършва чрез подпис, гарантира, че подписът на пакетите, които присъстват в базата данни на IPS, ще бъде открит, докато когато говорим за откриване на данните чрез статистическа аномалия, той проверява пакета спрямо определения срок. Всеки пакет, който показва всяка активност, която е била дефинирана в крайния срок, ще повиши алармата и ще се блокира от IPS.
SolarWinds Log & Event Manager, Splunk, sagan, OSSEC са някои от популярните IPS, които работят на AI платформа. Платформите, базирани на изкуствен интелект, позволяват на администраторите да гарантират много ефективно злонамерени дейности, които се случват в мрежата. Всички IPS трябва да бъдат внедрени според техния тип. Например IPS-базиран IOS трябва да бъде разгърнат само в една система, докато базиран на мрежата IPS работи добре за цялата мрежа.
Всички останали инструменти, които се използват за защита на мрежата от атаки, могат да бъдат интегрирани с тази система, така че тя да може да наблюдава мрежата по-ефективно. По-конкретно, инструментите, които сканират мрежата или одобряват мрежовото сканиране, трябва да бъдат интегрирани с тази система, за да се подобри нейната ефективност.
заключение
Системата за откриване на проникване е един от най-силните стълбове на мрежовата сигурност. Тя дава възможност на организацията да остане защитена срещу атаките, които водят до компрометиране на мрежовата сигурност. Механизмът за подкрепа на интеграцията с други инструменти, базирани на мрежова сигурност, прави по-ефективно откриването на злонамерен трафик. С усъвършенстването на технологията IPS инструментите се разработват, като се има предвид AI, който играе жизненоважна роля за разширяването на функциите, предоставени от този инструмент.
Препоръчителни статии
Това е ръководство за Видовете система за предотвратяване на проникване. Тук обсъждаме различните видове система за предотвратяване на проникване. Можете също да разгледате следната статия.
- Принципи на киберсигурността
- Какво е човекът в средната атака?
- Видове зловреден софтуер
- Технологии за сигурност
- Въпроси за интервю на система за предотвратяване на проникване