Video: IBC beveiligd bedrijf.wmv 2024
Netwerkbeheerders moeten inbraakdetectiesystemen (IDS) implementeren en intrusion-prevention systems (IPS) om een netwerkbrede beveiligingsstrategie te bieden. IDS en IPS bieden beide een vergelijkbare reeks opties. In feite kunt u IPS beschouwen als een uitbreiding van IDS omdat een IPS-systeem actief apparaten of verbindingen ontkoppelt waarvan wordt aangenomen dat ze worden gebruikt voor een inbraak.
IDS-apparaten kunnen netwerkapparaten zijn, die als apparaten worden uitgevoerd of afzonderlijke servers waarop software wordt uitgevoerd, die de IDS-rol uitvoert, maar ze kunnen ook op client- of netwerkcomputers worden geïnstalleerd. Het laatste wordt vaak aangeduid als op een host gebaseerd inbraakdetectiesysteem (HIDS).
Deze apparaten kunnen zich binnen uw netwerk bevinden, achter uw firewall, daar afwijkingen detecteren en / of ze kunnen buiten uw firewall worden geplaatst. Wanneer ze zich buiten uw firewall bevinden, zijn ze meestal gericht op dezelfde aanvallen die tegen de firewall lopen, waardoor u wordt gewaarschuwd voor aanvallen die tegen uw firewall worden uitgevoerd.
Cisco biedt verschillende opties voor IDS- en IPS-systemen en biedt deze als standalone systemen of als invoegtoepassingen voor uw bestaande beveiligingsproducten. Dit zijn twee van dergelijke opties:
-
Cisco ASA module geavanceerde inspectie en preventiebeveiligingsservices
-
Inbraakdetectiesysteem van de Cisco Catalyst 6500-serie (IDSM-2)
IDS en IPS hebben verschillende methoden om met detectie te werken. Net zoals virussen op je netwerk, hebben indringers en aanvallen functies die worden geregistreerd als een handtekening of gedrag. Dus wanneer het IPS-systeem dit type gegevens of gedrag ziet, kan het IPS-systeem in actie komen.
Verdacht gedrag kan deze systemen ook activeren. Dit gedrag kan een systeem op afstand bevatten dat probeert om elk adres in uw subnet in de juiste volgorde te pingen en andere activiteiten die als abnormaal worden beschouwd. Wanneer het IPS-systeem deze activiteit ziet, kan de IPS worden geconfigureerd om het bronapparaat op een zwarte lijst te zetten of te blokkeren, hetzij voor onbepaalde tijd, hetzij voor een bepaalde periode.
De andere manier waarop deze systemen verdacht verkeer op uw netwerk kunnen identificeren, is door ze een bepaalde periode in een leermodus te laten draaien. In de loop van weken kunnen ze reguliere verkeerspatronen op uw netwerk classificeren en vervolgens het verkeer beperken tot die gevestigde patronen.
Als u nieuwe software in uw netwerk introduceert, moet u mogelijk handmatig toepasselijke regels toevoegen of een leerperiode uitvoeren en vervolgens het systeem terugzetten in de Preventiemodus.Deze noodzaak geldt zelfs voor de op hosts gebaseerde systemen omdat ze hun regels bijwerken vanaf de beheer- of beleidsserver die op het netwerk wordt uitgevoerd.
Deze systemen helpen de verspreiding van Day Zero-aanvallen tegen te gaan. Dit zijn nieuwe virussen of netwerkaanvallen die verschillen van alle voorgaande netwerkinbraken. Omdat deze Day Zero-aanvallen nieuw zijn, hebt u geen specifieke handtekening voor de aanval; maar de aanval moet nog steeds hetzelfde verdachte gedrag vertonen, dat kan worden gedetecteerd en geblokkeerd.