Зміст
- Плюс чим вона відрізняється від системи виявлення вторгнень
- Що таке IPS технологія?
- Які види атак можуть запобігти IPS?
- Що робить IPS, якщо він виявляє атаку?
- IDS проти IPS
Плюс чим вона відрізняється від системи виявлення вторгнень
Системи запобігання вторгнень (IPS) - одні з найважливіших заходів безпеки мережі. IPS - це відома як система управління, оскільки вона не тільки виявляє потенційні загрози для мережевої системи та її інфраструктури, але прагне активно блокувати будь-які з'єднання, які можуть бути загрозою. Це відрізняється від більш пасивних захистів, таких як системи виявлення вторгнень.
Що таке IPS технологія?
Система запобігання вторгнень постійно відстежує мережевий трафік, зокрема за окремими пакетами, з метою пошуку можливих шкідливих атак. Він збирає інформацію про ці пакети і повідомляє їх системним адміністраторам, але також робить власні запобіжні кроки. Якщо IPS виявить потенційне зловмисне програмне забезпечення або інший вид помстової атаки, він заблокує доступ цих пакетів до мережі.
Також можуть бути зроблені інші кроки, такі як закриття лазівки в безпеці системи, які можна постійно використовувати. Він може закривати точки доступу до мережі, а також налаштовувати вторинні брандмауери для пошуку подібних атак у майбутньому, додаючи додаткові шари безпеки захисникам мережі.
Які види атак можуть запобігти IPS?
Системи запобігання вторгнень можуть шукати та захищати від різних можливих шкідливих атак. Вони мають можливість виявляти та блокувати атаки відмови в обслуговуванні (DoS), розповсюджувати атаки відмови в обслуговуванні (DDoS), використовувати набори, черв'яки, комп'ютерні віруси та інші типи зловмисного програмного забезпечення.
Що робить IPS, якщо він виявляє атаку?
Система запобігання вторгнень може виявляти різні атаки, аналізуючи пакети та шукаючи конкретні підписи зловмисного програмного забезпечення, хоча вона може також використовувати відстеження поведінки для пошуку аномальної активності в мережі, а також моніторингу будь-яких протоколів та політик адміністративної безпеки та чи порушуються вони .
Якщо будь-який із цих способів виявлення виявить потенційну атаку, IPS може негайно припинити з'єднання, з якого він надходить. IP-адресу, яка порушує право, згодом може бути заблокована, якщо IPS налаштований так, або користувачеві, пов’язаному з нею, знову заборонено доступ до мережі та будь-яких підключених ресурсів.
IPS також може змінити параметри локального брандмауера, щоб знову шукати подібні атаки, і навіть може видалити залишки атаки, знімаючи заголовки, постраждалі від зловмисного програмного забезпечення, заражені вкладення та шкідливі посилання з файлових та електронних серверів.
IDS проти IPS
Системи виявлення вторгнень (IDS) та системи запобігання вторгнень (IPS) можуть бути пов'язані з безпекою, але для цього вони мають зовсім інші цілі та засоби.
Існує багато типів IDS та IPS, і всі вони працюють трохи інакше. Для IDS існують мережеві системи виявлення вторгнень (NIDS), які сидять у стратегічних точках всередині мережі для виявлення потенційних атак, коли вони тривають всередині мережі. Системи виявлення вторгнень HIDS або хост працюють на окремих системах і пристроях і контролюють активність лише в мережі, що йде до цієї конкретної системи.
В будь-якому випадку IDS, який виявить потенційну атаку, повідомить про це системних адміністраторів.
На відміну від цього, IPS-системи будуть грати схожу роль на IDS - і їх можна використовувати разом із ними для більшого нагляду за мережею - але вони будуть відігравати більш активну роль у захисті мережі. Вони також повідомлять адміністраторів про виявлення атак, але вони також вживатимуть каральних дій проти будь-яких систем, окремих облікових записів або лазівки брандмауера, щоб переконатися, що атака заблокована та всі пов’язані файли видалені з мережі.
Як свідчать назви, системи виявлення вторгнень розроблені для того, щоб ви могли знати, якщо і коли відбувається атака, щоб ви могли вручну розглянути проблему. Системи запобігання вторгнень призначені для активного захисту вашої системи від атак та запобігання майбутнім через коригування мережевих параметрів.
