Sécurité réseau: prévention des intrusions et de détection d'intrusion

Les administrateurs réseau doivent mettre en œuvre des systèmes de détection d'intrusion (IDS) et les systèmes de prévention des intrusions (IPS) de fournir une stratégie de sécurité au niveau du réseau. IDS et IPS offrent tous deux une série d'options similaires. En fait, vous pouvez penser à IPS comme une extension de l'IDS parce qu'un système IPS déconnecte activement dispositifs ou les connexions qui sont considérés comme étant utilisés pour une intrusion.

Dispositifs de détection d'intrusion peuvent être des dispositifs basés sur le réseau, fonctionnant comme des appareils ou des serveurs distincts exécutant le logiciel, qui effectue le rôle IDS, mais ils peuvent également être installé sur les ordinateurs clients ou de réseau. Le plus tard est souvent désigné comme le système de détection d'intrusion basée sur l'hôte (HIDS).

Ces appareils peuvent résider à l'intérieur de votre réseau, derrière votre pare-feu, détection d'anomalies là, et / ou ils peuvent être placés à l'extérieur de votre pare-feu. Quand ils sont en dehors de votre pare-feu, ils sont généralement ciblés pour les mêmes attaques que dirigent contre le pare-feu, vous alertant ainsi à des attaques étant courir contre votre pare-feu.

Cisco offre plusieurs options pour les IDS et IPS systèmes et propose ceux-ci comme des systèmes autonomes ou comme add-ons pour vos produits de sécurité existants. Le deux de ces options sont les suivantes:




  • Cisco ASA avancée inspection et Services Module Prévention Sécurité

  • 6500 Système de détection d'intrusion de la série Cisco Catalyst (-2 IDSM) Module

IDS et IPS ont plusieurs méthodes pour travailler avec détection. Similaires à des virus sur votre réseau, intrusions et les attaques ont des caractéristiques qui sont enregistrés comme une signature ou d'un comportement. Ainsi, lorsque le système IPS voit ce type de données ou le comportement, le système IPS peut passer à l'action.

Le comportement suspect peut également déclencher ces systèmes. Ce comportement peut inclure un système distant tentant de ping chaque adresse sur votre réseau dans un ordre séquentiel, et toute autre activité qui est considérée comme anormale. Lorsque le système IPS voit cette activité, l'IPS peut être configuré à la liste noire ou de bloquer l'appareil source, indéfiniment ou pour une période de temps.

L'autre façon ces systèmes peuvent identifier le trafic suspect sur votre réseau est de les faire fonctionner dans un mode d'apprentissage pour une période de temps. Au cours des semaines, ils peuvent classer les modèles de trafic réguliers sur votre réseau et de limiter le trafic de ces modèles établis.

Si vous introduisez un nouveau logiciel à votre réseau, vous devrez peut-être ajouter manuellement des règles appropriées ou d'exécuter une période d'apprentissage, puis remettre le système en mode prévention. Cette nécessité est encore vrai pour les systèmes basés sur l'hôte, car ils mettent à jour leurs règles de la gestion ou de la politique serveur qui exécute sur le réseau.

Ces systèmes aident à prévenir la propagation de Zero Day attaques, qui sont de nouveaux virus ou les attaques de réseau qui sont différentes de toutes les intrusions réseau précédents. Parce que ces attaques Zero Day sont nouvelles, vous ne disposez pas d'une signature spécifique pour la attack- mais l'attaque doit encore effectuer les mêmes comportements suspects, qui peut être détecté et bloqué.


» » » » Sécurité réseau: prévention des intrusions et de détection d'intrusion