Systémy prevence narušení (IPS) jsou některá z nejdůležitějších opatření zabezpečení sítě, která síť může mít. IPS se označuje jako řídicí systém, protože nejen detekuje potenciální hrozby pro síťový systém a jeho infrastrukturu, ale snaží se aktivně blokovat všechna připojení, která mohou být hrozbou. To se liší od pasivnějších ochran, jako jsou systémy detekce narušení.
Co je to technologie IPS?
Systém prevence narušení neustále sleduje síťový provoz, konkrétně u jednotlivých paketů, aby vyhledal možné škodlivé útoky. Shromažďuje informace o těchto paketech a hlásí je správcům systému, ale také provádí vlastní preventivní pohyby. Pokud IPS detekuje potenciální malware nebo jiný druh pomstychtivých útoků, zablokuje těmto paketům přístup do sítě. Může podniknout i další kroky, například uzavření mezer v zabezpečení systému, které lze nepřetržitě využívat. Může zavřít přístupové body do sítě a nakonfigurovat sekundární brány firewall tak, aby v budoucnu hledaly tyto druhy útoků, a přidávat další vrstvy zabezpečení k obraně sítě.
Jakému druhu útoků může IPS zabránit?
Systémy prevence narušení mohou hledat a chránit před různými potenciálními škodlivými útoky. Mají schopnost detekovat a blokovat útoky typu Denial of Service (DoS), distribuované útoky typu Denial of Service (DDoS), využívat sady, červy, počítačové viry a další typy malwaru.
Co dělá IPS, pokud detekuje útok?
Systém prevence narušení dokáže detekovat různé útoky analýzou paketů a hledáním konkrétních podpisů malwaru, může však také využít sledování chování k vyhledání anomální aktivity v síti, stejně jako monitorování veškerých administrativních bezpečnostních protokolů a zásad a jejich porušení. . Pokud některá z těchto metod detekce odhalí potenciální útok, může IPS okamžitě ukončit připojení, ze kterého pochází. Problematickou adresu IP lze následně zablokovat, pokud je k tomu nakonfigurován IPS nebo pokud je uživateli přidruženému k ní zakázán opětovný přístup k síti a jakýmkoli připojeným prostředkům. IPS může také změnit nastavení lokálního firewallu, aby znovu sledoval takové útoky, a může dokonce odstranit všechny zbytky útoku odstraněním hlaviček zasažených malwarem, infikovaných příloh a škodlivých odkazů ze souborových a e-mailových serverů.
IDS vs IPS
Systémy detekce vniknutí (IDS) a systémy prevence narušení (IPS) mohou souviset se zabezpečením, ale za tímto účelem mají zcela odlišné cíle a prostředky. Existuje mnoho typů IDS a IPS a všechny fungují trochu jinak. Pro IDS existují systémy detekce narušení sítě (NIDS), které sedí ve strategických bodech v síti a detekují potenciální útoky, které probíhají v síti. Systémy HIDS nebo systémy detekce narušení hostitele běží na jednotlivých systémech a zařízeních a sledují pouze aktivitu v síti směřující do daného systému a z daného systému. V obou případech IDS, které odhalí potenciální útok, upozorní správce systému. Naproti tomu systémy IPS budou hrát podobnou roli jako IDS – a mohou být použity ve spojení s nimi pro větší dohled nad sítí – ale budou hrát aktivnější roli při ochraně sítě. Budou také upozorňovat administrátory, pokud budou detekovány útoky, ale také provedou represivní akce proti jakýmkoli systémům, jednotlivým účtům nebo mezerám brány firewall, aby se ujistil, že je útok blokován a všechny související soubory odstraněny ze sítě. Jak názvy napovídají, systémy detekce narušení jsou navrženy tak, aby vás informovaly, zda a kdy dojde k útoku, abyste mohli problém ručně vyřešit. Systémy prevence narušení jsou navrženy tak, aby aktivně chránily váš systém před útoky a aby předcházely budoucím úpravám parametrů sítě.