NIDS (Network Intrusion Detection System) og NIPS (Network Intrusion Prevention System))

author
4 minutes, 38 seconds Read
X

Personvern & Informasjonskapsler

dette nettstedet bruker informasjonskapsler. Ved å fortsette godtar du bruken av dem. Lær mer, inkludert hvordan du kontrollerer informasjonskapsler.

Fikk Det!

Advertisements

Nids og NIPS (Behavior based, signature based, anomaly based, heuristic)

et ids (intrusion detection system) er programvare som kjører på en server eller nettverksenhet for å overvåke og spore nettverksaktivitet. Ved HJELP AV EN ID-ER kan en nettverksadministrator konfigurere systemet til å overvåke nettverksaktivitet for mistenkelig oppførsel som kan indikere uautoriserte tilgangsforsøk. IDSs kan konfigureres til å evaluere systemlogger, se på mistenkelig nettverksaktivitet og koble fra økter som ser ut til å bryte sikkerhetsinnstillingene.

IDSs kan selges med brannmurer. Brannmurer i seg selv vil forhindre mange vanlige angrep, men de har vanligvis ikke intelligensen eller rapporteringsevnen til å overvåke hele nettverket. EN IDS, i forbindelse med en brannmur, tillater både en reaktiv holdning med brannmuren og en forebyggende holdning med IDS.

SOM svar på en hendelse kan ID-ENE reagere ved å deaktivere systemer, slå av porter, avslutte økter, bedrag (omdirigere til honeypot) og til og med potensielt slå av nettverket ditt. En nettverksbasert ID som tar aktive skritt for å stoppe eller hindre en inntrenging kalles et nettverk inntrenging forebyggende system (NIPS). Når de opererer i denne modusen, betraktes de som aktive systemer.

Passive deteksjonssystemer logger hendelsen og er avhengige av varsler for å varsle administratorer om inntrenging. Å unngå eller ignorere et angrep er et eksempel på en passiv respons, hvor et ugyldig angrep trygt kan ignoreres. En ulempe med passive systemer er etterslep mellom inntrenging deteksjon og eventuelle utbedring skritt tatt av administratoren.

Intrusion prevention systems (Ips) som IDSs følger samme prosess for å samle og identifisere data og oppførsel, med den ekstra muligheten til å blokkere (forhindre) aktiviteten.

en nettverksbasert ID undersøker nettverksmønstre, for eksempel et uvanlig nummer eller forespørsler som er bestemt for en bestemt server eller tjeneste, for EKSEMPEL EN FTP-server. Nettverk IDS systemer bør være plassert så forhånd som mulig, for eksempel på brannmuren, et nettverk trykk, span port, eller hub, for å overvåke ekstern trafikk. Verts-ID-systemer derimot, er plassert på individuelle verter der de mer effektivt kan overvåke internt genererte hendelser.

Bruk av både nettverks-OG verts-ID-ER øker sikkerheten i miljøet.

Snort Er et eksempel på et system for deteksjon og forebygging av nettverksinnbrudd. Det utfører trafikkanalyse og pakkelogging PÅ IP-nettverk. Snort bruker et fleksibelt regelbasert språk for å beskrive trafikk som den skal samle eller passere, og en modulær deteksjonsmotor.

Nettverksbasert inntrengingsdeteksjon forsøker å identifisere uautorisert, ulovlig og uregelmessig oppførsel basert utelukkende på nettverkstrafikk. Ved hjelp av de fangede dataene behandler Og flagger Nettverks-ID-ene mistenkelig trafikk. I motsetning til et inntrengingsforebyggende system blokkerer ikke et inntrengingsdeteksjonssystem aktivt nettverkstrafikk. Rollen til et nettverk IDS er passiv, bare samle, identifisere, logging og varsling.

Host based intrusion detection system (Hids) forsøker å identifisere uautorisert, ulovlig og uregelmessig oppførsel på en bestemt enhet. HIDS innebærer vanligvis en agent installert på hvert system, overvåking og varsling på lokale OS og programaktivitet. Den installerte agenten bruker en kombinasjon av signaturer, regler og heuristikk for å identifisere uautorisert aktivitet. Rollen til en verts-ID er passiv, bare å samle, identifisere, logge og varsle. Tripwire er et eksempel på EN HIDS.

DET er for tiden ingen fullt modne åpne standarder FOR ID. Internet Engineering Task Force (Ietf) er organisasjonen som utvikler Nye internett-standarder. De har en arbeidsgruppe for å utvikle et felles format FOR IDS-varsler.

følgende typer overvåkingsmetoder kan brukes til å oppdage inntrenging og ondsinnet oppførsel: signatur, anomali, heuristisk og regelbasert overvåking.

en signaturbasert ID vil overvåke pakker på nettverket og sammenligne dem mot en database med signaturer eller attributter fra kjente ondsinnede trusler. Dette ligner på måten de fleste antivirusprogrammer oppdager malware. Problemet er at det vil være et lag mellom en ny trussel som blir oppdaget i naturen og signaturen for å oppdage at trusselen blir brukt PÅ DINE ID-ER.

en nettverk-id-signatur er et mønster som vi ønsker å se etter i trafikken. Signaturer spenner fra veldig enkelt-kontrollere verdien av et topptekstfelt – til svært komplekse signaturer som faktisk kan spore tilstanden til en tilkobling eller utføre omfattende protokollanalyse.

en anomali-basert ID undersøker pågående trafikk, aktivitet, transaksjoner eller atferd for anomalier (ting utenfor normen) på nettverk eller systemer som kan indikere angrep. EN ids som er anomali basert vil overvåke nettverkstrafikk og sammenligne den mot en etablert grunnlinje. Baseline vil identifisere hva som er «normalt» for det nettverket, hva slags båndbredde som vanligvis brukes, hvilke protokoller som brukes, hvilke porter og enheter som vanligvis kobler seg til hverandre, og varsle administratoren når trafikk oppdages som er uregelmessig til grunnlinjen.

en heuristisk basert sikkerhetsovervåking bruker en innledende database med kjente angrepstyper, men endrer dynamisk signaturbasen deres på lært oppførsel av nettverkstrafikk. Et heuristisk system bruker algoritmer for å analysere trafikken som passerer gjennom nettverket. Heuristiske systemer krever mer finjustering for å hindre falske positiver i nettverket.

et atferdsbasert system ser etter variasjoner i atferd, for eksempel uvanlig høy trafikk, brudd på retningslinjene og så videre. Ved å lete etter avvik i atferd, er det i stand til å gjenkjenne potensielle trusler og reagere raskt.
i Likhet med regler for brannmurtilgangskontroll, er et regelbasert sikkerhetsovervåkingssystem avhengig av at administratoren oppretter regler og bestemmer hvilke handlinger som skal utføres når disse reglene brytes.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Studieveiledning: Eksamen SY0-301, Femte Utgave Av Emmett Dulaney

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

Annonser

Similar Posts

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.