Sareko segurtasun eremuan, intrusioak hautemateko sistema (IDak) eta intrusioen prebentzio sistemak (IPS) funtsezko eginkizuna dute. Artikulu honek sakonki aztertuko ditu bere definizioak, rolak, desberdintasunak eta aplikazioen agertokiak.
Zer da IDak (intrusioa hautemateko sistema)?
IDen definizioa
Intrussion detektatzeko sistema segurtasun tresna bat da, sareko trafikoa kontrolatzen duena eta analizatzen du jarduera edo eraso maltzurrak identifikatzeko. Erasoko eredu ezagunekin bat datozen sinadurak bilatzen ditu sareko trafikoa, sistemaren erregistroak eta bestelako informazio garrantzitsuak aztertuz.
IDak nola funtzionatzen duen
IDak modu hauetan funtzionatzen du batez ere:
Sinadura hautematea: IDek aurrez definitutako erasoen sinadura erabiltzen dute birusak detektatzeko birusen eskaneatzaileen antzekoak. IDak alerta bat altxatzen du trafikoak sinadura horiekin bat datozen ezaugarriak dituenean.
Anomalia hautematea: IDek sareko jarduera normalaren oinarria kontrolatzen du eta alertak planteatzen ditu portaera normaletik nabarmen desberdinak diren ereduak hautematen dituenean. Horrek eraso ezezagunak edo eleberriak identifikatzen laguntzen du.
Protokoloaren azterketa: IDSek sareko protokoloen erabilera aztertzen du eta protokolo estandarrekin bat ez datorren portaera hautematen du, horrela eraso posibleak identifikatzea.
ID motak
Nekatuta dauden lekuaren arabera, IDak bi mota nagusitan banatu daitezke:
Sareko IDak (nidak): Sare batean zabalduta sarean zehar isurtzen den trafiko guztia kontrolatzeko. Sarea eta garraio geruzaren erasoak antzeman ditzake.
Ostalari IDak (HIDS): Ostalari bakarrean zabalduta ostalari horretan sistemaren jarduera kontrolatzeko. Ostalari mailaren aurkako erasoak antzemateko bideratuta dago, hala nola malware eta erabiltzaile anormalen portaera.
Zer da IPS (intrusioen prebentzio sistema)?
IPSen definizioa
Intrusioen prebentzio-sistemak segurtasun-tresnak dira neurri proaktiboak hartzen dituztenak, atzeman ondoren eraso potentzialen aurka gelditzeko edo defendatzeko. ID batzuekin alderatuta, IPS ez da kontrolatzeko eta abisatzeko tresna bat, baizik eta aktiboki esku hartu eta balizko mehatxuak ekiditeko tresna bat da.
IPS nola funtzionatzen duen
IPS-ek sistema babesten du sarean zehar fluxua den trafiko maltzurra aktiboki blokeatuz. Bere lan printzipio nagusia honako hauek dira:
Erasoko trafikoa blokeatzea: IPSek erasoko trafiko potentziala hautematen duenean, berehalako neurriak har ditzake trafiko horiek sarean sartzea ekiditeko. Horrek erasoaren hedapen gehiago ekiditen laguntzen du.
Konexioaren egoera berrezarri: IPSek eraso potentzial bati lotutako konexio-egoera berrezarri dezake, erasotzailea konexioa berriro ezartzeko eta horrela erasoa eten arte.
Firewall arauak aldatzea: IPS modu dinamikoan alda daiteke suebakiko arauak trafiko mota zehatzak blokeatzeko edo baimentzeko denbora errealeko mehatxu egoeretara egokitzeko.
IP mota motak
IDen antzekoa, IPS bi mota nagusitan banatu daiteke:
Sareko IPak (Nips): Sare batean zabalduta sarean erasoak kontrolatu eta defendatzeko. Sareko geruzaren eta garraio geruzaren erasoen aurka defendatu dezake.
Ostalari IPS (aldaka): Ostalari bakarrean zabalduta, defentsa zehatzagoak emateko, batez ere, malware eta ustiatzeko ostalariaren aurkako erasoen aurka babesteko erabiltzen da.
Zein da intrusioak hautemateko sistema (IDak) eta intrusioen prebentzio sistema (IPS) arteko aldea?
Lan egiteko modu desberdinak
IDak jarraipen sistema pasiboa da, detekziorako eta alarmetarako erabiltzen dena. Aitzitik, IPS proaktiboa da eta balizko erasoen aurka defendatzeko neurriak hartzeko gai da.
Arriskuen eta Eraginaren Alderaketa
IDSen izaera pasiboa dela eta, positibo faltsuak edo faltsuak izan daitezke, IPS defentsa aktiboa sua lagun dezakeen bitartean. Bi sistemak erabiltzerakoan arriskuak eta eraginkortasuna orekatzeko beharra dago.
Inplementazio eta konfigurazio desberdintasunak
IDak malgua izan ohi da eta sareko kokapen desberdinetan zabaldu daiteke. Aitzitik, IPSen inplementazioa eta konfigurazioak plangintza zehatzagoa behar du trafiko normalarekin interferentziak ekiditeko.
IDS eta IPS aplikazio integratua
IDak eta IPSak elkarren osagarri dira, beharrezkoa denean defentsa neurri proaktiboak hartzerakoan, defentsa proaktiboak hartuz. Haien konbinazioak sareko segurtasun defentsa lerro zabalagoa izan dezake.
Ezinbestekoa da IDS eta IPSen arauak, sinadurak eta mehatxu adimena eguneratzea. Ziber-mehatxuak etengabe eboluzionatzen ari dira eta eguneratze puntualak sistemaren mehatxu berriak identifikatzeko gaitasuna hobetu dezake.
Kritikoa da IDak eta IPak arauak erakundeko sare eta eskakizun zehatzetara egokitzea. Arauak pertsonalizatuz, sistemaren zehaztasuna hobetu daiteke eta positibo faltsuak eta lagunarteko lesioak murriztu daitezke.
IDak eta IPak denbora errealean mehatxu potentzialei erantzuteko gai izan behar dute. Erantzun azkarra eta zehatzak erasotzaileei sarean kalte gehiago eragin ez dietela laguntzen du.
Sareko trafikoaren jarraipen etengabea eta trafiko normalen ereduak ulertzeko modua IDak hautemateko gaitasun anomalia hobetzen lagun dezake eta positibo faltsuak izateko aukera murrizten lagun dezake.
Bilatu eskubideaSareko Pakete BrokerZure IDekin lan egiteko (intrusioak hautemateko sistema)
Bilatu eskubideaBypass Sakatu SwitchZure IPekin lan egiteko (intrusioen prebentzio sistema)
Posta: 2012ko irailaren 26a
