IPS/IDS ochrana

IDS a IPS jsou procesy detekování a monitorování počítačů a sítí. Hlídají určité události, které by mohli být náznakem pokusu o proniknutí do systému a také se jim snaží předcházet. Následně tuto neobvyklou aktivitu zaznamenají. Odborníci na bezpečnost, pak mohou na základě těchto dat nebezpečí vyhodnotit.

IDS – Intrusion Detection Systems

Jedná se o pasivní monitorování síťového provozu a to jak příchozího, tak i odchozího. Jeho úkolem je monitorovat určité vzory, které by mohli ukazovat na neobvyklé chování související s útokem. Jedná se o pasivní detekci, protože nemá za úkol něčemu bránit anebo zahájit určitá opatření. Pokud se vyskytne nějaká událost, zaznamená jí, popřípadě upozorní administrátora na možné nebezpečí.

IDS je většinou postaveno na velké databázi zdokumentovaných forem útoků. To znamená, že IDS hledá určité společné znaky už známých útoků. Podobně jako například antivirový software detekuje viry podle své databáze jejich vzorků.

V reálu například porovnává jednotlivé pakety síťového provozu  s tím co má v databázi.

Pokud IDS funguje v rámci síťové infrastruktury jako samostatný prvek či prvky, tak se můžeme setkat s pojmem NIDS (Network-based IDS systems).

IPS – Intrusion Prevetntion Systems

IPS je často označován jako vyšší stupeň ochrany, který vystupuje aktivně. Například když zaznamená problém může zasáhnout přenastavením pravidel ve firewall, ale tím to zdaleka nekončí. Pokročilé IPS poskytují ochranu na všech úrovních a to od operačního systému, aplikace až po síťový provoz. Na základě IDS pak dokáže vyhodnotit míru rizika a podle toho jednat. Od upozornění administrátora, přes blokování specifických paketů na firewall až po zablokování přístupu uživatelů v aplikaci. Když bude třeba, tak i odpojit server od sítě.

Moderní IPS dokonce umí zabránit novým druhům útoků. Stačí jim k tomu databáze určitých vzorů chování síťového provozu. Dále sledují anomálie na síti. Například zvýšenou aktivitu na určitém portu, přenosy dat, připojená zařízení atd. Oblíbená je i metoda Stateful Protocol Analysis Detection, což znamená, že se testuje co je na daném protokolu statisticky běžné a jakmile nějaké pakety z tohoto chování vybočují může IPS jednat.

Současné IPS jsou na velmi vysoké úrovni. Dokáží zajistit velmi kvalitní ochranu a hlavně pomohou s prevencí. Umí si poradit s nejen s hrubou silou jako je DoS útok anebo brute force útokem na hesla. Zvládají i roboty, kteří hledají slabá místa v online aplikacích.

Share Button

Tento článek byl byl přečten 7559 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *