Назад | Перейти на главную страницу

Сравнение межсетевых экранов, предотвращения вторжений, обнаружения и антивирусных технологий в организационной сетевой архитектуре

в эти дни я читаю о системах предотвращения / обнаружения вторжений. При чтении я действительно запутался в некоторых моментах.

Во-первых, брандмауэр и антивирусные технологии известны уже много лет, но сейчас IDS становится популярной.

Мой вопрос включает:

Если вы приведете несколько примеров, это очень поможет.

Спасибо.

Системы обнаружения вторжений (IDS) и системы защиты от вторжений (IPS) - довольно обширная тема. Таким образом, мой ответ здесь далеко не исчерпывающий.

Типы IDS включают сетевые и хостовые.

IDS на основе сети, например Фырканье, анализировать и регистрировать сетевой трафик на основе набора правил. Эти правила будут соответствовать потенциальным уязвимостям, потенциально обеспечивая заблаговременное предупреждение о попытке вторжения и криминалистические данные постфактум.

IDS на основе хоста включают программное обеспечение, такое как Помощник, которые периодически сравнивают хэши файлов в файловой системе. Это позволит кому-либо отслеживать изменения в системе и выявлять несанкционированные изменения.

Центральное ведение журнала, возможно, может быть частью решений IDS для вашего хоста. Централизованное ведение журнала позволяет централизованно контролировать и проводить аудит ваших журналов. Кроме того, хранение журналов в одном месте минимизирует уязвимость и позволяет вести дополнительный контрольный журнал на случай, если система скомпрометирована и журналам больше не доверяют.

Фильтрация пакетов (брандмауэр) - это механизм безопасности для управления трафиком в вашу сеть и из нее. Брандмауэры - это не IDS.

Хорошо управляемая ИТ-инфраструктура включает в себя многие из этих технологий, и многие профессионалы не считают их дополнительными.

Я хочу добавить несколько вещей (ИМО, отличный ответ Warner уже охватывает большинство вопросов):

Брандмауэры разделяют вашу сеть на области с разным уровнем доверия:

  • Компания внешняя / внутренняя
  • Хост внешний / внутренний
  • Определенные IP-адреса в белом / черном списке / нейтральном
  • ...

IDS, с другой стороны, часто используются для отличия действительного трафика от атак, хотя все они происходят из одной зоны. Компании часто делают наивное предположение, что всему трафику, исходящему из локальной сети компании, можно доверять. Но это приводит к проблеме, что даже небольшое нарушение безопасности, которое кажется безвредным по своей поверхности (например, позволяет злоумышленнику отправлять определенные «безобидные» запросы с веб-сервера компании в локальную сеть), может легко стать гораздо более серьезной проблемой. . Поэтому IDS скорее предполагает, что злоумышленник уже находится где-то внутри сети, и ищет аномалии.

Еще кое-что об IDS: прослушивания одной точки вашей сети часто бывает недостаточно! Из-за особенностей коммутаторов не каждая атака распространяется по всей сети. Таким образом, оптимальная IDS будет отслеживать (теоретически)

  1. все хозяева
  2. весь сетевой трафик между любыми двумя точками.

Также полезно отслеживать состояние коммутаторов (для защиты от атак, таких как кража портов).

Если вы запускаете веб-приложение, убедитесь, что у вас установлен брандмауэр веб-приложения. Например mod_security - отличный брандмауэр для веб-приложений с открытым исходным кодом.

Наборы правил по умолчанию для Mod_secuirty могут предотвратить внедрение sql, xss и многие другие атаки. Mod_Security не так хорош, как Cisco ACE, который является очень дорогим коммерческим продуктом. Лучшая функция Cisco ACE - это защита от DDoS-атак.