Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> การเขียนโปรแกรม

ระบบป้องกันการบุกรุกในการรักษาความปลอดภัยข้อมูลคืออะไร?


Intrusion Prevention System เป็นอุปกรณ์รักษาความปลอดภัยเครือข่ายที่ตรวจสอบกิจกรรมเครือข่ายและกิจกรรมของระบบเพื่อหาพฤติกรรมที่เป็นอันตรายหรือไม่พึงประสงค์ และสามารถตอบสนองต่อการบล็อกหรือหลีกเลี่ยงกิจกรรมเหล่านั้นได้

IPS บนเครือข่ายจะทำงานแบบอินไลน์เพื่อตรวจสอบการรับส่งข้อมูลเครือข่ายทั้งหมดสำหรับโปรแกรมหรือการโจมตีที่เป็นอันตราย เมื่อมีการระบุการโจมตี จะสามารถทิ้งแพ็กเก็ตที่ละเมิดได้ในขณะที่ยังช่วยให้การรับส่งข้อมูลอื่นๆ ทั้งหมดสามารถผ่านได้ เทคโนโลยีป้องกันการบุกรุกได้รับการปฏิบัติโดยบางคนว่าเป็นการพัฒนาเทคโนโลยีการตรวจจับการบุกรุก (IDS)

อนุพันธ์ของ Intrusion Prevention Systems (IPS) ในช่วงปลายทศวรรษ 1990 เพื่อแก้ไขความคลุมเครือในการตรวจสอบเครือข่ายแบบพาสซีฟโดยการระบุตำแหน่งระบบตรวจจับในบรรทัด IPS รุ่นแรกคือ IDS ที่สามารถใช้คำสั่งป้องกันไฟร์วอลล์และเปลี่ยนแปลงการควบคุมการเข้าถึงเราเตอร์ได้ วิธีนี้ใช้ไม่ได้ผลเนื่องจากสร้างสภาวะการแข่งขันระหว่าง IDS และช่องโหว่เมื่อเคลื่อนผ่านกลไกการควบคุม

Inline IPS ถือเป็นการปรับปรุงเทคโนโลยีไฟร์วอลล์ (snort inline รวมเป็นหนึ่ง) IPS สามารถสร้างการตัดสินใจในการควบคุมการเข้าถึงตามเนื้อหาของแอปพลิเคชัน แทนที่จะเป็นที่อยู่ IP หรือพอร์ตเมื่อไฟร์วอลล์แบบเดิมเสร็จสิ้น

มันสามารถเพิ่มประสิทธิภาพและประสิทธิภาพของการแมปการจำแนกประเภท IPS ส่วนใหญ่ใช้พอร์ตปลายทางในโครงสร้างลายเซ็น เนื่องจากในตอนแรกระบบ IPS เป็นส่วนขยายที่แท้จริงของระบบตรวจจับการบุกรุก จึงยังคงเชื่อมโยงกันต่อไป

ระบบป้องกันการบุกรุกยังสามารถให้บริการในระดับโฮสต์ที่สองเพื่อปฏิเสธเหตุการณ์ที่อาจเป็นอันตราย มีข้อดีและข้อเสียของ IPS แบบโฮสต์ที่สัมพันธ์กับ IPS แบบเครือข่าย ในบางกรณี เทคโนโลยีจะต้องเสริมกัน

ระบบป้องกันการบุกรุกควรเป็นระบบตรวจจับการบุกรุกที่ดีเพื่อให้เกิดผลบวกปลอมในราคาประหยัด ระบบ IPS บางระบบยังสามารถหลีกเลี่ยงการโจมตีที่ยังไม่ถูกค้นพบ ซึ่งรวมถึงการโจมตีที่เกิดจากบัฟเฟอร์ล้น

การกระทำของ IPS ในเครือข่ายนั้นสับสนกับการควบคุมการเข้าถึงและไฟร์วอลล์ระดับแอปพลิเคชัน เทคโนโลยีเหล่านี้มีความแตกต่างที่สำคัญบางประการ แม้ว่าทั้งหมดจะมีความคล้ายคลึงกัน แต่วิธีที่พวกเขาเข้าถึงเครือข่ายหรือความปลอดภัยของระบบนั้นแตกต่างกันโดยสิ้นเชิง

โดยทั่วไปแล้ว IPS ได้รับการออกแบบมาให้ทำงานโดยมองไม่เห็นบนเครือข่าย โดยทั่วไป ผลิตภัณฑ์ IPS จะไม่อ้างสิทธิ์ที่อยู่ IP บนเครือข่ายที่มีการป้องกัน แต่สามารถตอบสนองต่อการรับส่งข้อมูลโดยตรงได้หลายวิธี (การตอบสนองของ IPS ทั่วไปเกี่ยวข้องกับการทิ้งแพ็กเก็ต การรีเซ็ตการเชื่อมต่อ การแจ้งเตือน และแม้แต่การกักกันผู้บุกรุก) แม้ว่าผลิตภัณฑ์ IPS บางตัวจะมีความสามารถในการปฏิบัติตามกฎไฟร์วอลล์ แต่โดยทั่วไปเป็นเพียงความสะดวกและไม่ใช่บริการหลักของผลิตภัณฑ์

นอกจากนี้ เทคโนโลยี IPS ยังให้ข้อมูลเชิงลึกที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับการทำงานของเครือข่ายที่สนับสนุนข้อมูลบนโฮสต์ที่ใช้งานมากเกินไป การเข้าสู่ระบบที่ไม่ถูกต้อง เนื้อหาที่ไม่เหมาะสม และฟังก์ชันอื่นๆ ของเลเยอร์เครือข่ายและแอปพลิเคชัน