Mạng An ninh: Phòng chống xâm nhập và phát hiện xâm phạm - núm vú

Video: Phòng, chống nguy cơ tấn công mạng tại cơ quan Nhà nước 2025

Các quản trị viên mạng phải thực hiện các hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng chống xâm nhập (IPS) để cung cấp chiến lược an ninh mạng. IDS và IPS đều cung cấp một bộ tùy chọn tương tự. Trên thực tế, bạn có thể nghĩ IPS là một phần mở rộng của IDS vì một hệ thống IPS chủ động ngắt kết nối các thiết bị hoặc kết nối được coi là đang được sử dụng cho một sự xâm nhập.

Thiết bị IDS có thể là thiết bị dựa trên mạng, chạy dưới dạng thiết bị hoặc máy chủ riêng chạy phần mềm đang thực hiện vai trò IDS nhưng chúng cũng có thể được cài đặt trên máy tính khách hoặc mạng. Sau này thường được gọi là hệ thống phát hiện xâm nhập dựa vào máy chủ (HIDS).

Cisco cung cấp một số tùy chọn cho các hệ thống IDS và IPS và cung cấp chúng như các hệ thống độc lập hoặc như các tiện ích bổ sung cho các sản phẩm bảo mật hiện có của bạn. Sau đây là hai lựa chọn như sau:

Hành vi đáng ngờ cũng có thể kích hoạt các hệ thống này. Hành vi này có thể bao gồm một hệ thống từ xa cố gắng ping mọi địa chỉ trên mạng con của bạn theo thứ tự tuần tự và các hoạt động khác được coi là bất thường. Khi hệ thống IPS thấy hoạt động này, IPS có thể được cấu hình để chặn danh sách đen hoặc chặn thiết bị nguồn, hoặc vô thời hạn hoặc trong một khoảng thời gian.
Một cách khác mà các hệ thống này có thể xác định lưu lượng đáng ngờ trên mạng của bạn là để chúng chạy trong chế độ Tìm hiểu trong một khoảng thời gian. Trong suốt tuần, họ có thể phân loại các mẫu lưu lượng truy cập thông thường trên mạng của bạn và sau đó giới hạn lưu lượng truy cập đến những mẫu đã được thiết lập.

Nếu bạn giới thiệu phần mềm mới vào mạng của mình, bạn có thể phải tự thêm các quy tắc thích hợp hoặc chạy một giai đoạn học tập và sau đó đưa hệ thống trở lại chế độ Prevention.Sự cần thiết này thậm chí đúng với các hệ thống dựa trên máy chủ lưu trữ vì họ cập nhật các quy tắc của họ từ máy chủ chính sách hoặc máy chủ chính sách đang chạy trên mạng.

Các hệ thống này giúp ngăn chặn sự lây lan của các cuộc tấn công

Day Zero, là các virut mới hoặc các cuộc tấn công mạng khác với tất cả các xâm nhập mạng trước đó. Bởi vì các cuộc tấn công Ngày Zero là mới, bạn không có một chữ ký cụ thể cho cuộc tấn công; nhưng cuộc tấn công vẫn cần phải thực hiện cùng một hành vi đáng ngờ, có thể được phát hiện và bị chặn.