Network Intrusion Detection & Intrusion Prevention Systems

June 6

Hver bedrift som bruker et datanettverk for å forenkle administrasjon og drift av sine dag-til-dag operasjoner bør være klar over sikkerhetstrusler som lurer innenfor og uten deres nettverk. Mens det er flere trinn som en klok selskapet vil ta for å beskytte nettverket sitt, kan hackere fortsatt finne sin vei inn i nettverket. På dette punktet, er det opp til innbrudd oppdagelse og forebygging systemer for å varsle og stoppe angrepet.

Network design

Et godt nettverk bør ha en brannmur installert på Internett-tilkobling for å filtrere både innkommende og utgående trafikk. Innsiden av brannmuren bør det være en demilitarisert sone der selskapets webservere leve. Utover det web-server er det interne nettverket, som mange ganger er beskyttet med en annen brannmur. Denne utformingen gir et solid beskyttelsesnivå for det interne nettverket, men mer er nødvendig.

Intrusion Detection Systems

Intrusion Detection systemer er passive i naturen. Det vil si, de overvåke for mistenkelig aktivitet og sende varsler til nettvirksomheten senter personell for handling. På dette punktet er det opp til NOC mannskap for å avgjøre om varslene skyldes en reell angrep eller om de er et resultat av en falsk positiv. En falsk positiv oppstår når IDS oppdager et aktivitetsmønster som matcher kriteriene for et angrep pågår. Det er viktig at NOC personell undersøke saken nøye og iverksette nødvendige tiltak for å beskytte nettverket.

Intrusion Prevention Systems

Intrusion Prevention Systems er aktive systemer, ved at de ikke bare overvåke for angrep og sender ut varsler, men er også i stand til å ta programmerte handlinger for å stoppe angrepet i sitt spor. Disse handlingene kan omfatte å stenge ned en intern server, en web server i DMZ eller tilkoblingen til Internett selv. Som med Intrusion Detection Systems, bør NOC personell undersøke varsler sendes av IPS og sørge for at de handlinger var riktige. De bør også ta forholdsregler for å beskytte nettverket mot et lignende angrep og gjenopprette hva tjenestene IPS stengt.