👋 Привет, сетевой друг!
Продолжая тему IPS/IDS, поговорим подробнее про IPS.
⏺ IDS способны лишь
уведомить cпециалиста о нежелательной активности. Но зачастую нужно среагировать в реальном времени, предотвратив вторжение на ранней стадии. Для этого используют уже упоминаемые
IPS.
⏺ IPS — это одна из разновидностей
IDS, так как использует те же методы обнаружения атак. Получается своеобразный гибрид
IDS и
фаервола. Зачастую
IDS и
IPS является одним и тем же устройством, которое можно по-разному настроить и подключить в сеть.
⏺ IDS и
IPS классифицируют схожим образом. Существуют:
⬜️ Хостовые IPS (
HIPS)
⬜️ Сетевые IPS (
NIPS)
NIPS предотвращает вторжения путем встраивания “в разрыв” сети и пропускания через себя трафика. Как правила у данного вида имеется внешний интерфейс, принимающий трафик, и внутренний, пропускающий легитимный трафик.
⏺ Также
IPS делят на те, которые
мониторят трафик и
сравнивают его с известными сигнатурами, и те, которые выискивают подозрительный трафик на основе анализаторов протоколов и базе найденных уязвимостях. Второй метод помогает защищаться от еще неизвестных классов атак. Если говорить о способах реакции на вторжения, то основными являются следующие: перенастройка коммуникационного оборудования, блокировка конкретных пользователей и хостов, обрыв сеансов при помощи
TCP RST или средствами
фаервола.
Network Academy |
#IPS #IDS
