أمن الشبكات: منع التسلل والكشف عن التسلل - دمى

يجب على مسؤولي الشبكة تنفيذ أنظمة كشف التسلل (إدس) ونظم منع التسلل (إيبس) لتوفير استراتيجية أمنية على نطاق الشبكة. يقدم كل من إدس و إيبس مجموعة مماثلة من الخيارات. في الواقع، يمكنك أن تفكر في إيبس امتدادا ل إدس لأن نظام إيبس قطع بنشاط الأجهزة أو الاتصالات التي تعتبر تستخدم للتسلل.

أجهزة إدس يمكن أن تكون الأجهزة المستندة إلى شبكة الاتصال، تشغيل الأجهزة أو خوادم منفصلة تشغيل البرامج التي تقوم بدور إدس، ولكن يمكن أيضا أن تكون مثبتة على أجهزة الكمبيوتر العميل أو الشبكة. وغالبا ما يشار إليها في وقت لاحق باسم نظام كشف التسلل القائم على المضيف (هيدس).

يمكن لهذه الأجهزة أن تقيم داخل شبكتك، خلف جدار الحماية الخاص بك، والكشف عن تشوهات هناك، و / أو يمكن وضعها خارج الجدار الناري الخاص بك. عندما تكون خارج الجدار الناري الخاص بك، وعادة ما تستهدف لنفس الهجمات التي تعمل ضد جدار الحماية، وبالتالي تنبيهك إلى الهجمات التي يتم تشغيلها ضد جدار الحماية الخاص بك.

توفر شركة سيسكو العديد من الخيارات لأنظمة إدس و إيبس وتقدم هذه الأنظمة كأنظمة مستقلة أو كإضافات لمنتجات الأمان الحالية. وفيما يلي اثنين من هذه الخيارات:

>

• وحدة سيسكو آسا للتفتيش المتقدم والوقاية من خدمات الأمن

• وحدة كشف سيسكو كاتاليست 6500 سيريز إنتروسيون ديتكتيون (إدسم-2)

لدى إدس و إيبس عدة طرق للعمل مع الكشف. على غرار الفيروسات على الشبكة الخاصة بك، والاختراقات والهجمات لها الميزات التي يتم تسجيلها كتوقيع أو سلوك. لذلك عندما يرى نظام إيبس هذا النوع من البيانات أو السلوك، يمكن لنظام إيبس تأرجح في العمل.

السلوك المشبوه يمكن أن يؤدي أيضا إلى هذه الأنظمة. ويمكن أن يتضمن هذا السلوك نظاما عن بعد يحاول إجراء عملية بينغ لكل عنوان على شبكتك الفرعية بترتيب تسلسلي، والنشاط الآخر الذي يعتبر غير طبيعي. عندما يرى نظام إيبس هذا النشاط، يمكن تكوين إيبس إلى القائمة السوداء أو حظر الجهاز المصدر، إما لأجل غير مسمى أو لفترة من الزمن.

والطريقة الأخرى التي تمكن هذه الأنظمة من تحديد الزيارات المشبوهة على شبكتك هي تشغيلها في وضع التعلم لفترة من الوقت. على مدى أسابيع، يمكنهم تصنيف أنماط حركة المرور العادية على الشبكة الخاصة بك ومن ثم الحد من حركة المرور إلى تلك الأنماط المعمول بها.

إذا قدمت برنامجا جديدا إلى شبكتك، فقد تحتاج إلى إضافة قواعد مناسبة يدويا أو تشغيل فترة تعليمية ثم إعادة تشغيل النظام إلى وضع المنع.هذه الضرورة هي حتى صحيح من الأنظمة المستندة إلى المضيف لأنها تحديث قواعدها من خادم إدارة أو السياسة التي تعمل على الشبكة.

تساعد هذه الأنظمة على منع انتشار هجمات اليوم الصفر، التي هي فيروسات جديدة أو هجمات شبكة مختلفة عن جميع عمليات الاقتحام السابقة للشبكة. لأن هذه الهجمات يوم صفر هي جديدة، لم يكن لديك توقيع محدد للهجوم. ولكن الهجوم لا يزال يحتاج إلى أداء نفس السلوكيات المشبوهة، والتي يمكن الكشف عنها وحجبها.