Сравнение межсетевого экрана, предотвращения вторжений, обнаружения и антивирусных технологий в архитектуре организационной сети
В эти дни я читаю о системах предотвращения / обнаружения вторжений. При чтении я действительно запутался в некоторых моментах.
Во-первых, брандмауэр и антивирусные технологии известны годами, однако теперь IDS становится популярным.
Мой вопрос включает в себя:
- в организационных сетевых архитектурах, когда / где мы используем эти системы?
- Каковы преимущества использования каждого?
- Брандмауэр содержит все эти другие?
Если вы приведете несколько примеров, это очень поможет.
Благодарю.
3 ответа
Системы обнаружения вторжений (IDS) и Системы защиты от вторжений (IPS) являются довольно широкой темой. Таким образом, мой ответ здесь далеко не исчерпывающий.
Типы IDS включают в себя сеть и хост.
Сетевые IDS, такие как SNORT, анализируют и регистрируют сетевой трафик на основе набора правил. Эти правила будут соответствовать потенциальным уязвимостям, таким образом, потенциально предоставляя заблаговременное предупреждение о попытке вторжения и криминалистических данных после факта.
В состав IDS на основе хоста входит программное обеспечение, такое как AIDE, которое периодически сравнивает хэши файлов в файловой системе. Это позволило бы кому-то отслеживать изменения в системе и выявлять несанкционированные изменения.
Центральное ведение журнала может быть частью вашего IDS-решения на основе хоста. Центральная регистрация позволяет контролировать и проверять ваши журналы в центральном месте. Кроме того, хранение журналов в централизованном месте минимизирует риск и дает возможность дополнительного аудита в случае, если система взломана и журналы больше не являются доверенными.
Фильтрация пакетов (межсетевой экран) - это механизм безопасности для контроля трафика в вашу сеть и из нее. Межсетевые экраны не IDS.
Хорошо функционирующая ИТ-инфраструктура включает в себя многие из этих технологий, и многие специалисты не считают их необязательными.
Несколько вещей, которые я хочу добавить (IMO, отличный ответ Уорнера уже охватывает большинство вопросов):
Межсетевые экраны разделяют вашу сеть на области с различными уровнями доверия:
- Компания внешняя / внутренняя
- Хост внешний / внутренний
- Определенные IP-адреса в белом / черном списке / нейтральном
- ...
IDS, с другой стороны, часто используются, чтобы отличить действительный трафик от атак, хотя все они исходят из одной зоны. Наивное предположение, которое часто делают компании, заключается в том, что всему трафику, исходящему из локальной сети компании, можно доверять. Но это приводит к проблеме, заключающейся в том, что даже небольшое нарушение безопасности, которое на первый взгляд кажется безвредным (например, позволяет злоумышленнику отправлять определенные "безвредные" запросы с веб-сервера компании в локальную сеть), может легко стать гораздо более серьезной проблемой., Поэтому IDS скорее предполагает, что злоумышленник уже где-то внутри сети, и ищет ненормальности.
Еще одна вещь о IDS: прослушивания в одной точке вашей сети часто недостаточно! Из-за особенностей коммутаторов не каждая атака распространяется по всей сети. Таким образом, оптимальный IDS будет контролировать (теоретически)
- все хозяева
- весь сетевой трафик между любыми двумя точками.
Также полезно отслеживать состояние коммутаторов (для защиты от атак, таких как кража портов).
Если вы используете веб-приложение, убедитесь, что у вас есть брандмауэр веб-приложений. Например, mod_security - отличный межсетевой экран для веб-приложений, бесплатный и с открытым исходным кодом.
Наборы правил по умолчанию для Mod_secuirty могут предотвратить внедрение sql, xss и многие другие атаки. Mod_Security не так хорош, как Cisco ACE, который является очень дорогим коммерческим продуктом. Лучшая функция Cisco ACE - защита от DDoS.