Información detallada del IPS (Sistema de Prevención de Intrusiones)

El Sistema de Prevención de Intrusiones (IPS: Intrusion Prevention System) es una instalación de seguridad de la red informática y una explicación del software antivirus (programas antivirus) y firewall (filtro de paquetes, puerta de enlace de aplicaciones). El sistema de prevención de intrusiones (sistema de prevención de intrusiones) es un dispositivo de seguridad de la red informática que puede monitorear el comportamiento de transmisión de datos de la red o del equipo de red y puede interrumpir, ajustar o aislar inmediatamente algunos comportamientos de transmisión de datos anormales o dañinos. Introducción básica Nombre chino: Sistema de prevención de intrusiones Nombre extranjero: Sistema de prevención de intrusiones Alias: Troyano Expresión: Virus informático Hora de la propuesta: 2014 Asunto aplicable: Social Alcance de los campos aplicables: Global Alcance de los campos aplicables: Concepto de vida, seguridad de la red, causas de ocurrencia, tecnología de prevención de intrusiones, tipos de sistemas, evaluación, ejemplos de productos, prevención de intrusiones, seguridad web, control de tráfico, monitoreo de Internet, estado del sistema, concepto (Sistema de prevención de intrusiones) es una instalación de seguridad de red informática que es un complemento al software antivirus (Antivirus Programas) y Suplemento al firewall (Filtro de paquetes, Application Gateway). El sistema de prevención de intrusiones (sistema de prevención de intrusiones) es un dispositivo de seguridad de la red informática que puede monitorear el comportamiento de transmisión de datos de la red o del equipo de red y puede interrumpir, ajustar o aislar inmediatamente algunos comportamientos de transmisión de datos anormales o dañinos. Seguridad de la red Con el uso generalizado de las computadoras y la continua popularidad de Internet, también están aumentando los peligros y delitos tanto dentro como fuera de la red. Hace veinte años, los virus informáticos se propagaban principalmente a través de disquetes. Más tarde, cuando el usuario abre el archivo adjunto del correo electrónico que contiene el virus, se puede activar el virus contenido en el archivo adjunto. En el pasado, los virus se propagaban relativamente lentamente y los desarrolladores de software antivirus tenían tiempo suficiente para estudiar los virus y desarrollar software antivirus y antivirus. Hoy en día, no sólo ha aumentado espectacularmente el número de virus y ha mejorado su calidad, sino que también se propagan rápidamente a través de Internet y pueden extenderse por todo el mundo en apenas unas horas. Algunos virus también cambiarán de forma durante el proceso de transmisión, lo que hará que el software antivirus sea ineficaz. Programas de ataque y códigos dañinos actualmente populares como DoS (Denial of Service), DDoS (Distributed DoS), Brut-Force-Attack, Portscan, sniffing, virus, gusanos, spam, troyanos, etc. Además, también hay personas que aprovechan las lagunas y defectos del software para hacer cosas malas, lo que dificulta que las personas se protejan contra ellos. Cada vez existen más métodos de intrusión en la red. Algunos hacen uso completo de firewalls para permitir permisos, mientras que otros hacen que el software antivirus sea ineficaz. Por ejemplo, cuando los virus ingresaron por primera vez a Internet, ningún fabricante desarrolló rápidamente los programas de identificación y eliminación correspondientes, por lo que este nuevo virus se propagó rápidamente, causó estragos en Internet y dañó máquinas individuales o recursos de la red. . Los firewalls pueden filtrar paquetes de datos según direcciones IP (direcciones IP) o puertos de servicio (Puertos). Sin embargo, es impotente contra actividades destructivas que explotan direcciones IP y puertos legítimos. Porque los firewalls rara vez inspeccionan profundamente el contenido de los paquetes. Incluso si se utiliza la tecnología DPI (Inspección profunda de paquetes), ésta se enfrenta a muchos desafíos. Cada código de ataque tiene su propia firma. Los virus se distinguen entre sí por sus diferentes características y también se distinguen del código de aplicación normal. El software antivirus identifica los virus almacenando todas las firmas de virus conocidas. En el modelo de jerarquía de red ISO/OSI (ver modelo OSI), el firewall funciona principalmente en las capas segunda a cuarta, y su función es generalmente muy débil en las capas cuarta a séptima. El software antivirus funciona principalmente en las capas quinta a séptima.

Para llenar el vacío que queda entre la cuarta y la quinta capa de cortafuegos y software antivirus, la industria ha puesto en marcha hace unos años sistemas de detección de intrusos (IDS: IntrusionDetection System). El sistema de detección de intrusiones envía rápidamente una alerta al administrador de seguridad de la red o al sistema de firewall después de descubrir una situación anormal. Desafortunadamente, a menudo ya se han producido desastres en este momento. Aunque nunca es demasiado tarde para enmendar el daño, el mejor mecanismo de defensa debería ser actuar con antelación antes de que se cause el daño. Luego vinieron los Sistemas de Respuesta a Intrusiones (IRS) como complemento al sistema de detección de intrusiones, que pueden responder rápidamente cuando se descubre una intrusión y tomar medidas preventivas automáticamente. El sistema de prevención de intrusiones es una evolución de ambos y aprovecha sus puntos fuertes. El sistema de prevención de intrusiones, al igual que el sistema de detección de intrusiones, se especializa en profundizar en los datos de la red, buscar las características del código de ataque que reconoce, filtrar flujos de datos dañinos, descartar paquetes de datos dañinos y registrarlos para su posterior análisis. Además, y lo que es más importante, la mayoría de los sistemas de prevención de intrusiones también tienen en cuenta anomalías en las aplicaciones o transmisiones de red para ayudar a identificar intrusiones y ataques. Por ejemplo, los usuarios o programas de usuario violan las normas de seguridad, aparecen paquetes de datos en momentos que no deberían aparecer, se están explotando vulnerabilidades en el sistema operativo o en los programas de aplicación, etc. Aunque el sistema de prevención de intrusiones también considera firmas de virus conocidas, no se basa únicamente en firmas de virus conocidas. El objetivo de aplicar un sistema de prevención de intrusiones es identificar rápidamente los programas atacantes o códigos dañinos y sus clones y variantes, y tomar medidas preventivas para prevenir las intrusiones con antelación y cortarlas de raíz. O al menos hacerlo lo suficientemente menos dañino. Los sistemas de prevención de intrusiones se suelen utilizar como complemento de los cortafuegos y el software antivirus. Cuando sea necesario, también puede proporcionar pruebas legalmente válidas (forenses) para responsabilizar penalmente al atacante. Razón A: Los firewalls implementados en serie pueden interceptar ataques de bajo nivel, pero son impotentes contra ataques de nivel profundo en la capa de aplicación. B: El IDS implementado en la derivación puede detectar rápidamente ataques profundos que penetran el firewall y servir como un complemento útil para el firewall, pero desafortunadamente no puede bloquearlos en tiempo real. C: Enlace de IDS y firewall: descubra a través de IDS y bloquee a través de firewall. Sin embargo, debido a la falta de especificaciones de interfaz unificadas hasta el momento, junto con los cada vez más frecuentes "ataques instantáneos" (los efectos de los ataques se pueden lograr en una sesión, como inyección SQL, ataques de desbordamiento, etc.), el vínculo entre IDS y firewalls tiene poco efecto en aplicaciones reales. No significativo. Este es el origen de los productos IPS: un producto de seguridad de implementación en línea (método de firewall) que puede defenderse contra amenazas de intrusión profunda (tecnología de detección de intrusiones) contra las que los firewalls no pueden defenderse. Dado que los usuarios han descubierto algunos comportamientos de amenazas de intrusión incontrolables, esta es exactamente la función del IDS. El sistema de detección de intrusiones (IDS) detecta y alerta datos anormales que pueden ser intrusiones, informa a los usuarios sobre las condiciones en la red en tiempo real y proporciona las soluciones y métodos de procesamiento correspondientes. Es un sistema de seguridad que se centra en la gestión de riesgos. El sistema de prevención de intrusiones (IPS) detecta y defiende contra comportamientos maliciosos que se consideran claramente ataques y causarán daño a la red y los datos, y reduce o reduce la sobrecarga de recursos del usuario para hacer frente a situaciones anormales. sobre Productos de Seguridad para el control de riesgos. Esto también explica que la relación entre IDS e IPS no es para reemplazarse o excluirse entre sí, sino para cooperar entre sí: cuando no se implementa IDS, solo se puede juzgar sintiendo qué tipo de productos de seguridad se deben implementar y dónde. Implementación generalizada de IDS. Comprenda el estado actual en tiempo real de la red y, en función de este estado, puede determinar aún más dónde y qué tipo de productos de seguridad (IPS, etc.) deben implementarse. Tecnología de prevención de intrusiones * Detección de anomalías. Al igual que un sistema de detección de intrusiones, un sistema de prevención de intrusiones sabe cómo se ven normalmente los datos normales y las relaciones entre ellos y puede compararlos para identificar anomalías. * Cuando encuentre códigos dinámicos (ActiveX, JavaApplet, varios lenguajes de comando, lenguajes de script, etc.), primero colóquelos en la zona de pruebas y observe su comportamiento. Si se encuentran situaciones sospechosas, se detendrá la transmisión y se prohibirá la ejecución. * Algunos sistemas de prevención de intrusiones combinan anomalías de protocolo, anomalías de transmisión y detección de firmas para evitar eficazmente que código dañino ingrese a la red a través de puertas de enlace o firewalls. * Mecanismo de protección basado en núcleo.

Los programas de usuario acceden a recursos (como áreas de almacenamiento, dispositivos de entrada y salida, CPU, etc.) a través de instrucciones del sistema. Los sistemas de prevención de intrusiones pueden interceptar solicitudes dañinas del sistema. * Defiende y protege la Biblioteca, el Registro, archivos importantes y carpetas importantes. Tipos de sistemas Los sistemas de prevención de intrusiones utilizados se pueden dividir en dos tipos según sus usos: sistemas de prevención de intrusiones independientes (HIPS: Hostbased Intrusion Prevension System) y sistemas de prevención de intrusiones en red (NIPS: Neork Intrusion Prevension System). Como dispositivo de hardware independiente entre redes o componentes de red, el sistema de prevención de intrusiones en la red corta el tráfico, realiza una inspección en profundidad de los paquetes que pasan y luego determina si los libera. Los sistemas de prevención de intrusiones en la red utilizan firmas de virus y anomalías de protocolo para evitar la propagación de código dañino. Algunos sistemas de prevención de intrusiones en la red también pueden rastrear y marcar respuestas a códigos sospechosos y luego ver quién usa la información de respuesta para solicitar una conexión, lo que puede confirmar mejor que se ha producido una intrusión. De acuerdo con la característica de que el código dañino generalmente se esconde en medio del código de programa normal, esperando una ejecución oportunista, el sistema de prevención de intrusiones independiente monitorea programas normales, como Internet Explorer, Outlook, etc., y los ataca (para ser precisos). , el código dañino que contienen). El sistema operativo emite comandos de solicitud, reescribe archivos del sistema y bloquea efectivamente las conexiones externas al establecerlas, protegiendo así máquinas y equipos individuales importantes en la red, como servidores, enrutadores, firewalls, etc. En este momento, no es necesario recurrir a características de virus conocidas ni a reglas de seguridad preestablecidas. En términos generales, los sistemas de prevención de intrusiones independientes pueden evitar que se produzcan la mayoría de los ataques. Sabemos que una intrusión ocurre cuando un código dañino llega primero a su destino y luego hace cosas malas. Sin embargo, incluso si tiene la suerte de atravesar varias líneas de defensa, como los firewalls, y llegar a su destino, debido al sistema de prevención de intrusiones, el código dañino finalmente no podrá desempeñar el papel previsto ni lograr el propósito previsto. 2000: Neork ICE lanzó el primer producto IPS de la industria, BlackICE Guard, el 18 de septiembre de 2000. Por primera vez, utilizó tecnología IDS basada en la detección de derivación en modo en línea para analizar directamente el tráfico de la red y descartar paquetes maliciosos. 2002～2003: Durante este período, IPS se desarrolló rápidamente. En ese momento, con el continuo desarrollo de productos y el reconocimiento del mercado, algunas grandes empresas de seguridad europeas y americanas adquirieron tecnología IPS adquiriendo pequeñas empresas y lanzaron sus propios productos IPS. Por ejemplo, ISS adquirió Neork ICE y lanzó Proventia; NetScreen adquirió OneSecure y lanzó NetScreen-IDP, McAfee adquirió Intruvert y lanzó IntruShield. Empresas como Cisco, Symantec y TippingPoint también han lanzado productos IPS. En septiembre de 2005, NSFOCUS Technology lanzó el primer producto IPS de China con derechos de propiedad intelectual completamente independientes. En 2007, empresas de seguridad nacionales como Lenovo Networks, Venustech y Tianrongxin lanzaron su propio IPS a través de cooperación técnica, OEM y otros medios. Para evaluar el creciente número de amenazas mixtas y ataques de piratas informáticos, como gusanos, virus, software espía, spam y DDoS, no sólo es necesario detectar eficazmente varios tipos de ataques, sino, lo que es más importante, reducir el impacto de los ataques para garantizar la seguridad. de los sistemas empresariales.

Un excelente sistema de prevención de intrusiones en la red debe tener las siguientes características: ●Cumplir con los requisitos de alto rendimiento, proporcionar poderosas capacidades de análisis y procesamiento y garantizar la calidad de las comunicaciones normales de la red ●Proporcionar funciones de detección y defensa en tiempo real para diversos ataques; Al mismo tiempo, tiene ricas capacidades de control de acceso para detectar ataques antes de que comiencen actividades no autorizadas, evitando o ralentizando las pérdidas que los ataques pueden traer a la empresa. Identifique con precisión diversos tráficos de red, reduzca la tasa de falsos negativos y falsos positivos, y evite; que afectan las comunicaciones comerciales de las operaciones normales; ●Funciones de control de tráfico integrales y sofisticadas para garantizar el funcionamiento continuo y estable de las operaciones comerciales clave ●Alta disponibilidad extensible, proporcionando BYPASS (hardware, software) y HA y otras medidas de garantía de confiabilidad; Capacidades de protección IPS para evitar la duplicación innecesaria de inversiones en seguridad. ●Proporcionar métodos de implementación flexibles, admitir la implementación del modo en línea y el modo de derivación, bloquear ataques fuera de la red empresarial de inmediato y también admitir la implementación del modo de derivación que se utiliza para la detección de ataques y es adecuado para diferentes necesidades de los clientes; ● Admite implementación jerárquica y administración centralizada para satisfacer las necesidades de uso y administración de redes de diferentes tamaños. Ejemplo de producto: El sistema de prevención de intrusiones en la red es un buen ejemplo de productos similares en el sistema de prevención de intrusiones en la red. Este producto integra características como alto rendimiento, alta seguridad, alta confiabilidad y facilidad de operación. Mecanismo de reputación web Al mismo tiempo, tiene muchas funciones, como prevención de intrusiones en profundidad, control de tráfico detallado y monitoreo integral del comportamiento en línea del usuario, que puede brindar a los usuarios una experiencia de valor perfecto en defensa y aplicación de ataques en profundidad. protección del ancho de banda. Prevención de intrusiones: interceptación proactiva y en tiempo real de tráfico malicioso, como ataques de piratas informáticos, gusanos, virus de red, troyanos de puerta trasera y D.o.S., protegiendo los sistemas de información corporativos y la arquitectura de red contra infracciones y previniendo daños o tiempo de inactividad de los sistemas operativos y aplicaciones. La seguridad web se basa en los resultados de la detección de troyanos de los sitios web de Internet, combinados con la tecnología de evaluación de la reputación de URL, para proteger a los usuarios de infracciones cuando visitan sitios web con códigos maliciosos como troyanos e interceptar las amenazas web de manera rápida y efectiva. El control de tráfico bloquea todo el tráfico de usuarios no autorizados, gestiona el uso de recursos legítimos de la red, garantiza eficazmente que las aplicaciones críticas estén libres de obstáculos las 24 horas del día y mejora continuamente la productividad y la rentabilidad de TI de la empresa protegiendo el ancho de banda de las aplicaciones críticas. La supervisión de Internet monitorea y administra de manera integral los comportamientos de Internet, como mensajería instantánea IM, descargas P2P, juegos en línea, videos en línea y comercio de acciones en línea para ayudar a las empresas a identificar y limitar el tráfico de red no autorizado e implementar mejor las políticas de seguridad empresarial. State of the System IPS ha ganado popularidad en los últimos años, especialmente a medida que los proveedores abordan los primeros desafíos en el mercado NAC, como la implementación de conciencia y las dificultades de disponibilidad. Actualmente, la mayoría de las grandes organizaciones han implementado IPS por completo, pero antes de utilizar NAC, estas soluciones se limitaban hasta cierto punto para evitar nuevos ataques a la red corporativa. Puede configurar todos los detectores IPS para interrumpir el tráfico malicioso o no deseado en su red. Por ejemplo, si un punto final específico lanza un ataque contra un servidor de aplicaciones en el centro de datos de una empresa y el IPS detecta que el tráfico es malicioso, el IPS puede interrumpir el tráfico a través de la política configurada. Si bien esta respuesta es suficiente, en algunos casos es posible que desee evitar futuros ataques a su red. NAC puede ayudarle a obtener información de dispositivos IPS y utilizar esta información para gestionar el acceso del usuario final en caso de un ataque o incidente inesperado.