IPSIPS
(Sistema de Prevención de Intrusiones) es una instalación de seguridad de redes informáticas que complementa el software antivirus (programas antivirus) y los cortafuegos (filtro de paquetes, puerta de enlace de aplicaciones). El sistema de prevención de intrusiones (sistema de prevención de intrusiones) es un dispositivo de seguridad de la red informática que puede monitorear el comportamiento de transmisión de datos de la red o del equipo de red y puede interrumpir, ajustar o aislar inmediatamente algunos comportamientos de transmisión de datos de la red anormales o dañinos. Con el uso generalizado de las computadoras y la continua popularidad de Internet, también están aumentando los peligros y delitos dentro y fuera de la red. Hace 20 años, los virus informáticos (virus informáticos) se propagaban principalmente a través de disquetes. Más tarde, cuando el usuario abre el archivo adjunto del correo electrónico que contiene el virus, el virus contenido en el archivo adjunto puede activarse. En el pasado, la propagación de virus era relativamente lenta y los desarrolladores de software antivirus tenían tiempo suficiente para estudiar los virus y desarrollar software antivirus y antivirus. Hoy en día, no sólo ha aumentado espectacularmente el número de virus y ha mejorado su calidad, sino que también se propagan rápidamente a través de Internet y pueden extenderse por todo el mundo en tan solo unas horas. Algunos virus también cambiarán su forma durante el proceso de propagación, lo que hará que el software antivirus sea ineficaz.
Programas de ataque y códigos dañinos actualmente populares como DoS (Denial of Service), DDoS (Distributed DoS), Brut-Force-Attack y Portscan), sniffing, virus, gusanos, spam, troyanos, etc. . Además, también hay personas que aprovechan las lagunas y defectos del software para hacer cosas malas, lo que dificulta que las personas se protejan contra ellos.
Cada vez existen más formas de intrusión en la red. Algunas hacen uso completo de los permisos del firewall, mientras que otras hacen que el software antivirus sea ineficaz. Por ejemplo, cuando los virus ingresaron por primera vez a Internet, ningún fabricante desarrolló rápidamente los procedimientos de identificación y eliminación correspondientes, por lo que este nuevo virus se propagó rápidamente, causó estragos en Internet y dañó máquinas individuales o recursos de la red. Ataque de día cero.
Los firewalls pueden filtrar paquetes de datos en función de direcciones IP (IP-Addresses) o puertos de servicio (Ports). Sin embargo, es impotente contra actividades destructivas que utilizan direcciones IP y puertos legítimos. Porque los firewalls rara vez inspeccionan profundamente el contenido de los paquetes. Incluso si se utiliza la tecnología DPI (Inspección profunda de paquetes), ésta se enfrenta a muchos desafíos.
Cada código de ataque tiene su propia firma. Los virus se distinguen entre sí por sus diferentes características, y también se distinguen del código de aplicación normal. El software antivirus identifica los virus almacenando todas las firmas de virus conocidas.
En el modelo de capa de red ISO/OSI (ver modelo OSI), el firewall funciona principalmente en las capas segunda a cuarta, y su función es generalmente muy débil en las capas cuarta a séptima. El software antivirus funciona principalmente en las capas quinta a séptima. Para compensar la brecha que queda entre la cuarta y la quinta capa de cortafuegos y software antivirus, la industria ha puesto en marcha hace unos años sistemas de detección de intrusiones (IDS: Intrusion Inspection System). El sistema de detección de intrusiones envía rápidamente una alerta a los administradores de seguridad de la red o a los sistemas de firewall después de descubrir una anomalía. Desafortunadamente, a menudo ya se han producido desastres en este momento. Aunque nunca es demasiado tarde para remediar la situación antes de que sea demasiado tarde, el mejor mecanismo de defensa debería ser actuar con antelación antes de que se cause el daño. Luego vinieron los Sistemas de Respuesta a Intrusiones (IRS) como complemento al sistema de detección de intrusiones, que pueden responder rápidamente cuando se descubre una intrusión y tomar medidas preventivas automáticamente. El sistema de prevención de intrusiones es una evolución de ambos y aprovecha sus puntos fuertes.
El sistema de prevención de intrusiones, al igual que el sistema de detección de intrusiones, se especializa en profundizar en los datos de la red, buscar las características del código de ataque que reconoce, filtrar flujos de datos dañinos, descartar paquetes de datos dañinos y registrarlos para su posterior uso. análisis.
Además, y lo que es más importante, la mayoría de los sistemas de prevención de intrusiones también tienen en cuenta anomalías en las aplicaciones o transmisiones de red para ayudar a identificar intrusiones y ataques. Por ejemplo, los usuarios o programas de usuario violan las normas de seguridad, aparecen paquetes de datos en momentos que no deberían aparecer, se están explotando vulnerabilidades en el sistema operativo o en los programas de aplicación, etc. Aunque el sistema de prevención de intrusiones también considera firmas de virus conocidas, no se basa únicamente en firmas de virus conocidas.
El objetivo de aplicar un sistema de prevención de intrusiones es identificar rápidamente los programas de ataque o códigos dañinos y sus clones y variantes, y tomar medidas preventivas para prevenir las intrusiones con antelación y cortarlas de raíz. O al menos hacerlo lo suficientemente menos dañino. Los sistemas de prevención de intrusiones se suelen utilizar como complemento de los cortafuegos y el software antivirus. Cuando sea necesario, también puede proporcionar pruebas legalmente válidas (forenses) para responsabilizar penalmente al atacante. R: Los firewalls implementados en serie pueden bloquear ataques de bajo nivel, pero son impotentes contra ataques de nivel profundo en la capa de aplicación.
B: El IDS implementado en bypass puede detectar rápidamente ataques profundamente arraigados que penetran el firewall y puede ser un complemento útil para el firewall, pero desafortunadamente no puede bloquearlos en tiempo real.
C: Enlace IDS y firewall: descubierto a través de IDS y bloqueado a través de firewall. Sin embargo, debido a la falta de especificaciones de interfaz unificada hasta el momento y a los cada vez más frecuentes "ataques instantáneos" (los efectos de los ataques se pueden lograr en una sesión, como inyección SQL, ataques de desbordamiento, etc.), la eficacia del vínculo entre IDS y cortafuegos en aplicaciones prácticas ha sido limitado.
Este es el origen de los productos IPS: un producto de seguridad de implementación en línea (método de firewall) que puede defenderse contra amenazas de intrusión profunda (tecnología de detección de intrusiones) contra las que los firewalls no pueden defenderse. Dado que los usuarios han descubierto algunos comportamientos de amenazas de intrusión incontrolables, esta es exactamente la función del IDS.
El sistema de detección de intrusiones (IDS) detecta y alerta de datos anormales que pueden ser intrusiones, informa a los usuarios de las condiciones en tiempo real en la red y proporciona las soluciones y métodos de procesamiento correspondientes enfocados en la gestión de riesgos.
El Sistema de Prevención de Intrusiones (IPS) detecta y defiende contra comportamientos maliciosos que se juzgan claramente como ataques y causarán daño a la red y los datos, reduciendo o reduciendo la sobrecarga de recursos del usuario en el manejo de situaciones anormales. un producto de seguridad centrado en el control de riesgos.
Esto también explica la relación entre IDS e IPS, que no consiste en reemplazarse o excluirse, sino en cooperar entre sí: cuando el IDS no está desplegado, uno sólo puede juzgar sintiendo qué tipo de seguridad Los productos, a través de la implementación extensa de IDS, comprenden el estado actual en tiempo real de la red, en función de lo cual podemos determinar con mayor precisión dónde y qué tipo de productos de seguridad (IPS, etc.) deben implementarse. * Detección de anomalías. Al igual que un sistema de detección de intrusiones, un sistema de prevención de intrusiones sabe cómo se ven normalmente los datos normales y las relaciones entre ellos y puede compararlos para identificar anomalías.
* Cuando encuentre código dinámico (ActiveX, JavaApplet, varios lenguajes de script, etc.), primero colóquelo en la zona de pruebas y observe su comportamiento. Si encuentra algún comportamiento sospechoso, detenga la transmisión y la ejecución está prohibida.
* Algunos sistemas de prevención de intrusiones combinan anomalías de protocolo, anomalías de transmisión y detección de firmas para evitar eficazmente que código dañino entre en la red a través de puertas de enlace o cortafuegos.
*Mecanismo de protección basado en núcleo. Los programas de usuario utilizan recursos (como áreas de almacenamiento, dispositivos de entrada y salida, unidades centrales de procesamiento, etc.) a través de instrucciones del sistema. Los sistemas de prevención de intrusiones pueden interceptar solicitudes dañinas del sistema.
* Defiende y protege Biblioteca, Registro, archivos importantes y carpetas importantes. Los sistemas de prevención de intrusiones utilizados se pueden dividir a su vez en sistemas de prevención de intrusiones independientes
(HIPS: Hostbased Intrusion Prevension System) y sistemas de prevención de intrusiones en red
(NIPS: Network Intrusion Sistema de Prevención) dos tipos.
Como dispositivo de hardware independiente entre redes o componentes de red, el sistema de prevención de intrusiones en la red corta el tráfico, realiza inspecciones en profundidad de los paquetes que pasan y luego determina si se liberan.
Los sistemas de prevención de intrusiones en la red utilizan firmas de virus y anomalías de protocolo para evitar la propagación de código dañino. Algunos sistemas de prevención de intrusiones en la red también pueden rastrear y marcar respuestas a códigos sospechosos y luego ver quién usa la información de respuesta para solicitar una conexión, lo que puede confirmar mejor que se ha producido una intrusión.
De acuerdo con la característica de que el código dañino generalmente se esconde en medio del código de programa normal, esperando una operación oportunista, el sistema de prevención de intrusiones independiente monitorea programas normales, como Internet Explorer, Outlook, etc. en ellos (para ser precisos, en realidad incluyen código dañino) envía instrucciones de solicitud al sistema operativo, reescribe archivos del sistema y bloquea efectivamente al establecer conexiones externas, protegiendo así máquinas y equipos individuales importantes en la red, como servidores, enrutadores, cortafuegos, etc. En este momento, no es necesario recurrir a características de virus conocidas ni a reglas de seguridad preestablecidas. En términos generales, los sistemas de prevención de intrusiones independientes pueden evitar que se produzcan la mayoría de los ataques. Sabemos que una intrusión ocurre cuando un código dañino llega primero a su destino y luego hace cosas malas. Sin embargo, incluso si tiene la suerte de atravesar varias líneas de defensa, como los firewalls, y llegar a su destino, debido al sistema de prevención de intrusiones, el código dañino finalmente no podrá desempeñar el papel previsto ni lograr el propósito previsto.
2000: Network ICE lanzó el primer producto IPS de la industria: BlackICE Guard el 18 de septiembre de 2000. Utilizó por primera vez tecnología IDS basada en detección de derivación en modo en línea, analizó directamente el tráfico de la red y descartó paquetes maliciosos. . 2002~2003: IPS se desarrolló rápidamente durante este período. En ese momento, con el continuo desarrollo de productos y el reconocimiento del mercado, algunas grandes empresas de seguridad europeas y americanas adquirieron tecnología IPS adquiriendo pequeñas empresas y lanzaron sus propios productos IPS. Por ejemplo, ISS adquirió Network ICE y lanzó Proventia; NetScreen adquirió OneSecure y lanzó NetScreen-IDP; McAfee adquirió Intruvert y lanzó IntruShield; Empresas como Cisco, Symantec y TippingPoint también han lanzado productos IPS.
En septiembre de 2005, NSFOCUS Technology lanzó el primer producto IPS de China con derechos de propiedad intelectual completamente independientes. En 2007, empresas de seguridad nacionales como Lenovo Networks, Venustech y Tianrongxin aprobaron la cooperación técnica, OEM, etc. respectivos productos IPS de varias maneras.