IDS和IPS并不是一种新出现的技术,但考虑到网络攻击技术的发展趋势,二者的实现方式仍然是我们需要理解和学习的知识点。
今天i春秋通过一期公开课《五分钟看懂IDS和IPS》介绍了IDS与IPS的概念,以及二者之间的区别。
感兴趣的小伙伴,识别二维码立即看课
PS:Web端看课体验更佳,看课地址:
https://www.ichunqiu.com/open/54647
Q
入侵检测系统(IDS)
IDS(Intrusion Detection Systems,入侵检测系统),专业上讲就是依照一定的安全策略,对网络、系统、运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,实时监视系统就能发现情况并发出警告。
与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,不需要跨接在任何链路上,无须网络流量流经便可以工作。
Q
入侵防御系统(IPS)
IPS(Intrusion Prevention System,入侵防御系统)。随着网络安全威胁的不断增加,传统防火墙技术加传统IDS技术已无法应对,在这种情况下,IPS技术应运而生。
IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测。如果一旦发现隐藏于其中的网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。
在不同的IT环境中,
如何有效部署IDS和IPS?
1、基于主机的IDS、IPS
基于主机的IDS只能够监控一个系统,它运行在需要保护的主机中,它能够读取主机的日志并寻找异常。但需要注意的是,当攻击发生之后,基于主机的IDS才能够检测到异常。
基于网络的IPS能够检测到网段中的数据包,如果基于网络的IPS设计得当的话,它也许能够代替基于主机的IPS。基于主机的IDS其另一个缺点就是,网络中的每一台主机都需要部署一个基于主机的IDS系统。你可以设想一下,如果你的环境中有5000台主机,这样一来你的部署成本就会非常高了。
2、基于设备的IDS、IPS
你可以在一台物理服务器或虚拟服务器中安装IDS,但需要开启两个接口来处理流入和流出的网络流量。除此之外,还可以在Ubuntu服务器(虚拟机)上安装类似Snort的IDS软件。
3、基于路由器的IDS、IPS
在一个网络中,几乎所有的流量都要经过路由器。路由器作为一个网络系统的网关,它是系统内主机与外部网络交互的桥梁。因此在网络安全设计架构中,路由器也是IDS和IPS系统可以考虑部署的地方。
目前有很多可以整合进路由器的第三方软件,而它们可以构成网络系统抵御外部威胁的最前线。
4、基于防火墙的IDS、IPS
防火墙与IDS之间的区别在于,防火墙看起来可以防止外部威胁进入我们的网络,但它并不能监控网络内部所发生的攻击行为。很多厂商会在防火墙中整合IPS和IDS,这样就可以给防火墙又添加了一层保护功能。
5、基于云环境下的IDS、IPS实现
对于那些将自己的文件和应用托管在云端的用户来说,云服务提供商是否部署了IDS也许会成为客户考虑的其中一个因素。除此之外,用户还可以部署Snort IDS(社区版)来监控和感知威胁。
6、针对智能物联网设备的IDS、IPS设计
随着越来越多的用户开始使用物联网设备或智能家居设备,因此我们还要考虑如何防止IOT设备遭受外部恶意软件的攻击。由于考虑到设备功能和容量大小会不同,因此我们也许要根据设备的性能来设计自定义的IDS。
总结
在设计网络安全架构的过程中,我们需要考虑的关键因素就是将IDS、IPS部署在何处。根据网络以及客户环境的不同,我们可以选择的设计方法有很多种。
随着物联网和智能家居设备的兴起,IDS和IPS系统的重要性也不言而喻。值得一提的是,我们现在遇到的绝大多数的网络攻击,都是因为这些系统没有正确部署入侵检测系统,所以如何有效部署IDS值得我们去好好研究!
End
— 往期回顾 —
▶ 代码审计实操
▶ 浅析勒索病毒
▶ 浅析红队基础设施
▶ 红队建设之道
▶ 手机锁屏密码安全
▶ 中间人攻击
▶ 十分钟看懂隐写术
▶ 信息泄露问题
▶ 狡猾的漏洞利用
▶ CAN总线安全
力荐丨渗透测试就业班
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
本文始发于微信公众号(i春秋):实践之后,我们来谈谈如何有效部署IDS和IPS?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论