Intrusion-Detection-Systems / Intrusion-Prevention-Systems (IDS/IPS)

Systémy pro detekci a prevenci průniků (IDS/IPS) integrují aplikační a síťovou vizibilitu s funkcemi pro prozkoumání a nápravu incidentů a umožňují rychle a spolehlivě implementovat online prevenci útoků.
Systémy IDS / IPS přidávají řešení bezpečnosti informací další rozměr. Jedná se jednak o daleko komplexnější zabezpečení sítě z pohledu útoků z vnějšího světa, ale i o novou a ucelenou kontrolu vnitřního provozu sítě. Kromě vlastní detekce narušení umožňují reagovat na tuto situaci, často ve spolupráci s firewallem (blokování IP adres, násilné ukončení spojení, trasování útoku). Oba tyto systémy pracují buď na bázi známých signatur útoků, nebo na základě detekce protokolových anomálií. Za stěžejní vlastnosti těchto systémů lze označit především kompletní inspekci paketů až po aplikační vrstvu, sledování provozu nejen na hranici sítě, ale i inspekci vnitřního provozu LAN a monitoring nestandardních projevů sítě bez předchozí přesné definice průniku. Pokud jsou IPS systémy správně implementovány, umí efektivně identifikovat a znemožnit útoky jak na úrovni sítě, tak i útoky na úrovni aplikací.

Bezpečnostní metody systémů IDS / IPS lze rozdělit přibližně do těchto tří hlavních oblastí:

  • detailní inspekce všech paketů (ať již mezi LAN a WAN, tak i pouze v rámci LAN) dle definovaných signatur, tj. definovaných známých řetězců,
  • kontrola portů / protokolů / adres,
  • komplexní sledování provozu sítě.

Při nestandardní události pak systém vyhodnocuje, zda se nejedná o průnik nebo jiné narušení.