Сүлжээний аюулгүй байдлын салбарт халдлага илрүүлэх систем (IDS) болон халдлагаас урьдчилан сэргийлэх систем (IPS) гол үүрэг гүйцэтгэдэг. Энэ нийтлэл нь тэдгээрийн тодорхойлолт, үүрэг, ялгаа, хэрэглээний хувилбаруудыг гүнзгий судлах болно.
IDS (Intrusion Detection System) гэж юу вэ?
IDS-ийн тодорхойлолт
Халдлага илрүүлэх систем нь болзошгүй хортой үйл ажиллагаа, халдлагыг илрүүлэхийн тулд сүлжээний урсгалыг хянаж, дүн шинжилгээ хийдэг хамгаалалтын хэрэгсэл юм. Энэ нь сүлжээний урсгал, системийн бүртгэл болон бусад холбогдох мэдээллийг шалгах замаар мэдэгдэж буй халдлагын загварт тохирсон гарын үсгийг хайж олдог.
IDS хэрхэн ажилладаг
IDS нь үндсэндээ дараах байдлаар ажилладаг.
Гарын үсэг илрүүлэх: IDS нь вирус илрүүлэхийн тулд вирус сканнертай адил халдлагад тохирох загваруудын урьдчилан тодорхойлсон гарын үсгийг ашигладаг. Замын хөдөлгөөн нь эдгээр гарын үсэгтэй тохирох функцуудыг агуулж байвал IDS дохио өгдөг.
Аномали илрүүлэх: IDS нь сүлжээний хэвийн үйл ажиллагааны суурь үзүүлэлтийг хянаж, хэвийн үйл ажиллагаанаас эрс ялгаатай хэв маягийг илрүүлэх үед сэрэмжлүүлэг өгдөг. Энэ нь үл мэдэгдэх эсвэл шинэ халдлагуудыг тодорхойлоход тусална.
Протоколын шинжилгээ: IDS нь сүлжээний протоколуудын хэрэглээнд дүн шинжилгээ хийж, стандарт протоколд нийцэхгүй байгаа үйлдлийг илрүүлж, улмаар болзошгүй халдлагуудыг илрүүлдэг.
IDS-ийн төрлүүд
Тэдгээрийг хаана байрлуулж байгаагаас хамааран IDS-ийг хоёр үндсэн төрөлд хувааж болно.
Сүлжээний IDS (NIDS): Сүлжээгээр урсаж буй бүх урсгалыг хянахын тулд сүлжээнд байрлуулсан. Энэ нь сүлжээний болон тээврийн давхаргын халдлагыг илрүүлж чадна.
Хост IDS (HIDS): Тухайн хост дээрх системийн үйл ажиллагааг хянахын тулд нэг хост дээр байрлуулсан. Энэ нь хортой программ хангамж, хэрэглэгчийн хэвийн бус үйлдэл зэрэг хостын түвшний халдлагуудыг илрүүлэхэд илүү анхаардаг.
IPS (Intrusion Prevention System) гэж юу вэ?
IPS-ийн тодорхойлолт
Халдлагаас урьдчилан сэргийлэх систем нь болзошгүй халдлагыг илрүүлсний дараа зогсоох буюу түүнээс хамгаалах идэвхтэй арга хэмжээ авдаг хамгаалалтын хэрэгсэл юм. IDS-тэй харьцуулахад IPS нь хяналт тавих, сэрэмжлүүлэх хэрэгсэл төдийгүй болзошгүй аюулаас урьдчилан сэргийлэх, идэвхтэй оролцох хэрэгсэл юм.
IPS хэрхэн ажилладаг
IPS нь сүлжээгээр урсаж буй хортой урсгалыг идэвхтэй хааж системийг хамгаалдаг. Түүний үйл ажиллагааны үндсэн зарчим нь:
Довтолгооны урсгалыг хаах: IPS боломжит халдлагын урсгалыг илрүүлэх үед эдгээр урсгалыг сүлжээнд нэвтрэхээс урьдчилан сэргийлэх яаралтай арга хэмжээ авах боломжтой. Энэ нь халдлагын цаашдын тархалтаас сэргийлэхэд тусална.
Холболтын төлөвийг дахин тохируулж байна: IPS нь болзошгүй халдлагатай холбоотой холболтын төлөвийг дахин тохируулж, халдагчийг холболтыг дахин сэргээхэд хүргэж улмаар халдлагыг тасалдуулж чадна.
Галт ханын дүрмийг өөрчлөх: IPS нь галт ханын дүрмийг динамикаар өөрчилж, тодорхой төрлийн урсгалыг хаах эсвэл бодит цагийн аюулын нөхцөл байдалд дасан зохицох боломжийг олгодог.
IPS-ийн төрлүүд
IDS-тэй адил IPS-ийг хоёр үндсэн төрөлд хувааж болно.
Сүлжээний IPS (NIPS): Сүлжээ даяарх халдлагыг хянах, хамгаалах зорилгоор сүлжээнд байрлуулсан. Энэ нь сүлжээний давхарга болон тээврийн давхаргын халдлагаас хамгаалж чаддаг.
Хост IPS (HIPS): Илүү нарийвчлалтай хамгаалалтыг хангахын тулд нэг хост дээр байрлуулсан бөгөөд үндсэндээ хортой программ хангамж, ашиглах зэрэг хостын түвшний халдлагаас хамгаалахад ашигладаг.
Халдлага илрүүлэх систем (IDS) болон халдлагаас урьдчилан сэргийлэх систем (IPS) хоёрын ялгаа нь юу вэ?
Ажлын янз бүрийн арга
IDS нь идэвхгүй хяналтын систем бөгөөд голчлон илрүүлэх, дохиололд ашигладаг. Үүний эсрэгээр, IPS нь идэвхтэй бөгөөд болзошгүй халдлагаас хамгаалах арга хэмжээ авах чадвартай.
Эрсдэл ба үр нөлөөний харьцуулалт
IDS-ийн идэвхгүй шинж чанараас шалтгаалан энэ нь алдаатай эсвэл худал эерэг байж болох бөгөөд IPS-ийн идэвхтэй хамгаалалт нь нөхөрсөг галд хүргэж болзошгүй юм. Хоёр системийг ашиглахдаа эрсдэл ба үр ашгийг тэнцвэржүүлэх шаардлагатай.
Байрлуулалт ба тохиргооны ялгаа
IDS нь ихэвчлэн уян хатан байдаг бөгөөд сүлжээний өөр өөр байршилд байрлуулж болно. Үүний эсрэгээр, IPS-ийн суурилуулалт, тохиргоо нь ердийн хөдөлгөөнд саад учруулахгүйн тулд илүү нарийн төлөвлөлт шаарддаг.
IDS болон IPS-ийн нэгдсэн хэрэглээ
IDS болон IPS нь бие биенээ нөхөж, IDS-г хянаж, сэрэмжлүүлэг өгдөг ба IPS нь шаардлагатай үед хамгаалалтын арга хэмжээ авдаг. Тэдгээрийн хослол нь сүлжээний хамгаалалтын хамгаалалтын шугамыг бүрдүүлдэг.
IDS болон IPS-ийн дүрэм, гарын үсэг, заналхийллийн мэдээллийг тогтмол шинэчлэх нь зайлшгүй чухал юм. Кибер аюул заналхийлэл байнга хувьсан өөрчлөгдөж байдаг бөгөөд цаг тухайд нь шинэчлэлт хийснээр системийн шинэ аюулыг илрүүлэх чадварыг сайжруулдаг.
IDS болон IPS-ийн дүрмийг тухайн байгууллагын сүлжээний орчин, шаардлагад нийцүүлэн тохируулах нь чухал юм. Дүрмийг өөрчилснөөр системийн нарийвчлалыг сайжруулж, хуурамч эерэг үр дүн, ээлтэй гэмтлийг бууруулж болно.
IDS болон IPS нь болзошгүй аюулд бодит цаг хугацаанд хариу өгөх чадвартай байх ёстой. Хурдан бөгөөд үнэн зөв хариу үйлдэл нь халдагчдыг сүлжээнд илүү их хохирол учруулахаас сэргийлэхэд тусалдаг.
Сүлжээний траффикийг тасралтгүй хянаж, ердийн хөдөлгөөний хэв маягийг ойлгох нь IDS-ийн гажиг илрүүлэх чадварыг сайжруулж, худал эерэг гарах боломжийг багасгахад тусална.
Зөв олохСүлжээний пакет брокерIDS-тэй ажиллах (Халдалтыг илрүүлэх систем)
Зөв олохInline Bypass Tap SwitchIPS-тэй ажиллахын тулд (Intrusion Prevention System)
Шуудангийн цаг: 2024 оны 9-р сарын 26-ны хооронд