Comparação de Firewall, Prevenção de Intrusão, Detecção e Tecnologias de Antivírus na Arquitetura de Rede Organizacional

Navegue suas respostas
4

nestes dias eu estou lendo sobre sistemas de prevenção / detecção de intrusão. Ao ler eu realmente confuso em alguns pontos.

Primeiro, as tecnologias de firewall e antivírus são conhecidas há anos, mas agora o IDS se torna popular.

Minha pergunta inclui:

  • em arquiteturas de redes organizacionais quando / onde usamos esses sistemas?
  • Quais são os benefícios de usar cada um?
  • O Firewall contém todos esses outros?

Se você me der alguns exemplos, ajudará muito.

Obrigado.

    
por Berkay 27.03.2010 / 22:32

3 respostas

11

Sistemas de Detecção de Intrusão (IDS) e Sistemas de Proteção contra Intrusão (IPS) são um tópico bastante amplo. Como tal, a minha resposta aqui está longe de ser abrangente.

Os tipos de IDS incluem rede e host.

IDS com base em rede, como SNORT , analisam e registram o tráfego de rede com base em um conjunto de regras. Essas regras corresponderiam a possíveis vulnerabilidades, possivelmente fornecendo um aviso antecipado sobre tentativas de invasão e dados forenses após o fato.

O IDS com base em host inclui software como o AIDE , que compara os hashes dos arquivos no sistema de arquivos de maneira recorrente. Isso permitiria que alguém monitorasse as alterações no sistema e identificasse alterações não autorizadas.

O registro central poderia ser parte de suas soluções IDS baseadas em host. O registro central permite o controle e a auditoria de seus registros em um local central. Além disso, manter os registros em um local central minimiza a exposição e permite uma trilha de auditoria adicional, caso um sistema seja comprometido e os registros não sejam mais confiáveis.

A filtragem de pacotes (firewall) é um mecanismo de segurança para controlar o tráfego de e para a sua rede. Firewalls não são IDS.

Uma infraestrutura de TI bem administrada inclui muitas dessas tecnologias e muitos profissionais não as consideram opcionais.

    
por 27.03.2010 / 23:21
4

Algumas coisas que quero adicionar (IMO, a excelente resposta da Warner já cobre a maioria dos pontos):

Os firewalls separam sua rede em áreas com diferentes níveis de confiança:

  • Empresa externa / interna
  • Host externo / interno
  • Determinados endereços IP em uma lista de permissões / lista negra / neutra
  • ...
Por outro lado, o IDS costuma ser usado para distinguir o tráfego válido dos ataques, embora todos sejam originários da mesma zona. Uma suposição ingênua que muitas vezes é feita pelas empresas é que todo o tráfego originado da LAN da empresa pode ser confiável. Mas isso leva ao problema de que até mesmo uma pequena violação de segurança, que parece ser inofensiva à sua superfície (por exemplo, permite que o invasor envie certas solicitações "inofensivas" do servidor da empresa para a LAN) pode facilmente se tornar um problema muito maior . Então, o IDS supõe que o invasor já está em algum lugar dentro da rede e procura anormalidades.

Mais uma coisa sobre o IDS: Ouvir em um ponto da sua rede muitas vezes não é suficiente! Devido à natureza dos switches, nem todos os ataques se espalham por toda a rede. Assim, um IDE ideal monitoraria (teoricamente)

  1. todos os hosts
  2. todo o tráfego de rede entre dois pontos.

Também é útil monitorar o estado dos comutadores (para se defender contra ataques como roubo de portas).

    
por 28.03.2010 / 01:04
0

Se você estiver executando um aplicativo da Web, verifique se possui um firewall de aplicativo da Web. Por exemplo, o mod_security é um excelente firewall de aplicações web, livre e de código aberto.

Os conjuntos de regras padrão para o Mod_secuirty podem prevenir contra injeção de SQL, xss e muitos outros ataques. O Mod_Security não é tão bom quanto o Cisco ACE , que é um produto comercial muito caro. O melhor recurso do Cisco ACE é o anti-DDoS.

    
por 28.03.2010 / 21:30

Tags

É o Rsync como subversão, mas para um servidor? SQLServer - precisa acessar um ACT! banco de dados para migração de dados