Intrusion prevention system

Intrusion prevention system (Система за предотвратяване на проникване) е програма или устройство за сигурност, което следи мрежовите устройства за злонамерена дейност и регистрира информация за тази дейност, докладва я и се опитва да я блокира или спре.^[1]

IPS допълва филтъра за пакети, като не само може да класифицира трафика по IP адрес и порт, но също така може да надникне в пакета. Декодират се протоколи като DNS, HTTP и много други. Системата за предотвратяване на проникване може да събере допълнителна информация за трафика и да идентифицира всяко неочаквано поведение.

Конфигурация

Конфигурацията има няколко различни стъпки. В системата за предотвратяване на проникване правилата могат да бъдат активини или неактивни. При активиране на правило за предотвратяване на проникване трябва да бъде избрана поне една мрежова зона. Целият трафик, идващ от или отиващ към тази зона, се предава на IPS и се филтрира. Трафикът на неизбраните зони преминава през защитната стена без сканиране.

Режим само за наблюдение на трафика

Трафикът може също така просто да бъде анализиран, но IPS няма да предприеме никакви действия, ако даден пакет се счита за опасен. Той ще бъде регистриран, но ще премине в мрежата.

Бели списъци на хостове

В случай че хостове бъдат неправомерно определени като злонамерени, те могат да бъдат включени в белия списък. Това означава, че няма да бъдат проверявани. Както хостовете, така и мрежите (включително подмрежова маска) също могат да бъдат включени в белия списък.

Набори от правила

Наборът от правила е една от най-важните части в IPS. Той определя какво се сканира и какво може да се намери. Те основно работят като сигнатури на вирусен скенер. Следователно те също трябва да се поддържат актуални.

Източници

1. What is an intrusion prevention system (IPS)? // IBM. (на английски)