HOTEL SEARCH
   PROPERTIES SEARCH
 
   DIRECTORY
 Accomodation
 Entertainment
 Property & Construction
 Recreation
 Service & Business
 Shopping Paradise
 Travel Agent
 
 
Search WWW phukettoday.com   
Powered By   
Visitor Guide :

you are here: home Internet Tips

IPS (Intrusion Prevention System)

At present, Firewall is generally known as the security tool for network system. In fact, we also have other types of security tool. In principle, a firewall works by blocking certain incoming and outgoing packets in the network. The firewall filters packets according to predefined policy set by network administrator. However, in terms of additional layer of protection, most firewalls are not capable of analyzing packets except ones that incorporate IPS (Intrusion Prevention System) and IDS (Intrusion Detection System).

IPS (Intrusion Prevention System) is a type of adaptive network security instrument that analyzes incoming and outgoing packets in order to study the probability of threats and attacks as well as undertake an immediate respond to the attacks. When there is an attack, a good IPS will automatically respond to the problem according to the predefined policy or instantly notify the network administrator. For example, IPS may drop the packet which is analyzed as malicious and block the traffic from malicious port or IP address in the future. At the same time, IPS shall not interrupt or delay normal packet or clean traffic.

Nowadays, IPS is installed to further enhance network security. The major purpose is to stop the attack before it causes any harmful effects that the existing security measures such as Firewall, Antivirus and IDS (Intrusion Detection System) are not capable of preventing. IPS is created to fill this gap. IPS is a device that has basic infrastructure like other network devices but it is capable of gathering and updating attack signature. IPS studies and assesses the pattern of traffic by utilizing complicated conditions and analysis. The information about existing network vulnerabilities under certain period shall be used to forecast possible threats and develop future prevention. Knowing how each protocol works, IPS is able to filter out and identify damaging traffic by judging whether the suspicious traffic is attacking the protocol’s loophole or not.

Although the network loopholes and new techniques of attack emerge every day, allowing attackers to quickly spread out worms, viruses and malwares without being detected by conventional technique which relies solely on attack signature. However, most IPS today are HIPS (Host-based IPS) which is capable of performing checks against malicious code and catching attacks through seamless collaboration between IPS hardware and the software installed on both server side and network clients. HIPS watches server and desktop behavior at its kernel or the heart of the operating system. It is capable of shutting down malicious processes such as worms, viruses, or malwares. It works together with firewall to permanently block harmful packet or traffic.

Currently, there are many IPS products in the market such as McAfee, Sana and Cisco products which come with capability to track and suppress the probability of harmful behavior. In addition, it can basically trap buffer overflow – a type of loophole that could lead to operating system attacks or other kinds of future vulnerabilities.

In the future IPS will be the basic standard for corporate network security and may be combined with other network devices such as switch and router in order to maintain security of network infrastructure.

ระบบป้องกันการบุกรุกเครือข่าย IPS (Intrusion Prevention System)

ปัจจุบันเรารู้จัก Firewall ในฐานะเป็นระบบรักษาความปลอดภัยให้กับระบบเน็ตเวิร์คแต่ยังมีระบบรักษาความปลอดภัยในรูปแบบอื่นซึ่งถูกพัฒนาแยกออกมา เพราะโดยหลักการทำงาน firewall จะทำหน้าที่ป้องกันในลักษณะการปิดกั้นการเข้าออกของแพ็กเก็ต (Packet) ในระบบเน็ตเวิร์ค ไม่ว่าจากภายนอกเครือข่ายเข้ามายังเครือข่ายภายใน หรือจากเครือข่ายภายในออกไปยังภายนอกเครือข่าย หรือจากเครือข่ายภายในด้วยกัน โดยอาศัยนโยบาย (Policy) ที่ถูกกำหนดไว้ล่วงหน้าโดยผู้ดูแลระบบ แต่ในลักษณะของการป้องกันในระดับลึกแล้วนั้น firewall โดยส่วนใหญ่จะไม่มีความสามารถทางด้านการวิเคราะห์แพ็กเก็ตเหล่านั้น นอกจากตัว firewall นั้นได้ถูกผนวกเอา IPS (Intrusion Prevention System) และ IDS (Intrusion Detection System) เข้าไปด้วย

IPS (Intrusion Prevention System) นั้นเป็นรูปแบบหนึ่งของการรักษาความปลอดภัยของเครือข่ายที่ใช้วิธีการวิเคราะห์แพ็กเก็ตที่เข้าออกในระบบเครือข่ายเพื่อประเมินผลและตรวจหาแนวโน้มของภัยคุกคามและการโจมตี พร้อมกับตอบสนองต่อการโจมตีได้อย่างรวดเร็ว ซึ่งหากเกิดการโจมตีเข้าถึงระบบได้แล้ว IPS ที่ดีจะทำการตอบโต้หรือแจ้งข้อมูลแก่ผู้ดูแลระบบในทันทีตามรูปแบบและกลุ่มของนโยบายที่ผู้ดูแลระบบได้ทำการกำหนดไว้ล่วงหน้า เช่น IPS อาจจะทำการดร็อปแพ็กเก็ตที่ถูกประเมินแล้วว่าเป็นแพ็กเก็ตที่มุ่งร้าย และทำการ บล๊อคทราฟฟิก (Traffic Blocking) ที่มาจากไอพีแอดเดรสและพอร์ตเหล่านั้นในอนาคต ในขณะเดียวกันแพ็กเก็ตปกติที่เข้าออกในระบบเครือข่ายนั้นจะต้องไม่ถูกรบกวนหรือเกิดความล่าช้าจนผิดปกติ

IPS ในปัจจุบันได้มีการติดตั้งเพื่อเพิ่มการปกป้องในระดับลึกให้กับระบบเครือข่ายซึ่งจะมีวัตถุประสงค์ในการหยุดการการโจมตีก่อนที่ภัยคุกคามเหล่านั้นจะเริ่มเข้ามาสร้างความเสียหายภายในโครงข่าย ซึ่งการรักษาความปลอดภัยแบบเดิมด้วย Firewall, Antivirus และ IDS (Intrusion Detection System) ไม่มีความสามารถเพียงพอต่อกันป้องกันในระดับนี้ ระบบ IPS จึงถูกออกแบบมาเพื่อเติมเต็มในส่วนที่ขาดหายไปเหล่านี้ โดยระบบ IPS จะถูกออกแบบมาทั้งในส่วนโครงสร้างพื้นฐานที่เหมือนกับอุปกรณ์เน็ตเวิร์คอื่นทั่วไปแต่สามารถนำรูปแบบการโจมตีหรือ Signature ที่ได้มีการเก็บรวมรวมและปรับปรุงอย่างต่อเนื่อง มาจับคู่กับรูปแบบของทราฟฟิกที่เข้าออกโดยสามารถนำเงื่อนไขที่ซับซ้อนมาประเมิณผลและตรวจสอบ โดยอาศัยข้อมูลของช่องโหว่เข้ามาพิจารณาร่วมกันกับช่วงเวลาเพื่อกำหนดความถูกต้องแม่นยำต่อไป ซึ่ง IPS จะอิงพื้นฐานความรู้ล่วงหน้าในสิ่งที่ว่าโพรโตคอลแต่ละตัวจะทำงานอย่างไร และเปรียบเทียบกับพื้นฐานความรู้ในการใช้ช่องโหว่จากโพรโตคอลเหล่านั้นในการเข้าโจมตี ทำให้ใสามารถพิจารณาว่าพฤติกรรมที่พบนั้นเป็นสิ่งที่น่าสงสัยหรือมุ่งร้ายต่อระบบหรือไม่ ซึ่งจะช่วยในการกลั่นกรองแพ็กเก็ตและทราฟฟิกเหล่านั้นออกไป

แม้ว่าช่องโหว่ของระบบและเทคนิคใหม่ที่มีเพิ่มขึ้น จะอาศัยประโยชน์จากช่องโหว่ทำให้ผู้โจมตี มีช่วงเวลาในการโจมตีและแพร่กระจายเวิร์ม ไวรัส และมัลแวร์ ซึ่งสามารถเล็ดลอดจากการตรวจจับแบบเดิมที่อาศัยเพียงฐานข้อมูลรูปแบบการโจมตีหรือ Signature ได้อย่างรวดเร็ว แต่ระบบ IPS ในปัจจุบันที่เป็นประเภท HIPS (Host-based IPS) ก็สามารถที่จะตรวจสอบและป้องกันพฤติกรรมเหล่านั้นได้จากการทำงานควบคู่กันของ IPS ที่เป็นฮาร์ดแวร์ และส่วนของซอฟท์แวร์ที่ถูกติดตั้งในเซิร์ฟเวอร์และเดสก์ทอป ซึ่งจะสามารถทำการจับตาดูพฤติการรมของเซอร์ฟเวอร์และเดสก์ทอปในดับเคอร์เนล หรือแกนในของระบบปฏิบัติการได้ ซึ่งเป็นสิ่งที่ช่วยให้ระบบ HIPS สามารถทำการชัตดาว์นโพรเซส (Shutdown Process) ที่มีวัตถุประสงค์มุ่งร้าย เช่น เวิร์ม ไวรัส และมัลแวร์ ที่แพร่เข้ามาได้ ทำให้ยับยั้งการแพร่กระจายเหล่านั้น พร้อมทั้งสกัดกั้นการโจมตีเข้ามาอย่างต่อเนื่องด้วยการประสานงานกับ firewall เพื่อทำการ บล็อก แพ็กเก็ตและทราฟฟิกนั้นอย่างถาวร

ซึ่งในปัจจุบันได้มีผลิตภัณฑ์ประเภท IPS ออกมาสู่ท้องตลาดอย่างแพร่หลายเช่น ผลิตภัณฑ์ของ McAfee, Sana และ Cisco ซึ่งมีความสามารถในการจับตาแนวโน้มของพฤติกรรมที่มีความเสี่ยงและยับยั้งพฤติกรรมต่าง ๆ เหล่านั้นได้ รวมทั้งยังมีการทำงานพื้นฐานที่สามารถต่อต้านบัฟเฟอร์โอเวอร์โฟล์วซึ่งเป็นระดับพื้นฐานของช่องโหว่ที่สามารถนำไปสู่การโจมตีระบบปฎิบัติการและทำให้เกิดความเสียหายได้ในอนาคต

ในอนาคตระบบ IPS จะเป็นมาตรฐานที่ถูกใช้งานในฐานะเป็นสถาปัตยกรรมพื้นฐานซึ่งคอยป้องกันอยู่บนระบบเครือข่ายขององค์กร และอาจถูกผนวกรวมกับอุปกรณ์เน็ตเวิร์คประเภท สวิตช์และเราเตอร์ เพื่อให้สามารถรักษาความปลอดภัยในส่วนโครงสร้างพื้นฐานของระบบเน็ตเวิร์คได้

วันที่ 28 - 06 - 2006  


Internet Tips เรื่องอื่น ๆ 
Sanook Card
( ( W ) ) Broadband
SME Package
 
    Home | About Us | Contact Us | Advertise with Us | Order Form | Our Partner | Site Map
    Copyright © 1998-2006. Express Data Company. All rights reserved.
Express Data 
Phuket Today