IDS və IPS nədir? nədir?
IDS və IPS nədir? nədir?
IDS (Intrusion Detection System) və IPS (Intrusion Prevention System) — şəbəkə infrastrukturu və ya ayrı-ayrı sistemlər üzərində zərərli aktivliyin aşkarlanması və qarşısının alınması üçün nəzərdə tutulmuş təhlükəsizlik sistemləridir.
IDS şəbəkə trafiki və ya sistem hadisələrini monitorinq edərək şübhəli fəaliyyəti müəyyənləşdirir və xəbərdarlıq yaradır.
IPS isə aşkarlama ilə yanaşı, təhlükələri real vaxt rejimində avtomatik şəkildə bloklama qabiliyyətinə malikdir.
IDS-in əsas xüsusiyyətləri:
- Passiv monitorinq: Trafiki analiz edir, lakin məlumat axınına birbaşa müdaxilə etmir.
- Hücumların aşkarlanması: Siqnatur əsaslı, anomaliya əsaslı və davranış əsaslı təhdidləri müəyyən edir.
- Xəbərdarlıq mexanizmi: Potensial hücum barədə administratora bildiriş göndərir.
- Loqlaşdırma və analiz: Hadisələri qeyd edir və insident araşdırması üçün saxlayır.
IPS-in əsas xüsusiyyətləri:
- Aktiv müdafiə mexanizmi: Trafik axınına inteqrasiya olunur (inline) və bloklama qərarı verir.
- Avtomatik qarşısının alınması: Zərərli paketləri bloklaya, IP ünvanlarını məhdudlaşdıra və əlaqəni dayandıra bilər.
- Təhlükəsizlik siyasətləri: Qaydalar və siqnaturalar əsasında fəaliyyət göstərir.
- Real vaxt qorunması: Hücum hədəfə çatmadan əvvəl təsirini minimuma endirir.
IDS/IPS növləri:
- NIDS (Network-based IDS/IPS): Şəbəkə trafiki üzərində analiz aparır.
- HIDS (Host-based IDS/IPS): Müəyyən bir host üzərində sistem fəaliyyətini nəzarətdə saxlayır.
- Signature-based detection: Məlum hücum şablonlarının aşkarlanması.
- Anomaly-based detection: Normal davranış modelindən kənaraçıxmaların müəyyən edilməsi.
IDS və IPS nə zaman istifadə olunur?
- Korporativ şəbəkələrin qorunması
- Port skanlarının aşkarlanması
- DoS/DDoS tipli hücumların müəyyən edilməsi
- Şəbəkədaxili şübhəli aktivliyin monitorinqi
- Təhlükəsizlik standartlarına uyğunluğun təmin edilməsi (ISO 27001, PCI DSS və s.)
IDS/IPS istifadəsinin üstünlükləri:
- Şəbəkə təhlükəsizliyinin gücləndirilməsi
- Təhdidlərin erkən mərhələdə aşkarlanması
- İnfrastrukturun komprometasiya riskinin azaldılması
- Mərkəzləşdirilmiş nəzarət və audit imkanları
IDS (Intrusion Detection System) və IPS (Intrusion Prevention System) — şəbəkə infrastrukturu və ya ayrı-ayrı sistemlər üzərində zərərli aktivliyin aşkarlanması və qarşısının alınması üçün nəzərdə tutulmuş təhlükəsizlik sistemləridir.
IDS şəbəkə trafiki və ya sistem hadisələrini monitorinq edərək şübhəli fəaliyyəti müəyyənləşdirir və xəbərdarlıq yaradır.
IPS isə aşkarlama ilə yanaşı, təhlükələri real vaxt rejimində avtomatik şəkildə bloklama qabiliyyətinə malikdir.
IDS-in əsas xüsusiyyətləri:
- Passiv monitorinq: Trafiki analiz edir, lakin məlumat axınına birbaşa müdaxilə etmir.
- Hücumların aşkarlanması: Siqnatur əsaslı, anomaliya əsaslı və davranış əsaslı təhdidləri müəyyən edir.
- Xəbərdarlıq mexanizmi: Potensial hücum barədə administratora bildiriş göndərir.
- Loqlaşdırma və analiz: Hadisələri qeyd edir və insident araşdırması üçün saxlayır.
IPS-in əsas xüsusiyyətləri:
- Aktiv müdafiə mexanizmi: Trafik axınına inteqrasiya olunur (inline) və bloklama qərarı verir.
- Avtomatik qarşısının alınması: Zərərli paketləri bloklaya, IP ünvanlarını məhdudlaşdıra və əlaqəni dayandıra bilər.
- Təhlükəsizlik siyasətləri: Qaydalar və siqnaturalar əsasında fəaliyyət göstərir.
- Real vaxt qorunması: Hücum hədəfə çatmadan əvvəl təsirini minimuma endirir.
IDS/IPS növləri:
- NIDS (Network-based IDS/IPS): Şəbəkə trafiki üzərində analiz aparır.
- HIDS (Host-based IDS/IPS): Müəyyən bir host üzərində sistem fəaliyyətini nəzarətdə saxlayır.
- Signature-based detection: Məlum hücum şablonlarının aşkarlanması.
- Anomaly-based detection: Normal davranış modelindən kənaraçıxmaların müəyyən edilməsi.
IDS və IPS nə zaman istifadə olunur?
- Korporativ şəbəkələrin qorunması
- Port skanlarının aşkarlanması
- DoS/DDoS tipli hücumların müəyyən edilməsi
- Şəbəkədaxili şübhəli aktivliyin monitorinqi
- Təhlükəsizlik standartlarına uyğunluğun təmin edilməsi (ISO 27001, PCI DSS və s.)
IDS/IPS istifadəsinin üstünlükləri:
- Şəbəkə təhlükəsizliyinin gücləndirilməsi
- Təhdidlərin erkən mərhələdə aşkarlanması
- İnfrastrukturun komprometasiya riskinin azaldılması
- Mərkəzləşdirilmiş nəzarət və audit imkanları