Sunteți pe pagina 1din 30

LICEUL TEHNOLOGIC “VASILE SAV” 

ROMAN

PROIECT DE SPECIALITATE
(EXAMEN PENTRU OBȚINEREA CERTIFICATULUI DE
COMPENTENȚE PROFESIONALE)
NIVELUL 4 DE CALIFICARE

PROFIL: TEHNIC
CALIFICARE: TEHNICIAN OPERATOR TEHNICA DE
CALCUL

 ÎNDRUMĂTOR CANDIDAT                                            CANDIDAT


Ing. CURPĂ N DANIEL  CREȚ U COSMIN

AN ȘCOLAR 2020 – 2021

1
Securizarea rețelelor de
calculatoare prin
firewall, IPS și prin IDS

2
Cuprins: Pagina:
1. Argument; 4
2. Definiție; 6
3. Firewall; 7
3.1. Cum funcționează un firewall?; 7
3.2. Rolul unui paravan de protecţie Firewall; 8
3.3. Tipuri de firewall-uri; 8
3.4. Cum se activează Windows Firewall pe computer?; 10
3.5 Vulnerabilități; 11
4. Sistem de detectare a intruziunilor; 13
4.1. Categoria de detectare a intruziunilor; 13
4.1.1. Activitate analizată: 14
4.1.1.1. Sisteme de detectare a intruziunilor în rețea; 14
4.1.1.2. Sisteme de detectare a intruziunilor gazdă; 14
4.1.2. Metoda de detectare: 15
4.1.2.1. Bazat pe semnături; 15
4.1.2.2. Bazat pe anomalii; 15
4.2. Prevenirea intruziunii; 15
4.2.1. Clasificare; 16
4.2.2. Metodă de detectare; 17
4.3. Plasare IDS; 17
4.4. Limitări; 22
5. Sistem de prevenire a intruziunilor; 24
5.1. De ce ar trebui utilizate sistemele de prevenire a intruziunilor?; 24
5.2. Cum funcționează sistemele de prevenire a intruziunilor?; 24
5.3. Care este diferența dintre IDS și IPS?; 26

6.Bibliografie; 29

3
1.Argument:
În zilele noastre a apărut un concept care va revoluţiona progresul omenirii, având
din punct de vedere istoric însemnătatea pe care a avut-o revoluţia industrială.
Societatea informaţională poate fi găsită la intersecţia dintre ramurile ,altă dată
distincte, ale telecomunicaţiilor si calculatoarelor, grupate in jurul informaţiei
digitale. Privită separat, fiecare dintre aceste ramuri a contribuit în timpul ultimului
secol la o creştere a standardului nostru de viată, lăsând în urmă schimbări sociale
pe scară largă.
Se spune că un calculator este construit dintr-un ansamblu de două componente:
resurse fizice (hardware) şi de programe (software), care asigură prelucrarea
automată a datelor. Cu alte cuvinte este o maşină care uşurează activitatea umană.
Aici intervine factorul uman, omul fiind de fapt o a treia componentă. Cele trei
aspecte, uman, software şi hardware nu sunt independente. Perfecţionarea unuia
dintre aspecte determină şi progresul celorlalte două, chiar dacă nu în acelaşi ritm.
De perfecţionarea componentelor hardware si software se ocupă mulţi oameni cu
experienţă, însă de progresul factorului uman trebuie sa ne ocupăm noi înşine.
Calculatorul ne ajută să dăm viaţă ideilor – captează cuvinte, redă imagini,
controlează alte maşini. El este o extensie a posibilităţilor umane, care ne permite
să ne depăşim limitele. Acest proiect vine în întâmpinarea acestei idei, oferind o
posibilitate de a învăţa şi aprofunda cunoştinţele necesare oricărui tânăr din ziua de
azi.
Modul cum culegi, administrezi şi foloseşti informaţia fac din tine un câştigător
sau un înfrânt în viaţă, aşa subliniază Bill Gates rolul actual al sistemelor de calcul
în viaţa noastră, a tuturor.
Am ales această temă deoarece pentru a vedea/folosi informațiile obținute în urma
prelucrării datelor de către un calculator este nevoie de securizarea rețelelor de
calculatoare prin firewall/IPS și IDS.
Atât reţeaua, cât şi calculatoarele sunt vulnerabile în faţa atacurilor cibernetice. Se
poate asigura suplimentar prin setarea unei parole puternice sau prin sistemul de
autentificare în doi factori, însă doar aceste acţiuni nu sunt suficiente pentru a pune
la adăpost calculatoarele şi fişierele utilizatorului. Nu se poate beneficia de
securitate maximă dacă nu ai instalat un firewall. Complementar programelor de
tip anti-virus, anti-spyware, anti-malware, firewall-ul (paravanul de protecţie) are
rolul de a preveni accesul nedorit la calculator sau reţea.

4
Cu atât de multe puncte de acces prezente într-o rețea de afaceri tipică, este esențial
să aveți o modalitate de a monitoriza semne de încălcări potențiale, incidente și
amenințări iminente. Amenințările de rețea de astăzi devin din ce în ce mai
sofisticate și capabile să se infiltreze chiar și în cele mai robuste soluții de
securitate.

Pe lângă apărarea imediată a amenințărilor, firewall-urile îndeplinesc funcții


importante de înregistrare și audit. Păstrează o evidență a evenimentelor, care pot fi
utilizate de administratori pentru a identifica tiparele și a îmbunătăți seturile de
reguli. Regulile ar trebui să fie actualizate periodic pentru a ține pasul cu
amenințările în continuă evoluție ale securității cibernetice. Furnizorii descoperă
noi amenințări și dezvoltă patch-uri pentru a le acoperi cât mai curând posibil.

5
2. Definiție;

Ce inseamna un firewall, mai exact? Un firewall este un dispozitiv de securitate


care monitorizează traficul de rețea care intră și iese și permite sau blochează
pachetele de date pe baza unui set de reguli. Scopul său este de a stabili o barieră
între rețeaua ta internă și traficul de intrare din surse externe (cum ar fi internetul)
pentru a bloca traficul rău intenționat, precum virușii și hackerii. Este, practic, un
paravan de protecţie pentru computerele tale.

Un sistem de detectare a intruziunilor ( IDS ) este un dispozitiv sau o aplicație


software care monitorizează o rețea sau sisteme pentru activități dăunătoare sau
încălcări ale politicilor. Orice activitate de intruziune sau încălcare este de obicei
raportată fie unui administrator, fie colectată central, utilizând un sistem
de gestionare a informațiilor de securitate și a evenimentelor. Un sistem SIEM
combină ieșirile din mai multe surse și utilizează tehnici de filtrare a alarmelor
pentru a distinge activitatea rău intenționată de alarmele false.

Un sistem de prevenire a intruziunilor  (IPS) este o tehnologie de securitate a


rețelei / prevenirea amenințărilor care examinează fluxurile de trafic din rețea
pentru a detecta și preveni exploatarea vulnerabilității. Exploatările de
vulnerabilitate apar de obicei sub formă de intrări dăunătoare către o aplicație
sau serviciu țintă pe care atacatorii le utilizează pentru a întrerupe și a obține
controlul unei aplicații sau al unei mașini. După o exploatare reușită, atacatorul
poate dezactiva aplicația țintă (rezultând o stare de refuz de serviciu) sau poate
avea acces la toate drepturile și permisiunile disponibile pentru aplicația
compromisă.

6
3.Firewall;

Un firewall este un sistem conceput pentru a preveni accesul neautorizat la sau


dintr-o rețea privată. Puteți implementa un firewall sub formă de hardware sau
software, sau o combinație a ambelor. Firewall-urile împiedică utilizatorii de
internet neautorizați să accese rețelele private conectate la internet, în special
intranetele. Toate mesajele care intră sau ies din intranet (rețeaua locală la care
sunteți conectat) trebuie să treacă prin firewall, care examinează fiecare mesaj și le
blochează pe cele care nu îndeplinesc criteriile de securitate specificate.

Termenul de firewall se referea inițial la un zid destinat să limiteze un incendiu


într-o linie de clădiri adiacente.Utilizările ulterioare se referă la structuri similare,
cum ar fi separă compartimentul al unui vehicul sau de habitaclu. Termenul a fost
aplicat la sfârșitul anilor 1980 tehnologiei de rețea care a apărut când Internetul era
destul de nou în ceea ce privește utilizarea sa globală și conectivitatea. Predecesorii
firewall-urilor pentru securitatea rețelei erau routere utilizate la sfârșitul anilor
1980. Deoarece au separat deja rețelele, routerele ar putea aplica filtrarea
pachetelor care le traversează.
Înainte de a fi folosit în calculele din viața reală, termenul a apărut în filmul
WarGames despre hacking pe computer din 1983 și, probabil, a inspirat utilizarea
sa ulterioară.

3.1. Cum funcționează un firewall?;


Firewall-urile analizează cu atenție traficul de intrare pe baza regulilor prestabilite
și filtrează traficul provenit din surse nesecurizate sau suspecte pentru a preveni
atacurile. Paravanele de protecție protejează traficul la punctul de intrare al unui
computer, numit porturi, care este locul în care informațiile sunt schimbate cu
dispozitive externe. De exemplu, „Adresa sursă 172.18.1.1 este permisă să ajungă
la destinația 172.18.2.1 prin portul 22.”
Gândiți-vă la adresele IP ca la case și la numerele de porturi ca la camere din
casă. Doar persoanele de încredere (adrese sursă) au permisiunea de a intra deloc
în casă (adresa de destinație) - apoi se filtrează în continuare, astfel încât

7
persoanelor din casă să li se permită să acceseze doar anumite camere (porturile de
destinație), în funcție de proprietar , un copil sau un oaspete.
3.2. Rolul unui paravan de protecţie Firewall;
Scopul folosirii unui firewall este de a impiedica atacuri asupra serviciilor tale. Pe
baza unor reguli prestabilite, firewall-ul analizează cu atenție și filtrează traficul
provenind din surse nesecurizate sau suspecte pentru a preveni atacurile. Firewall-
ul protejează traficul la punctul de intrare în computer, numit port, care este locul
în care se schimbă informații cu dispozitivele externe. De exemplu, „Adresa sursă
172.18.1.1 poate sa ajungă la destinația 172.18.2.1 prin portul 22.” Pentru a fi mai
clar, imaginează-ţi adresele IP ca fiind nişte case, iar numerele de port ca fiind
camerele din casă. Doar persoanele de încredere (adrese sursă) au voie să intre în
casă (adresa de destinație). În rest, toate celelalte sunt filtrate suplimentar, astfel
încât persoanele din casă să aibă acces doar la anumite camere (porturi de
destinație), în funcție de rolul pe care îl deţin, dacă sunt proprietari, copii sau un
oaspete. Proprietarului îi este permis să intre în orice cameră (orice port), în timp
ce copiii și oaspeții au permisiunea de a intra doar într-un anumit set de camere
(porturi specifice). Să presupunem că deţii o companie cu 100 de angajaţi şi tot
atâtea computere, care au acces la internet. Fără un firewall, toate cele 100 de
computere vor fi expuse direct dacă cineva ar încerca să testeze vulnerabilitatea
reţelei companiei tale. Odată instalat un firewall, regulile de securitate
implementate prin configurarea acestuia reduc vulnerabilităţile sistemului în
ansamblul său. Acesta este, în esență, scopul folosirii unui firewall.
3.3. Tipuri de firewall-uri;
Firewall-urile pot fi fie software, fie hardware, deși cel mai bine este să aveți
ambele. Un firewall software este un program instalat pe fiecare computer și
reglează traficul prin numere de port și aplicații, în timp ce un firewall fizic este un
echipament instalat între rețea și gateway.
Firewall-urile de filtrare a pachetelor, cel mai comun tip de firewall, examinează
pachetele și le interzic trecerea dacă nu corespund unui set de reguli de securitate
stabilit. Acest tip de firewall verifică adresele IP sursă și destinație ale
pachetului. Dacă pachetele se potrivesc cu cele ale unei reguli „permise” de pe
firewall, atunci este de încredere să intre în rețea.
Firewall-urile de filtrare a pachetelor sunt împărțite în două categorii: stateful și
apatridele. Paravanele de protecție fără stat examinează pachetele independent unul
de celălalt și nu au context, făcându-le ținte ușoare pentru hackeri. În contrast,
8
firewall-urile de stare își amintesc informațiile despre pachetele trecute anterior și
sunt considerate mult mai sigure.
Deși firewall-urile de filtrare a pachetelor pot fi eficiente, ele oferă în cele din urmă
o protecție foarte de bază și pot fi foarte limitate - de exemplu, nu pot stabili dacă
conținutul cererii trimise va afecta negativ aplicația pe care o atinge. Dacă o cerere
rău intenționată care a fost permisă de la o adresă sursă de încredere ar avea ca
rezultat, să zicem, ștergerea unei baze de date, firewall-ul nu ar avea cum să știe
asta. Firewall-urile de generație următoare și firewall-urile proxy sunt mai echipate
pentru a detecta astfel de amenințări.
Firewall-urile de generație următoare (NGFW) combină tehnologia firewall
tradițională cu funcționalități suplimentare, precum inspecția criptată a traficului,
sistemele de prevenire a intruziunilor, antivirus și multe altele. În special, include
inspecția profundă a pachetelor (DPI). În timp ce firewall-urile de bază privesc
doar anteturile pachetelor, inspecția profundă a pachetelor examinează datele din
pachetul în sine, permițând utilizatorilor să identifice, să clasifice sau să oprească
mai eficient pachetele cu date dăunătoare. 
Firewall-urile proxy filtrează traficul de rețea la nivelul aplicației. Spre deosebire
de firewall-urile de bază, proxy-ul acționează ca intermediar între două sisteme
finale. Clientul trebuie să trimită o cerere către firewall, unde este apoi evaluată în
raport cu un set de reguli de securitate și apoi permisă sau blocată. În special,
firewall-urile proxy monitorizează traficul pentru protocoalele de nivel 7, cum ar fi
HTTP și FTP, și utilizează atât inspecția de pachete, cât și de stare, pentru a detecta
traficul rău intenționat.
Firewall-urile pentru traducerea adreselor de rețea (NAT) permit mai multor
dispozitive cu adrese de rețea independente să se conecteze la internet utilizând o
singură adresă IP, păstrând ascunse adresele IP individuale. Drept urmare,
atacatorii care scanează o rețea după adrese IP nu pot capta detalii specifice,
oferind o securitate mai mare împotriva atacurilor. Firewall-urile NAT sunt
similare cu firewall-urile proxy, deoarece acționează ca intermediar între un grup
de computere și traficul exterior.
Firewall-urile de inspecție multistrat (SMLI) filtrează pachetele din straturile de
rețea, transport și aplicație, comparându-le cu pachetele de încredere cunoscute. La
fel ca firewall-urile NGFW, SMLI examinează tot pachetul și le permite să treacă
numai dacă trec fiecare strat individual. Aceste firewall examinează pachetele
pentru a determina starea comunicării (deci numele) pentru a se asigura că toate
comunicările inițiate au loc numai cu surse de încredere.

9
3.4. Cum se activează Windows Firewall pe computer?
Windows vine cu firewall preinstalat, care poate fi activat foarte uşor din Control
Panel. Nu eşti sigur dacă Windows Firewall este activat? Urmează paşii de mai jos
pentru a verifica statusul şi a activa paravanul de protecţie.

Pasul 1:

Pasul 2:

10
Pasul 3:

Pasul 4:

3.5 Vulnerabilități;

Firewall-urile mai puțin avansate - filtrarea pachetelor, de exemplu - sunt


vulnerabile la atacuri de nivel superior, deoarece nu utilizează DPI pentru a
examina complet pachetele. NGFW-urile au fost introduse pentru a aborda această
vulnerabilitate. Cu toate acestea, NGFW încă se confruntă cu provocări și sunt
vulnerabile la amenințări în evoluție. Din acest motiv, organizațiile ar trebui să le
11
asocieze cu alte componente de securitate, cum ar fi sistemele de detectare a
intruziunilor și sistemele de prevenire a intruziunilor. Câteva exemple de
amenințări moderne la care un firewall poate fi vulnerabil sunt:

 Atacuri din interior: organizațiile pot utiliza firewall-uri interne deasupra


unui firewall perimetral pentru a segmenta rețeaua și a oferi protecție
internă. Dacă se suspectează un atac, organizațiile pot audita sensibile folosind
funcțiile NGFW. Toate auditurile ar trebui să măsoare până la documentația de
bază din cadrul organizației care prezintă cele mai bune practici pentru
utilizarea rețelei organizației. Câteva exemple de comportament care ar putea
indica o amenințare din interior includ următoarele:
o transmiterea datelor sensibile în text simplu;
o acces la resurse în afara orelor de program;
o eșecul accesului la resurse sensibile de către utilizator;
o acces la resurse de rețea pentru utilizatorii terți;

 Atacuri de negare a serviciului distribuite (DDos): Un atac DDoS este o


încercare rău intenționată de a perturba traficul normal al unei rețele vizate prin
copleșirea țintei sau a infrastructurii înconjurătoare cu o inundație de
trafic. Utilizează mai multe sisteme informatice compromise ca surse de trafic
de atac. Mașinile exploatate pot include computere și alte resurse în rețea, cum
ar fi dispozitive Internet of Things (IoT). Un atac DDoS este ca un blocaj de
trafic care împiedică sosirea traficului obișnuit la destinația dorită. Principala
preocupare în atenuarea unui atac DDoS este diferențierea dintre atac și trafic
normal. De multe ori, traficul în acest tip de atac poate proveni din surse
aparent legitime și necesită verificări încrucișate și audit de la mai multe
componente de securitate.

12
4. Sistem de detectare a intruziunilor:
Detectarea intruziunilor (ID) este procesul de monitorizare și identificare a
tentativelor de acces sau manipulare neautorizată a sistemului. Un sistem de
identificare colectează și analizează informații din diverse zone din cadrul unui
computer sau al unei rețele pentru a identifica posibile încălcări ale securității,
care includ atât intruziuni (atac din afara organizației), cât și utilizare abuzivă
(atac din interiorul organizației).

Un sistem de detectare a intruziunilor este încă un alt instrument în arsenalul de


securitate al computerului administratorului de rețea. Inspectează toată
activitatea rețelei de intrare și de ieșire. IDS identifică orice tipar suspect care
poate indica un atac asupra sistemului și acționează ca o verificare de securitate a
tuturor tranzacțiilor care au loc în interiorul și în afara sistemului.

4.1. Categoria de detectare a intruziunilor;


Tipurile IDS variază în domeniul de aplicare de la computere individuale la rețele
mari. Cele mai frecvente clasificări sunt sistemele de detectare a intruziunilor în
rețea ( NIDS ) și sistemele de detectare a intruziunilor bazate pe
gazdă ( HIDS ). Un sistem care monitorizează fișierele importante ale sistemului
de operare este un exemplu de HIDS, în timp ce un sistem care analizează traficul
rețelei primite este un exemplu de NIDS. De asemenea, este posibil să se clasifice
IDS după abordarea de detectare. Cele mai cunoscute variante sunt detectarea
bazată pe semnături (recunoașterea tiparelor defecte, cum ar fi malware )
și detectarea bazată pe anomalii (detectarea abaterilor de la un model de trafic
„bun”, care se bazează adesea pe învățarea automată ). O altă variantă comună este
detectarea bazată pe reputație (recunoașterea potențialei amenințări în funcție de
scorurile reputației). Unele produse IDS au capacitatea de a răspunde la
intruziunile detectate. Sistemele cu capacități de răspuns sunt denumite de obicei
un sistem de prevenire a intruziunilor . Sistemele de detectare a intruziunilor pot
servi, de asemenea, unor scopuri specifice, prin majorarea acestora cu instrumente
personalizate, cum ar fi utilizarea unui honeypot pentru a atrage și caracteriza
traficul rău intenționat.

IDS pot fi clasificate în funcție de locul în care are loc detectarea (rețea sau gazdă )
sau metoda de detectare utilizată (semnătură sau bazată pe anomalii).

13
4.1.1. Activitate analizată
4.1.1.1. Sisteme de detectare a intruziunilor în rețea 
Sistemele de detectare a intruziunilor în rețea (NIDS) sunt plasate într-un punct sau
puncte strategice din rețea pentru a monitoriza traficul către și de la toate
dispozitivele din rețea. Realizează o analiză a trecerii traficului pe
întreaga subrețea și se potrivește traficului care este transmis pe subrețele cu
biblioteca de atacuri cunoscute. După identificarea unui atac sau simțirea unui
comportament anormal, alerta poate fi trimisă administratorului. Un exemplu de
NIDS ar fi instalarea acestuia pe subrețeaua în care se află firewall-urile pentru a
vedea dacă cineva încearcă să pătrundă în firewall. În mod ideal, cineva ar scana
tot traficul de intrare și de ieșire, totuși acest lucru ar putea crea un blocaj care ar
afecta viteza generală a rețelei. OPNET și NetSim sunt instrumente utilizate în
mod obișnuit pentru simularea sistemelor de detectare a intruziunilor în
rețea. Sistemele NID sunt, de asemenea, capabile să compare semnăturile pentru
pachete similare pentru a lega și renunța la pachetele detectate dăunătoare care au o
semnătură care se potrivește cu înregistrările din NIDS. Când clasificăm
proiectarea NIDS în funcție de proprietatea de interactivitate a sistemului, există
două tipuri: NIDS on-line și off-line, adesea denumite mod inline și respectiv
tap. NIDS online se ocupă de rețea în timp real. Acesta analizează pachetele
Ethernet și aplică unele reguli, pentru a decide dacă este un atac sau nu. NIDS off-
line se ocupă de datele stocate și le trece prin unele procese pentru a decide dacă
este un atac sau nu.
NIDS pot fi, de asemenea, combinate cu alte tehnologii pentru a crește ratele de
detectare și predicție. IDS bazate pe rețeaua neuronală artificială sunt capabile să
analizeze volume imense de date, într-un mod inteligent, datorită structurii de auto-
organizare care permite INS IDS să recunoască mai eficient tiparele de
intruziune. Rețelele neuronale asistă IDS în prezicerea atacurilor învățând din
greșeli; INN IDS ajută la dezvoltarea unui sistem de avertizare timpurie, bazat pe
două straturi. Primul strat acceptă valori unice, în timp ce al doilea strat preia ca
intrare straturile primului; ciclul se repetă și permite sistemului să recunoască
automat noi modele neprevăzute în rețea. Acest sistem poate avea o rată medie de
detectare și clasificare de 99,9%, pe baza rezultatelor cercetării a 24 de atacuri de
rețea, împărțite în patru categorii: DOS, Probe, Remote-to-Local și user-to-root.
4.1.1.2. Sisteme de detectare a intruziunilor gazdă
Sistemele de detectare a intruziunilor de gazdă (HIDS) rulează pe gazde
individuale sau dispozitive din rețea. Un HIDS monitorizează pachetele de intrare
și de ieșire numai de pe dispozitiv și va avertiza utilizatorul sau administratorul
dacă este detectată activitate suspectă. Face un instantaneu al fișierelor de sistem

14
existente și îl potrivește cu instantaneul anterior. Dacă fișierele critice ale
sistemului au fost modificate sau șterse, o alertă este trimisă administratorului
pentru investigare. Un exemplu de utilizare HIDS poate fi văzut pe mașinile cu
misiune critică, care nu se așteaptă să își schimbe configurațiile.
4.1.2.Metoda de detectare
4.1.2.1.Bazat pe semnături
IDS bazate pe semnături se referă la detectarea atacurilor prin căutarea unor tipare
specifice, cum ar fi secvențe de octeți în traficul de rețea sau secvențe de
instrucțiuni rău intenționate cunoscute utilizate de malware. Această terminologie
provine din software-ul antivirus, care se referă la aceste modele detectate ca
semnături. Deși IDS bazate pe semnături pot detecta cu ușurință atacuri cunoscute,
este dificil de detectat atacuri noi, pentru care nu este disponibil niciun model.
4.1.2.2.Bazat pe anomalii 
Sistemele de detectare a intruziunilor bazate pe anomalii au fost introduse în
primul rând pentru a detecta atacuri necunoscute, în parte datorită dezvoltării
rapide a malware-ului. Abordarea de bază este de a utiliza învățarea automată
pentru a crea un model de activitate de încredere și apoi a compara un nou
comportament cu acest model. Deoarece aceste modele pot fi instruite în funcție de
aplicații și configurații hardware, metoda bazată pe învățarea automată are o
proprietate mai generalizată în comparație cu IDS-urile tradiționale bazate pe
semnături. Deși această abordare permite detectarea atacurilor necunoscute
anterior, poate suferi de falsuri pozitive: activitatea legitimă necunoscută anterior
poate fi de asemenea clasificată ca rău intenționată. Majoritatea IDS-urilor
existente suferă de consumul de timp în timpul procesului de detectare care
degradează performanța IDS-urilor. Algoritmul eficient de selectare a
caracteristicilor face procesul de clasificare utilizat la detectare mai fiabil.
Noi tipuri de ceea ce s-ar putea numi sisteme de detectare a intruziunilor bazate pe
anomalii sunt privite de Gartner ca User and Entity Behavior Analytics (UEBA)(o
evoluție a categoriei de analiză a comportamentului utilizatorului ) și analiza
traficului de rețea (NTA). În special, NTA se ocupă de informații rău intenționate,
precum și de atacuri externe direcționate care au compromis un computer sau un
cont de utilizator. Gartner a remarcat faptul că unele organizații au optat pentru
NTA față de IDS mai tradiționale.
4.2. Prevenirea intruziunii;
Unele sisteme pot încerca să oprească o încercare de intruziune, dar acest lucru nu
este nici necesar, nici așteptat de la un sistem de monitorizare. Sistemele de

15
detectare și prevenire a intruziunilor (IDPS) sunt axate în primul rând pe
identificarea posibilelor incidente, înregistrarea informațiilor despre acestea și
raportarea încercărilor. În plus, organizațiile folosesc IDPS în alte scopuri, cum ar
fi identificarea problemelor legate de politicile de securitate, documentarea
amenințărilor existente și descurajarea persoanelor de a încălca politicile de
securitate. IDPS au devenit o completare necesară la infrastructura de securitate a
aproape oricărei organizații.
IDPS înregistrează de obicei informații legate de evenimente observate, notifică
administratorii de securitate cu privire la evenimentele observate importante și
produc rapoarte. Mulți IDPS pot răspunde, de asemenea, la o amenințare detectată
încercând să o împiedice să aibă succes. Folosesc mai multe tehnici de răspuns,
care implică IDPS oprirea atacului în sine, schimbarea mediului de securitate (de
exemplu, reconfigurarea unui firewall) sau schimbarea conținutului atacului.
Sistemele de prevenire a intruziunilor ( IPS ), cunoscute și sub denumirea
de sisteme de detectare și prevenire a intruziunilor ( IDPS ), sunt dispozitive
de securitate a rețelei care monitorizează activitățile de rețea sau de sistem pentru
activități dăunătoare. Principalele funcții ale sistemelor de prevenire a intruziunii
sunt identificarea activității rău intenționate, înregistrarea informațiilor despre
această activitate, raportarea acesteia și încercarea de blocare sau oprire.
Sistemele de prevenire a intruziunilor sunt considerate extensii ale sistemelor de
detectare a intruziunilor, deoarece ambele monitorizează traficul de rețea și / sau
activitățile sistemului pentru activități dăunătoare. Principalele diferențe sunt, spre
deosebire de sistemele de detectare a intruziunilor, sistemele de prevenire a
intruziunilor sunt plasate în linie și sunt capabile să prevină sau să blocheze activ
intruziunile care sunt detectate. IPS poate întreprinde acțiuni precum trimiterea
unei alarme, renunțarea la pachetele rău intenționate detectate, resetarea unei
conexiuni sau blocarea traficului de la adresa IP contravenientă. Un IPS poate, de
asemenea, să corecteze erorile de verificare a redundanței ciclice (CRC) , să
defragmenteze fluxurile de pachete, să atenueze problemele de secvențiere TCP și
să curețe nedoriteopțiuni de transport și strat de rețea.
4.2.1. Clasificare:
Sistemele de prevenire a intruziunilor pot fi clasificate în patru tipuri diferite:

1. Sistem de prevenire a intruziunilor bazat pe rețea (NIPS) : monitorizează


întreaga rețea pentru trafic suspect prin analiza activității protocolului;
2. Sistem de prevenire a intruziunilor fără fir (WIPS) : monitorizează o
rețea fără fir pentru trafic suspect prin analiza protocoalelor de rețea fără fir;

16
3. Analiza comportamentului în rețea (NBA) : examinează traficul de rețea
pentru a identifica amenințările care generează fluxuri neobișnuite de trafic,
cum ar fi atacurile de refuzare a serviciului distribuite (DDoS), anumite
forme de malware și încălcări ale politicilor;
4. Sistem de prevenire a intruziunilor bazat pe gazdă (HIPS) : un pachet
software instalat care monitorizează o singură gazdă pentru activități
suspecte prin analizarea evenimentelor care se produc în cadrul acelei
gazdei;
4.2.2. Metode de detectare:
Majoritatea sistemelor de prevenire a intruziunilor utilizează una dintre cele trei
metode de detectare: bazate pe semnături, bazate pe anomalii statistice și analiză
protocolară de stare. 

1. Detecție bazată pe semnături: IDS bazat pe semnături monitorizează


pachetele din rețea și se compară cu modelele de atac preconfigurate și
predeterminate cunoscute sub numele de semnături.
2. Detecție statistică bazată pe anomalii : un IDS bazat pe anomalii va
monitoriza traficul de rețea și îl va compara cu o linie de bază
stabilită. Linia de bază va identifica ceea ce este „normal” pentru acea rețea
- ce fel de lățime de bandă este utilizată în general și ce protocoale sunt
utilizate. Cu toate acestea, poate declanșa o alarmă fals pozitivă pentru
utilizarea legitimă a lățimii de bandă dacă liniile de bază nu sunt configurate
inteligent.
3. Detectarea analizei protocolului de stat : Această metodă identifică
abaterile stărilor protocolului prin compararea evenimentelor observate cu
„profilurile predeterminate ale definițiilor general acceptate ale activității
benigne”.
Amplasarea sistemelor de detectare a intruziunilor este critică și variază în
funcție de rețea. Cea mai obișnuită plasare fiind în spatele firewall-ului de la
marginea unei rețele. Această practică oferă IDS-ului o vizibilitate ridicată a
traficului care intră în rețeaua dvs. și nu va primi trafic între utilizatorii din
rețea. Marginea rețelei este punctul în care o rețea se conectează la
extranet. O altă practică care poate fi realizată dacă sunt disponibile mai
multe resurse este o strategie în care un tehnician va plasa primul IDS în
punctul de vizibilitate maximă și, în funcție de disponibilitatea resurselor, va
pune un altul în următorul punct cel mai înalt, continuând procesul până la
toate punctele rețeaua sunt acoperite.

17
4.3. Plasare IDS
Amplasarea sistemelor de detectare a intruziunilor este critică și variază în funcție
de rețea. Cea mai obișnuită plasare fiind în spatele firewall-ului de la marginea
unei rețele. Această practică oferă IDS-ului o vizibilitate ridicată a traficului care
intră în rețeaua dvs. și nu va primi trafic între utilizatorii din rețea. Marginea rețelei
este punctul în care o rețea se conectează la extranet. O altă practică care poate fi
realizată dacă sunt disponibile mai multe resurse este o strategie în care un
tehnician va plasa primul IDS în punctul de vizibilitate maximă și, în funcție de
disponibilitatea resurselor, va pune un altul în următorul punct cel mai înalt,
continuând procesul până la toate punctele rețeaua sunt acoperite.
Dacă un IDS este plasat dincolo de firewall-ul unei rețele, scopul său principal ar fi
apărarea împotriva zgomotului de pe internet, dar, mai important, apărarea
împotriva atacurilor obișnuite, cum ar fi scanarea porturilor și maparea rețelei. Un
IDS în această poziție ar monitoriza straturile 4 până la 7 ale modelului OSI și ar fi
bazat pe semnături. Aceasta este o practică foarte utilă, deoarece mai degrabă decât
să arate încălcări reale în rețea care au făcut-o prin firewall, vor fi afișate încercări
de încălcare care reduc cantitatea de fals pozitive. IDS în această poziție ajută, de
asemenea, la scăderea timpului necesar pentru a descoperi atacuri de succes
împotriva unei rețele.
Uneori, un IDS cu caracteristici mai avansate va fi integrat cu un firewall pentru a
putea intercepta atacuri sofisticate care intră în rețea. Exemple de caracteristici
avansate ar include contexte de securitate multiple în nivelul de rutare și modul de
conectare. La rândul lor, toate acestea pot reduce costurile și complexitatea
operațională.
O altă opțiune pentru plasarea IDS se află în rețeaua reală. Acestea vor dezvălui
atacuri sau activități suspecte în cadrul rețelei. Ignorarea securității într-o rețea
poate provoca multe probleme, fie va permite utilizatorilor să prezinte riscuri de
securitate, fie va permite unui atacator care a intrat deja în rețea să circule
liber. Securitatea intensă a intranetului face dificilă chiar și acelor hackeri din rețea
să manevreze și să-și intensifice privilegiile.

Zgomotul poate limita sever eficacitatea unui sistem de detectare a


intruziunilor. Pachetele greșite generate de erori software , date DNS corupte și
pachete locale care au scăpat pot crea o rată de alarmă falsă semnificativ ridicată.

Nu este neobișnuit ca numărul de atacuri reale să fie cu mult sub numărul


de alarme false. Numărul de atacuri reale este adesea atât de mic sub numărul de
alarme false, încât atacurile reale sunt adesea ratate și ignorate.

18
Multe atacuri sunt concepute pentru versiuni specifice de software care sunt de
obicei depășite. Este necesară o bibliotecă de semnături în continuă schimbare
pentru a atenua amenințările. Bazele de date cu semnături învechite pot lăsa IDS
vulnerabil la strategii mai noi.

Pentru IDS bazate pe semnături, va exista decalaj între o nouă descoperire a


amenințării și semnătura acesteia aplicată IDS. În acest timp de întârziere, IDS
nu va putea identifica amenințarea.

Nu poate compensa mecanismele de identificare și autentificare slabe sau


deficiențele din protocoalele de rețea. Atunci când un atacator câștigă acces din
cauza mecanismelor de autentificare slabe, atunci IDS nu poate preveni
adversarul de orice practică greșită.

Pachetele criptate nu sunt procesate de majoritatea dispozitivelor de detectare a


intruziunilor. Prin urmare, pachetul criptat poate permite o intruziune în rețea
care este nedescoperită până când au avut loc intrări mai semnificative în rețea.

Software-ul de detectare a intruziunilor oferă informații bazate pe adresa de


rețea care este asociată cu pachetul IP care este trimis în rețea. Acest lucru este
benefic dacă adresa de rețea conținută în pachetul IP este corectă. Cu toate
acestea, adresa conținută în pachetul IP ar putea fi falsificată sau amestecată.

Datorită naturii sistemelor NIDS și a nevoii acestora de a analiza protocoalele


pe măsură ce sunt capturate, sistemele NIDS pot fi susceptibile la aceleași
atacuri bazate pe protocol la care gazdele de rețea pot fi vulnerabile. Datele
nevalide și atacurile stivei TCP / IP pot cauza blocarea unui NIDS.

Măsurile de securitate în cloud computing nu iau în considerare variația


nevoilor de confidențialitate ale utilizatorului.Oferă același mecanism de
securitate pentru toți utilizatorii, indiferent dacă utilizatorii sunt companii sau o
persoană individuală.
Există o serie de tehnici pe care atacatorii le folosesc, următoarele sunt considerate
măsuri „simple” care pot fi luate pentru a se sustrage IDS:

Fragmentare: prin trimiterea de pachete fragmentate, atacatorul va fi sub radar


și poate ocoli cu ușurință capacitatea sistemului de detectare de a detecta
semnătura atacului.

19
Evitarea valorilor implicite: Portul TCP utilizat de un protocol nu oferă
întotdeauna o indicație a protocolului care este transportat. De exemplu, un IDS
se poate aștepta să detecteze un troian pe portul 12345. Dacă un atacator l-a
reconfigurat pentru a utiliza un alt port, este posibil ca IDS să nu poată detecta
prezența troianului.

Atacuri coordonate, cu lățime de bandă redusă: coordonarea unei scanări între


numeroși atacatori (sau agenți) și alocarea diferitelor porturi sau gazde la
atacatori diferiți face dificilă identificarea IDS a pachetelor capturate și
deducerea că o scanare în rețea este în desfășurare.

Spoofing / proxy de adresă : atacatorii pot crește dificultatea abilității


administratorilor de securitate de a determina sursa atacului utilizând servere
proxy slab securizate sau configurate incorect pentru a respinge un atac. Dacă
sursa este falsificată și respinsă de un server, este foarte dificil pentru IDS să
detecteze originea atacului.

Evaziunea schimbării tiparului: IDS se bazează, în general, pe „potrivirea


tiparului” pentru a detecta un atac. Prin schimbarea ușoară a datelor utilizate în
atac, poate fi posibilă evitarea detectării. De exemplu, un server IMAP
( Internet Message Access Protocol ) poate fi vulnerabil la o depășire a
bufferului, iar un IDS este capabil să detecteze semnătura de atac a 10
instrumente de atac comune. Modificând încărcătura utilă trimisă de
instrument, astfel încât să nu semene cu datele pe care IDS le așteaptă, poate fi
posibilă evitarea detectării.
Primul concept preliminar IDS a fost delimitat în 1980 de James Anderson
la Agenția Națională de Securitate și consta dintr-un set de instrumente destinate să
ajute administratorii să revizuiască urmele de audit. Jurnalele de acces ale
utilizatorilor, jurnalele de acces la fișiere și jurnalele de evenimente ale sistemului
sunt exemple de piste de audit.
Fred Cohen a remarcat în 1987 că este imposibil să se detecteze o intruziune în
fiecare az și că resursele necesare pentru a detecta intruziunile cresc odată cu
cantitatea de utilizare. 
Dorothy E. Denning , asistată de Peter G. Neumann , a publicat în 1986 un model
de IDS care a stat la baza multor sisteme de astăzi. Modelul său a folosit statistici
pentru detectarea anomaliilor și a avut ca rezultat un IDS timpuriu la SRI
International numit Intrusion Detection Expert System (IDES), care funcționa
pe stațiile de lucru Sun și putea lua în considerare atât datele utilizatorului, cât și
datele de rețea. IDES a avut o abordare duală cu un sistem expert bazat pe

20
regulipentru a detecta tipuri cunoscute de intruziuni plus o componentă statistică de
detectare a anomaliilor bazate pe profiluri de utilizatori, sisteme gazdă și sisteme
țintă. Autorul cărții „IDES: Un sistem inteligent pentru detectarea intrușilor”,
Teresa F. Lunt, a propus adăugarea unei rețele neuronale artificiale ca a treia
componentă. Ea a spus că toate cele trei componente ar putea raporta apoi unui
rezolvator. SRI a urmat IDES în 1993 cu Sistemul Expert de Detectare a
Intruziunilor de generație următoare (NIDES).
Sistemul Multics de detectare și alertare a intruziunilor (MIDAS), un sistem expert
care utilizează P-BEST și Lisp , a fost dezvoltat în 1988 pe baza lucrărilor lui
Denning și Neumann. Haystack a fost, de asemenea, dezvoltat în acel an folosind
statistici pentru a reduce urmele de audit.
În 1986, Agenția Națională de Securitate a început un program de transfer de
cercetare IDS sub Rebecca Bace . Bace a publicat ulterior textul seminal pe această
temă, Intrusion Detection , în 2000.
Înțelepciunea și simțul (W&S) a fost un detector de anomalii bazat pe statistici
dezvoltat în 1989 la Laboratorul Național Los Alamos . W&S a creat reguli bazate
pe analize statistice, apoi a folosit acele reguli pentru detectarea anomaliilor.
În 1990, Mașina inductivă bazată pe timp (TIM) a făcut detectarea anomaliilor
utilizând învățarea inductivă a tiparelor de utilizator secvențiale în Common
Lisp pe un computer VAX 3500, Monitorul de securitate a rețelei (NSM) a efectuat
mascare pe matricile de acces pentru detectarea anomaliilor pe o stație de lucru
Sun-3/50. Asistentul ofițerului de securitate a informațiilor (ISOA) a fost un
prototip din 1990 care a luat în considerare o varietate de strategii, inclusiv
statistici, un verificator de profil și un sistem expert. ComputerWatch de la AT&T
Bell Labs a folosit statistici și reguli pentru reducerea datelor de audit și detectarea
intruziunilor.
Apoi, în 1991, cercetătorii de la Universitatea din California, Davis au creat un
prototip Distributed Intrusion Detection System (DIDS), care era și un sistem
expert. Network Anomaly Detection and Intrusion Reporter (NADIR), tot în 1991,
a fost un prototip IDS dezvoltat la Rețeaua Integrată de Calcul (ICN) a
Laboratorului Național Los Alamos și a fost puternic influențat de activitatea lui
Denning și Lunt. [47] NADIR a folosit un detector de anomalii bazat pe statistici și
un sistem expert.
Lawrence Berkeley National Laboratory a anunțat Bro în 1998, care a folosit
propria sa limbă regulă pentru analiza de pachete de la libpcap de date. Network
Flight Recorder (NFR) în 1999 a folosit și libpcap.

21
APE a fost dezvoltat ca un sniffer de pachete, folosind și libpcap, în noiembrie
1998 și a fost redenumit Snort o lună mai târziu. Snort a devenit de atunci cel mai
mare sistem IDS / IPS folosit din lume, cu peste 300.000 de utilizatori activi. Poate
monitoriza atât sistemele locale, cât și punctele de captare la distanță
folosind protocolul TZSP .
IDS-urile de analiză și exploatare a datelor de audit (ADAM) din 2001 au
folosit tcpdump pentru a construi profiluri de reguli pentru clasificări. În
2003, Yongguang Zhang și Wenke Lee susțin importanța IDS în rețelele cu noduri
mobile.
În 2015, Viegas și colegii săi propus un motor de detectare a intruziunilor bazat pe
anomalii, care vizează System-on-Chip (SoC) pentru aplicații în Internet of Things
(IoT), de exemplu. Propunerea aplică învățarea automată pentru detectarea
anomaliilor, oferind eficiență energetică implementării clasificatorilor Tree Tree,
Naive-Bayes și k-Near Neighbors într-un procesor Atom și implementării sale
prietenoase hardware într-un FPGA. În literatura de specialitate, aceasta a fost
prima lucrare care implementează fiecare clasificator în mod echivalent în software
și hardware și măsoară consumul său de energie pe ambele. În plus, a fost prima
dată când s-a măsurat consumul de energie pentru extragerea fiecărei caracteristici
utilizate pentru a face clasificarea pachetelor de rețea, implementată în software și
hardware.
4.4.Limitări:
Zgomotul poate limita sever eficacitatea unui sistem de detectare a intruziunilor.
Pachetele greșite generate de erori software , date DNS corupte și pachete locale
care au scăpat pot crea o rată de alarmă falsă semnificativ ridicată.
Nu este neobișnuit ca numărul de atacuri reale să fie cu mult sub numărul de
alarme false . Numărul de atacuri reale este adesea atât de mic sub numărul de
alarme false, încât atacurile reale sunt adesea ratate și ignorate.
Multe atacuri sunt concepute pentru versiuni specifice de software care sunt de
obicei depășite. Este necesară o bibliotecă de semnături în continuă schimbare
pentru a atenua amenințările. Bazele de date cu semnături învechite pot lăsa IDS
vulnerabil la strategii mai noi.
Pentru IDS bazate pe semnături, va exista decalaj între o nouă descoperire a
amenințării și semnătura acesteia aplicată IDS. În acest timp de întârziere, IDS nu
va putea identifica amenințarea.
Nu poate compensa mecanismele de identificare și autentificare slabe sau
deficiențele din protocoalele de rețea . Atunci când un atacator câștigă acces din

22
cauza mecanismelor de autentificare slabe, atunci IDS nu poate preveni adversarul
de orice practică greșită.
Pachetele criptate nu sunt procesate de majoritatea dispozitivelor de detectare a
intruziunilor. Prin urmare, pachetul criptat poate permite o intruziune în rețea care
este nedescoperită până când au avut loc intrări mai semnificative în rețea.
Software-ul de detectare a intruziunilor oferă informații bazate pe adresa de rețea
care este asociată cu pachetul IP care este trimis în rețea. Acest lucru este benefic
dacă adresa de rețea conținută în pachetul IP este corectă. Cu toate acestea, adresa
conținută în pachetul IP ar putea fi falsificată sau amestecată.
Datorită naturii sistemelor NIDS și a necesității acestora de a analiza protocoalele
pe măsură ce sunt capturate, sistemele NIDS pot fi susceptibile la aceleași atacuri
bazate pe protocol la care gazdele de rețea pot fi vulnerabile. Datele nevalide și
atacurile stivei TCP / IP pot cauza blocarea unui NIDS.
Măsurile de securitate în cloud computing nu iau în considerare variația nevoilor
de confidențialitate ale utilizatorului. Oferă același mecanism de securitate pentru
toți utilizatorii, indiferent dacă utilizatorii sunt companii sau o persoană
individuală.

23
5.Sistem de prevenire a intruziunilor:
Un sistem de prevenire a intruziunilor (IPS) este o formă de securitate a rețelei care
funcționează pentru a detecta și preveni amenințările identificate. Sistemele de
prevenire a intruziunilor vă monitorizează continuu rețeaua, căutând eventuale
incidente periculoase și captând informații despre acestea. IPS raportează aceste
evenimente administratorilor de sistem și ia măsuri preventive, cum ar fi
închiderea punctelor de acces și configurarea firewall-urilor pentru a preveni
atacurile viitoare. Soluțiile IPS pot fi, de asemenea, utilizate pentru a identifica
problemele legate de politicile de securitate corporative, descurajând angajații și
oaspeții rețelei să încalce regulile pe care le conțin aceste politici.
Cu atât de multe puncte de acces prezente într-o rețea de afaceri tipică, este esențial
să aveți o modalitate de a monitoriza semne de potențiale încălcări, incidente și
amenințări iminente. Amenințările de rețea de astăzi devin din ce în ce mai
sofisticate și capabile să se infiltreze chiar și în cele mai robuste soluții de
securitate.
5.1. De ce ar trebui utilizate sistemele de prevenire a intruziunilor?
Tehnologiile IPS pot detecta sau preveni atacurile de securitate a rețelei, cum ar fi
atacurile cu forță brută, atacurile Denial of Service (DoS) și exploatările de
vulnerabilitate. O vulnerabilitate este o slăbiciune a unui sistem software și un
exploit este un atac care valorifică această vulnerabilitate pentru a obține controlul
unui sistem. Când este anunțat un exploit, există adesea o fereastră de oportunitate
pentru atacatori de a exploata această vulnerabilitate înainte de aplicarea patch-ului
de securitate. Un sistem de prevenire a intruziunilor poate fi utilizat în aceste
cazuri pentru a bloca rapid aceste atacuri. Deoarece tehnologiile IPS urmăresc
fluxurile de pachete, acestea pot fi, de asemenea, utilizate pentru a impune
utilizarea protocoalelor securizate și a refuza utilizarea protocoalelor nesigure, cum
ar fi versiunile anterioare de SSL sau protocoalele care utilizează cifrări slabe.
5.2. Cum funcționează sistemele de prevenire a intruziunilor?

24
Un IPS este de obicei implementat „în linie” acolo unde se află pe calea de
comunicație directă între sursă și destinație, unde poate analiza „în timp real” tot
fluxul de trafic de rețea de-a lungul acelei căi și poate lua măsuri preventive
automatizate. Un IPS poate fi implementat ca cel mai bun tip de rasă, IPS
independent sau aceeași capacitate poate fi activată în funcția IPS consolidată într-
un firewall de generație următoare (NGFW). Un IPS folosește semnături care pot fi
atât vulnerabilitate, fie exploatare specifice pentru a identifica traficul rău
intenționat. De obicei, acestea sunt fie detectare bazată pe semnături, fie detectare
statistică bazată pe anomalii pentru identificarea activității rău intenționate. 

1. Detectarea bazată pe semnături utilizează semnături identificabile unic, care


se află în codul de exploatare. Atunci când exploatările sunt descoperite,
semnăturile lor intră într-o bază de date din ce în ce mai extinsă. Detectarea bazată
pe semnături pentru IPS implică fie semnături orientate spre exploatare, care
identifică exploatările individuale, fie semnături orientate spre vulnerabilitate, care
identifică vulnerabilitatea din sistemul vizat de atac. Semnăturile cu vulnerabilitate
sunt importante pentru identificarea potențialelor variante de exploatare care nu au
fost observate anterior, dar cresc, de asemenea, riscul rezultatelor fals pozitive
(pachete benigne etichetate greșit ca amenințări).
2. Detecția bazată pe anomalii statistice eșantionează aleatoriu traficul de rețea
și apoi compară eșantioanele cu nivelurile de bază ale nivelului de
performanță. Când eșantioanele sunt identificate ca fiind în afara liniei de bază,
IPS declanșează o acțiune pentru a preveni un potențial atac.

Odată ce IPS identifică traficul rău intenționat care poate fi exploatabil în rețea,
acesta implementează ceea ce este cunoscut sub numele de patch virtual pentru
protecție. Patch-ul virtual, acționează ca o măsură de siguranță împotriva
amenințărilor care exploatează vulnerabilitățile cunoscute și necunoscute. Patch-ul
virtual funcționează prin implementarea straturilor de politici și reguli de securitate
care împiedică și interceptează un exploit să ia căi de rețea către și de la o
vulnerabilitate, oferind astfel acoperire împotriva vulnerabilității respective la
nivelul rețelei, mai degrabă decât la nivelul gazdei.
Sistemele de prevenire a intruziunilor funcționează prin scanarea întregului trafic
de rețea. Există o serie de amenințări diferite pe care un IPS este conceput să le
prevină.
IPS efectuează inspecția în timp real a pachetelor, inspectând profund fiecare
pachet care călătorește prin rețea. Dacă sunt detectate pachete rău intenționate sau
suspecte, IPS va efectua una dintre următoarele acțiuni:

25
 Încheiați sesiunea TCP care a fost exploatată și blocați adresa IP sursă care a
ofensat sau contul de utilizator să acceseze orice aplicație, gazdă țintă sau alte
resurse de rețea fără etică.
 Reprogramați sau reconfigurați paravanul de protecție pentru a preveni un
atac similar care să apară în viitor.
 Eliminați sau înlocuiți orice conținut rău intenționat care rămâne în rețea în
urma unui atac. Acest lucru se face prin reambalarea încărcăturilor utile, eliminarea
informațiilor antetului și eliminarea oricăror atașamente infectate de pe serverele
de fișiere sau e-mail.
5.3. Care este diferența dintre IDS și IPS?
Implementările timpurii ale tehnologiei au fost implementate în modul detectare pe
dispozitivele de securitate dedicate. Pe măsură ce tehnologia s-a maturizat și s-a
mutat în dispozitivele integrate de  generație următoare Firewall sau UTM,
acțiunea implicită este setată pentru a preveni traficul rău intenționat.
În unele cazuri, decizia de a detecta și accepta sau preveni traficul se bazează pe
încrederea în protecția IPS specifică. Atunci când există o încredere mai mică într-
o protecție IPS, atunci există o probabilitate mai mare de fals pozitiv. Un fals
pozitiv este atunci când IDS identifică o activitate ca un atac, dar activitatea este un
comportament acceptabil. Din acest motiv, multe tehnologii IPS au, de asemenea,
capacitatea de a captura secvențe de pachete din evenimentul de atac. Acestea pot
fi apoi analizate pentru a determina dacă a existat o amenințare reală și pentru a
îmbunătăți în continuare protecția IPS.
IPS a fost evoluția sistemului de detectare a intruziunilor (IDS). Tehnologia IDS
folosește același concept de identificare a traficului și unele dintre tehnicile
similare, cu diferența majoră fiind că IPS sunt implementate „în linie” și IDS sunt
implementate „off-line” sau la robinet unde încă inspectează o copie a întregului
trafic sau flux, dar nu poate lua nicio măsură preventivă. IDS sunt implementate
doar pentru a monitoriza și a oferi analize și vizibilitate asupra amenințărilor din
rețea. 

În timp ce sistemele IDS monitorizează rețeaua și trimit alerte administratorilor de


rețea despre potențiale amenințări, sistemele IPS iau măsuri mai substanțiale pentru
a controla accesul la rețea, a monitoriza datele de intruziune și a preveni apariția
atacurilor.

26
Câteva exemple de programe firewall:

Primul firewall este cel de la Windows.Este o alegere comună pentru ca nu


necesită instalare, ci doar o simplă activare.Este un firewall foarte apreciat prin
simplul fapt că nu supără userii cu zeci de ferestre pop-up.Un user obișnuit poate
nu ar suporta numărul mare de ferestre pop-up de la un program firewall avansat
așa că cel de la Windows ar fi o alegere numai bună.

Poți înlocui firewall-ul de la windows(doar dezactivat) cu unul din programele


terță cunoscute care oferă un control avansat și nu sunt „iubitoare” de pop-
upuri.Majoritatea programelor îți vor arăta o fereastră ce va conține 2
butoane:Deny și Allow.Această fereastră va apărea de obicei când o aplicație va
dori să se conecteze într-un anumit mod la internet.Totuși, multe dintre aplicațiile
cunoscute(Skype, Ym) nu vor fi luate ca o amenințare, iar cele care au fost luate nu
vor mai fi după ce ai setat Allow de exemplu.

1.Zone Alarm Free Firewall

2.Comodo firewall

27
3.Online Armor free

4.Outpost Firewall Free

28
6.Biblografie:

https://www.fortinet.com/resources/cyberglossary/what-is-an-ips
https://en.wikipedia.org/wiki/Security_information_and_event_management
https://en.wikipedia.org/wiki/Intrusion_detection_system
https://www.checkpoint.com/cyber-hub/network-security/what-is-ips/
https://searchsecurity.techtarget.com/definition/firewall
https://www.forcepoint.com/cyber-edu/intrusion-prevention-system-ips
https://www.checkpoint.com/cyber-hub/network-security/what-is-an-intrusion-
detection-system-ids/
https://www.checkpoint.com/cyber-hub/network-security/what-is-firewall/
https://searchsecurity.techtarget.com/definition/firewall
29
https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-
system-ips
https://resources.infosecinstitute.com/topic/network-design-firewall-idsips/
https://en.wikipedia.org/wiki/Firewall_(computing)
https://kb.iu.edu/d/aoru
https://code-it.ro/cele-mai-bune-programe-firewall/

30