LICEUL TEHNOLOGIC “VASILE SAV” ROMAN

PROIECT DE SPECIALITATE
(EXAMEN PENTRU OBȚINEREA CERTIFICATULUI DE
COMPENTENȚE PROFESIONALE)
NIVELUL 4 DE CALIFICARE

PROFIL: TEHNIC
CALIFICARE: TEHNICIAN OPERATOR TEHNICA DE
CALCUL

ÎNDRUMĂTOR CANDIDAT CANDIDAT

Ing. CURPĂN DANIEL CREȚU COSMIN

AN ȘCOLAR 2020 – 2021

1
Securizarea rețelelor de
calculatoare prin
firewall, IPS și prin IDS

2
Cuprins: Pagina:
1. Argument; 4
2. Definiție; 6
3. Firewall; 7
3.1. Cum funcționează un firewall?; 7
3.2. Rolul unui paravan de protecţie Firewall; 8
3.3. Tipuri de firewall-uri; 8
3.4. Cum se activează Windows Firewall pe computer?; 10
3.5 Vulnerabilități; 11
4. Sistem de detectare a intruziunilor; 13
4.1. Categoria de detectare a intruziunilor; 13
4.1.1. Activitate analizată: 14
4.1.1.1. Sisteme de detectare a intruziunilor în rețea; 14
4.1.1.2. Sisteme de detectare a intruziunilor gazdă; 14
4.1.2. Metoda de detectare: 15
4.1.2.1. Bazat pe semnături; 15
4.1.2.2. Bazat pe anomalii; 15
4.2. Prevenirea intruziunii; 15
4.2.1. Clasificare; 16
4.2.2. Metodă de detectare; 17
4.3. Plasare IDS; 17
4.4. Limitări; 22
5. Sistem de prevenire a intruziunilor; 24
5.1. De ce ar trebui utilizate sistemele de prevenire a intruziunilor?; 24
5.2. Cum funcționează sistemele de prevenire a intruziunilor?; 24
5.3. Care este diferența dintre IDS și IPS?; 26

6.Bibliografie; 29

3
1.Argument:
În zilele noastre a apărut un concept care va revoluţiona progresul omenirii, având
din punct de vedere istoric însemnătatea pe care a avut-o revoluţia industrială.
Societatea informaţională poate fi găsită la intersecţia dintre ramurile ,altă dată
distincte, ale telecomunicaţiilor si calculatoarelor, grupate in jurul informaţiei
digitale. Privită separat, fiecare dintre aceste ramuri a contribuit în timpul ultimului
secol la o creştere a standardului nostru de viată, lăsând în urmă schimbări sociale
pe scară largă.
Se spune că un calculator este construit dintr-un ansamblu de două componente:
resurse fizice (hardware) şi de programe (software), care asigură prelucrarea
automată a datelor. Cu alte cuvinte este o maşină care uşurează activitatea umană.
Aici intervine factorul uman, omul fiind de fapt o a treia componentă. Cele trei
aspecte, uman, software şi hardware nu sunt independente. Perfecţionarea unuia
dintre aspecte determină şi progresul celorlalte două, chiar dacă nu în acelaşi ritm.
De perfecţionarea componentelor hardware si software se ocupă mulţi oameni cu
experienţă, însă de progresul factorului uman trebuie sa ne ocupăm noi înşine.
Calculatorul ne ajută să dăm viaţă ideilor – captează cuvinte, redă imagini,
controlează alte maşini. El este o extensie a posibilităţilor umane, care ne permite să
ne depăşim limitele. Acest proiect vine în întâmpinarea acestei idei, oferind o
posibilitate de a învăţa şi aprofunda cunoştinţele necesare oricărui tânăr din ziua de
azi.
Modul cum culegi, administrezi şi foloseşti informaţia fac din tine un câştigător sau
un înfrânt în viaţă, aşa subliniază Bill Gates rolul actual al sistemelor de calcul în
viaţa noastră, a tuturor.
Am ales această temă deoarece pentru a vedea/folosi informațiile obținute în urma
prelucrării datelor de către un calculator este nevoie de securizarea rețelelor de
calculatoare prin firewall/IPS și IDS.
Atât reţeaua, cât şi calculatoarele sunt vulnerabile în faţa atacurilor cibernetice. Se
poate asigura suplimentar prin setarea unei parole puternice sau prin sistemul de
autentificare în doi factori, însă doar aceste acţiuni nu sunt suficiente pentru a pune
la adăpost calculatoarele şi fişierele utilizatorului. Nu se poate beneficia de securitate
maximă dacă nu ai instalat un firewall. Complementar programelor de tip anti-virus,
anti-spyware, anti-malware, firewall-ul (paravanul de protecţie) are rolul de a
preveni accesul nedorit la calculator sau reţea.

4
Cu atât de multe puncte de acces prezente într-o rețea de afaceri tipică, este esențial
să aveți o modalitate de a monitoriza semne de încălcări potențiale, incidente și
amenințări iminente. Amenințările de rețea de astăzi devin din ce în ce mai
sofisticate și capabile să se infiltreze chiar și în cele mai robuste soluții de securitate.

Pe lângă apărarea imediată a amenințărilor, firewall-urile îndeplinesc funcții

importante de înregistrare și audit. Păstrează o evidență a evenimentelor, care pot fi
utilizate de administratori pentru a identifica tiparele și a îmbunătăți seturile de
reguli. Regulile ar trebui să fie actualizate periodic pentru a ține pasul cu
amenințările în continuă evoluție ale securității cibernetice. Furnizorii descoperă noi
amenințări și dezvoltă patch-uri pentru a le acoperi cât mai curând posibil.

5
2. Definiție;

Ce inseamna un firewall, mai exact? Un firewall este un dispozitiv de securitate care

monitorizează traficul de rețea care intră și iese și permite sau blochează pachetele
de date pe baza unui set de reguli. Scopul său este de a stabili o barieră între rețeaua
ta internă și traficul de intrare din surse externe (cum ar fi internetul) pentru a bloca
traficul rău intenționat, precum virușii și hackerii. Este, practic, un paravan de
protecţie pentru computerele tale.

Un sistem de detectare a intruziunilor ( IDS ) este un dispozitiv sau o aplicație

software care monitorizează o rețea sau sisteme pentru activități dăunătoare sau
încălcări ale politicilor. Orice activitate de intruziune sau încălcare este de obicei
raportată fie unui administrator, fie colectată central, utilizând un sistem
de gestionare a informațiilor de securitate și a evenimentelor. Un sistem SIEM
combină ieșirile din mai multe surse și utilizează tehnici de filtrare a alarmelor
pentru a distinge activitatea rău intenționată de alarmele false.

Un sistem de prevenire a intruziunilor (IPS) este o tehnologie de securitate a

rețelei / prevenirea amenințărilor care examinează fluxurile de trafic din rețea
pentru a detecta și preveni exploatarea vulnerabilității. Exploatările de
vulnerabilitate apar de obicei sub formă de intrări dăunătoare către o aplicație sau
serviciu țintă pe care atacatorii le utilizează pentru a întrerupe și a obține controlul
unei aplicații sau al unei mașini. După o exploatare reușită, atacatorul poate
dezactiva aplicația țintă (rezultând o stare de refuz de serviciu) sau poate avea
acces la toate drepturile și permisiunile disponibile pentru aplicația compromisă.

6
3.Firewall;

Un firewall este un sistem conceput pentru a preveni accesul neautorizat la sau dintr-
o rețea privată. Puteți implementa un firewall sub formă de hardware sau software,
sau o combinație a ambelor. Firewall-urile împiedică utilizatorii de internet
neautorizați să accese rețelele private conectate la internet, în special
intranetele. Toate mesajele care intră sau ies din intranet (rețeaua locală la care
sunteți conectat) trebuie să treacă prin firewall, care examinează fiecare mesaj și le
blochează pe cele care nu îndeplinesc criteriile de securitate specificate.

Termenul de firewall se referea inițial la un zid destinat să limiteze un incendiu într-

o linie de clădiri adiacente.Utilizările ulterioare se referă la structuri similare, cum
ar fi separă compartimentul al unui vehicul sau de habitaclu. Termenul a fost aplicat
la sfârșitul anilor 1980 tehnologiei de rețea care a apărut când Internetul era destul
de nou în ceea ce privește utilizarea sa globală și conectivitatea. Predecesorii
firewall-urilor pentru securitatea rețelei erau routere utilizate la sfârșitul anilor
1980. Deoarece au separat deja rețelele, routerele ar putea aplica filtrarea pachetelor
care le traversează.
Înainte de a fi folosit în calculele din viața reală, termenul a apărut în filmul
WarGames despre hacking pe computer din 1983 și, probabil, a inspirat utilizarea sa
ulterioară.

3.1. Cum funcționează un firewall?;

Firewall-urile analizează cu atenție traficul de intrare pe baza regulilor prestabilite
și filtrează traficul provenit din surse nesecurizate sau suspecte pentru a preveni
atacurile. Paravanele de protecție protejează traficul la punctul de intrare al unui
computer, numit porturi, care este locul în care informațiile sunt schimbate cu
dispozitive externe. De exemplu, „Adresa sursă 172.18.1.1 este permisă să ajungă la
destinația 172.18.2.1 prin portul 22.”
Gândiți-vă la adresele IP ca la case și la numerele de porturi ca la camere din
casă. Doar persoanele de încredere (adrese sursă) au permisiunea de a intra deloc în
casă (adresa de destinație) - apoi se filtrează în continuare, astfel încât persoanelor
din casă să li se permită să acceseze doar anumite camere (porturile de destinație),
în funcție de proprietar , un copil sau un oaspete.

7
3.2. Rolul unui paravan de protecţie Firewall;
Scopul folosirii unui firewall este de a impiedica atacuri asupra serviciilor tale. Pe
baza unor reguli prestabilite, firewall-ul analizează cu atenție și filtrează traficul
provenind din surse nesecurizate sau suspecte pentru a preveni atacurile. Firewall-ul
protejează traficul la punctul de intrare în computer, numit port, care este locul în
care se schimbă informații cu dispozitivele externe. De exemplu, „Adresa sursă
172.18.1.1 poate sa ajungă la destinația 172.18.2.1 prin portul 22.” Pentru a fi mai
clar, imaginează-ţi adresele IP ca fiind nişte case, iar numerele de port ca fiind
camerele din casă. Doar persoanele de încredere (adrese sursă) au voie să intre în
casă (adresa de destinație). În rest, toate celelalte sunt filtrate suplimentar, astfel
încât persoanele din casă să aibă acces doar la anumite camere (porturi de destinație),
în funcție de rolul pe care îl deţin, dacă sunt proprietari, copii sau un oaspete.
Proprietarului îi este permis să intre în orice cameră (orice port), în timp ce copiii și
oaspeții au permisiunea de a intra doar într-un anumit set de camere (porturi
specifice). Să presupunem că deţii o companie cu 100 de angajaţi şi tot atâtea
computere, care au acces la internet. Fără un firewall, toate cele 100 de computere
vor fi expuse direct dacă cineva ar încerca să testeze vulnerabilitatea reţelei
companiei tale. Odată instalat un firewall, regulile de securitate implementate prin
configurarea acestuia reduc vulnerabilităţile sistemului în ansamblul său. Acesta
este, în esență, scopul folosirii unui firewall.
3.3. Tipuri de firewall-uri;
Firewall-urile pot fi fie software, fie hardware, deși cel mai bine este să aveți
ambele. Un firewall software este un program instalat pe fiecare computer și
reglează traficul prin numere de port și aplicații, în timp ce un firewall fizic este un
echipament instalat între rețea și gateway.
Firewall-urile de filtrare a pachetelor, cel mai comun tip de firewall, examinează
pachetele și le interzic trecerea dacă nu corespund unui set de reguli de securitate
stabilit. Acest tip de firewall verifică adresele IP sursă și destinație ale
pachetului. Dacă pachetele se potrivesc cu cele ale unei reguli „permise” de pe
firewall, atunci este de încredere să intre în rețea.
Firewall-urile de filtrare a pachetelor sunt împărțite în două categorii: stateful și
apatridele. Paravanele de protecție fără stat examinează pachetele independent unul
de celălalt și nu au context, făcându-le ținte ușoare pentru hackeri. În contrast,
firewall-urile de stare își amintesc informațiile despre pachetele trecute anterior și
sunt considerate mult mai sigure.

8
Deși firewall-urile de filtrare a pachetelor pot fi eficiente, ele oferă în cele din urmă
o protecție foarte de bază și pot fi foarte limitate - de exemplu, nu pot stabili dacă
conținutul cererii trimise va afecta negativ aplicația pe care o atinge. Dacă o cerere
rău intenționată care a fost permisă de la o adresă sursă de încredere ar avea ca
rezultat, să zicem, ștergerea unei baze de date, firewall-ul nu ar avea cum să știe
asta. Firewall-urile de generație următoare și firewall-urile proxy sunt mai echipate
pentru a detecta astfel de amenințări.
Firewall-urile de generație următoare (NGFW) combină tehnologia firewall
tradițională cu funcționalități suplimentare, precum inspecția criptată a traficului,
sistemele de prevenire a intruziunilor, antivirus și multe altele. În special, include
inspecția profundă a pachetelor (DPI). În timp ce firewall-urile de bază privesc doar
anteturile pachetelor, inspecția profundă a pachetelor examinează datele din pachetul
în sine, permițând utilizatorilor să identifice, să clasifice sau să oprească mai eficient
pachetele cu date dăunătoare.
Firewall-urile proxy filtrează traficul de rețea la nivelul aplicației. Spre deosebire
de firewall-urile de bază, proxy-ul acționează ca intermediar între două sisteme
finale. Clientul trebuie să trimită o cerere către firewall, unde este apoi evaluată în
raport cu un set de reguli de securitate și apoi permisă sau blocată. În special,
firewall-urile proxy monitorizează traficul pentru protocoalele de nivel 7, cum ar fi
HTTP și FTP, și utilizează atât inspecția de pachete, cât și de stare, pentru a detecta
traficul rău intenționat.
Firewall-urile pentru traducerea adreselor de rețea (NAT) permit mai multor
dispozitive cu adrese de rețea independente să se conecteze la internet utilizând o
singură adresă IP, păstrând ascunse adresele IP individuale. Drept urmare, atacatorii
care scanează o rețea după adrese IP nu pot capta detalii specifice, oferind o
securitate mai mare împotriva atacurilor. Firewall-urile NAT sunt similare cu
firewall-urile proxy, deoarece acționează ca intermediar între un grup de computere
și traficul exterior.
Firewall-urile de inspecție multistrat (SMLI) filtrează pachetele din straturile de
rețea, transport și aplicație, comparându-le cu pachetele de încredere cunoscute. La
fel ca firewall-urile NGFW, SMLI examinează tot pachetul și le permite să treacă
numai dacă trec fiecare strat individual. Aceste firewall examinează pachetele pentru
a determina starea comunicării (deci numele) pentru a se asigura că toate
comunicările inițiate au loc numai cu surse de încredere.

9
3.4. Cum se activează Windows Firewall pe computer?
Windows vine cu firewall preinstalat, care poate fi activat foarte uşor din Control
Panel. Nu eşti sigur dacă Windows Firewall este activat? Urmează paşii de mai jos
pentru a verifica statusul şi a activa paravanul de protecţie.

Pasul 1:

Pasul 2:

10
Pasul 3:

Pasul 4:

3.5 Vulnerabilități;

Firewall-urile mai puțin avansate - filtrarea pachetelor, de exemplu - sunt vulnerabile

la atacuri de nivel superior, deoarece nu utilizează DPI pentru a examina complet
pachetele. NGFW-urile au fost introduse pentru a aborda această vulnerabilitate. Cu
toate acestea, NGFW încă se confruntă cu provocări și sunt vulnerabile la amenințări
în evoluție. Din acest motiv, organizațiile ar trebui să le asocieze cu alte componente
de securitate, cum ar fi sistemele de detectare a intruziunilor și sistemele de prevenire

11
a intruziunilor. Câteva exemple de amenințări moderne la care un firewall poate fi
vulnerabil sunt:

 Atacuri din interior: organizațiile pot utiliza firewall-uri interne deasupra unui
firewall perimetral pentru a segmenta rețeaua și a oferi protecție internă. Dacă se
suspectează un atac, organizațiile pot audita sensibile folosind funcțiile
NGFW. Toate auditurile ar trebui să măsoare până la documentația de bază din
cadrul organizației care prezintă cele mai bune practici pentru utilizarea rețelei
organizației. Câteva exemple de comportament care ar putea indica o amenințare
din interior includ următoarele:
o transmiterea datelor sensibile în text simplu;
o acces la resurse în afara orelor de program;
o eșecul accesului la resurse sensibile de către utilizator;
o acces la resurse de rețea pentru utilizatorii terți;
 Atacuri de negare a serviciului distribuite (DDos): Un atac DDoS este o
încercare rău intenționată de a perturba traficul normal al unei rețele vizate prin
copleșirea țintei sau a infrastructurii înconjurătoare cu o inundație de
trafic. Utilizează mai multe sisteme informatice compromise ca surse de trafic de
atac. Mașinile exploatate pot include computere și alte resurse în rețea, cum ar fi
dispozitive Internet of Things (IoT). Un atac DDoS este ca un blocaj de trafic
care împiedică sosirea traficului obișnuit la destinația dorită. Principala
preocupare în atenuarea unui atac DDoS este diferențierea dintre atac și trafic
normal. De multe ori, traficul în acest tip de atac poate proveni din surse aparent
legitime și necesită verificări încrucișate și audit de la mai multe componente de
securitate.

12
 4. Sistem de detectare a intruziunilor:
Detectarea intruziunilor (ID) este procesul de monitorizare și identificare a
tentativelor de acces sau manipulare neautorizată a sistemului. Un sistem de
identificare colectează și analizează informații din diverse zone din cadrul unui
computer sau al unei rețele pentru a identifica posibile încălcări ale securității, care
includ atât intruziuni (atac din afara organizației), cât și utilizare abuzivă (atac din
interiorul organizației).

Un sistem de detectare a intruziunilor este încă un alt instrument în arsenalul de

securitate al computerului administratorului de rețea. Inspectează toată activitatea
rețelei de intrare și de ieșire. IDS identifică orice tipar suspect care poate indica
un atac asupra sistemului și acționează ca o verificare de securitate a tuturor
tranzacțiilor care au loc în interiorul și în afara sistemului.

4.1. Categoria de detectare a intruziunilor;

Tipurile IDS variază în domeniul de aplicare de la computere individuale la rețele
mari. Cele mai frecvente clasificări sunt sistemele de detectare a intruziunilor în
rețea ( NIDS ) și sistemele de detectare a intruziunilor bazate pe
gazdă ( HIDS ). Un sistem care monitorizează fișierele importante ale sistemului de
operare este un exemplu de HIDS, în timp ce un sistem care analizează traficul rețelei
primite este un exemplu de NIDS. De asemenea, este posibil să se clasifice IDS după
abordarea de detectare. Cele mai cunoscute variante sunt detectarea bazată pe
semnături (recunoașterea tiparelor defecte, cum ar fi malware ) și detectarea bazată
pe anomalii (detectarea abaterilor de la un model de trafic „bun”, care se bazează
adesea pe învățarea automată ). O altă variantă comună este detectarea bazată pe
reputație (recunoașterea potențialei amenințări în funcție de scorurile
reputației). Unele produse IDS au capacitatea de a răspunde la intruziunile
detectate. Sistemele cu capacități de răspuns sunt denumite de obicei un sistem de
prevenire a intruziunilor . Sistemele de detectare a intruziunilor pot servi, de
asemenea, unor scopuri specifice, prin majorarea acestora cu instrumente
personalizate, cum ar fi utilizarea unui honeypot pentru a atrage și caracteriza
traficul rău intenționat.

IDS pot fi clasificate în funcție de locul în care are loc detectarea (rețea sau gazdă )
sau metoda de detectare utilizată (semnătură sau bazată pe anomalii).

13
4.1.1. Activitate analizată
4.1.1.1. Sisteme de detectare a intruziunilor în rețea
Sistemele de detectare a intruziunilor în rețea (NIDS) sunt plasate într-un punct sau
puncte strategice din rețea pentru a monitoriza traficul către și de la toate
dispozitivele din rețea. Realizează o analiză a trecerii traficului pe
întreaga subrețea și se potrivește traficului care este transmis pe subrețele cu
biblioteca de atacuri cunoscute. După identificarea unui atac sau simțirea unui
comportament anormal, alerta poate fi trimisă administratorului. Un exemplu de
NIDS ar fi instalarea acestuia pe subrețeaua în care se află firewall-urile pentru a
vedea dacă cineva încearcă să pătrundă în firewall. În mod ideal, cineva ar scana tot
traficul de intrare și de ieșire, totuși acest lucru ar putea crea un blocaj care ar afecta
viteza generală a rețelei. OPNET și NetSim sunt instrumente utilizate în mod
obișnuit pentru simularea sistemelor de detectare a intruziunilor în rețea. Sistemele
NID sunt, de asemenea, capabile să compare semnăturile pentru pachete similare
pentru a lega și renunța la pachetele detectate dăunătoare care au o semnătură care
se potrivește cu înregistrările din NIDS. Când clasificăm proiectarea NIDS în funcție
de proprietatea de interactivitate a sistemului, există două tipuri: NIDS on-line și off-
line, adesea denumite mod inline și respectiv tap. NIDS online se ocupă de rețea în
timp real. Acesta analizează pachetele Ethernet și aplică unele reguli, pentru a
decide dacă este un atac sau nu. NIDS off-line se ocupă de datele stocate și le trece
prin unele procese pentru a decide dacă este un atac sau nu.
NIDS pot fi, de asemenea, combinate cu alte tehnologii pentru a crește ratele de
detectare și predicție. IDS bazate pe rețeaua neuronală artificială sunt capabile să
analizeze volume imense de date, într-un mod inteligent, datorită structurii de auto-
organizare care permite INS IDS să recunoască mai eficient tiparele de
intruziune. Rețelele neuronale asistă IDS în prezicerea atacurilor învățând din
greșeli; INN IDS ajută la dezvoltarea unui sistem de avertizare timpurie, bazat pe
două straturi. Primul strat acceptă valori unice, în timp ce al doilea strat preia ca
intrare straturile primului; ciclul se repetă și permite sistemului să recunoască
automat noi modele neprevăzute în rețea. Acest sistem poate avea o rată medie de
detectare și clasificare de 99,9%, pe baza rezultatelor cercetării a 24 de atacuri de
rețea, împărțite în patru categorii: DOS, Probe, Remote-to-Local și user-to-root.
4.1.1.2. Sisteme de detectare a intruziunilor gazdă
Sistemele de detectare a intruziunilor de gazdă (HIDS) rulează pe gazde individuale
sau dispozitive din rețea. Un HIDS monitorizează pachetele de intrare și de ieșire
numai de pe dispozitiv și va avertiza utilizatorul sau administratorul dacă este
detectată activitate suspectă. Face un instantaneu al fișierelor de sistem existente și
îl potrivește cu instantaneul anterior. Dacă fișierele critice ale sistemului au fost

14
modificate sau șterse, o alertă este trimisă administratorului pentru investigare. Un
exemplu de utilizare HIDS poate fi văzut pe mașinile cu misiune critică, care nu se
așteaptă să își schimbe configurațiile.
4.1.2.Metoda de detectare
4.1.2.1.Bazat pe semnături
IDS bazate pe semnături se referă la detectarea atacurilor prin căutarea unor tipare
specifice, cum ar fi secvențe de octeți în traficul de rețea sau secvențe de instrucțiuni
rău intenționate cunoscute utilizate de malware. Această terminologie provine
din software-ul antivirus, care se referă la aceste modele detectate ca semnături. Deși
IDS bazate pe semnături pot detecta cu ușurință atacuri cunoscute, este dificil de
detectat atacuri noi, pentru care nu este disponibil niciun model.
4.1.2.2.Bazat pe anomalii
Sistemele de detectare a intruziunilor bazate pe anomalii au fost introduse în primul
rând pentru a detecta atacuri necunoscute, în parte datorită dezvoltării rapide a
malware-ului. Abordarea de bază este de a utiliza învățarea automată pentru a crea
un model de activitate de încredere și apoi a compara un nou comportament cu acest
model. Deoarece aceste modele pot fi instruite în funcție de aplicații și configurații
hardware, metoda bazată pe învățarea automată are o proprietate mai generalizată în
comparație cu IDS-urile tradiționale bazate pe semnături. Deși această abordare
permite detectarea atacurilor necunoscute anterior, poate suferi de falsuri pozitive:
activitatea legitimă necunoscută anterior poate fi de asemenea clasificată ca rău
intenționată. Majoritatea IDS-urilor existente suferă de consumul de timp în timpul
procesului de detectare care degradează performanța IDS-urilor. Algoritmul eficient
de selectare a caracteristicilor face procesul de clasificare utilizat la detectare mai
fiabil.
Noi tipuri de ceea ce s-ar putea numi sisteme de detectare a intruziunilor bazate pe
anomalii sunt privite de Gartner ca User and Entity Behavior Analytics (UEBA)(o
evoluție a categoriei de analiză a comportamentului utilizatorului ) și analiza
traficului de rețea (NTA). În special, NTA se ocupă de informații rău intenționate,
precum și de atacuri externe direcționate care au compromis un computer sau un
cont de utilizator. Gartner a remarcat faptul că unele organizații au optat pentru NTA
față de IDS mai tradiționale.
4.2. Prevenirea intruziunii;
Unele sisteme pot încerca să oprească o încercare de intruziune, dar acest lucru nu
este nici necesar, nici așteptat de la un sistem de monitorizare. Sistemele de detectare
și prevenire a intruziunilor (IDPS) sunt axate în primul rând pe identificarea

15
posibilelor incidente, înregistrarea informațiilor despre acestea și raportarea
încercărilor. În plus, organizațiile folosesc IDPS în alte scopuri, cum ar fi
identificarea problemelor legate de politicile de securitate, documentarea
amenințărilor existente și descurajarea persoanelor de a încălca politicile de
securitate. IDPS au devenit o completare necesară la infrastructura de securitate a
aproape oricărei organizații.
IDPS înregistrează de obicei informații legate de evenimente observate, notifică
administratorii de securitate cu privire la evenimentele observate importante și
produc rapoarte. Mulți IDPS pot răspunde, de asemenea, la o amenințare detectată
încercând să o împiedice să aibă succes. Folosesc mai multe tehnici de răspuns, care
implică IDPS oprirea atacului în sine, schimbarea mediului de securitate (de
exemplu, reconfigurarea unui firewall) sau schimbarea conținutului atacului.
Sistemele de prevenire a intruziunilor ( IPS ), cunoscute și sub denumirea
de sisteme de detectare și prevenire a intruziunilor ( IDPS ), sunt dispozitive
de securitate a rețelei care monitorizează activitățile de rețea sau de sistem pentru
activități dăunătoare. Principalele funcții ale sistemelor de prevenire a intruziunii
sunt identificarea activității rău intenționate, înregistrarea informațiilor despre
această activitate, raportarea acesteia și încercarea de blocare sau oprire.
Sistemele de prevenire a intruziunilor sunt considerate extensii ale sistemelor de
detectare a intruziunilor, deoarece ambele monitorizează traficul de rețea și / sau
activitățile sistemului pentru activități dăunătoare. Principalele diferențe sunt, spre
deosebire de sistemele de detectare a intruziunilor, sistemele de prevenire a
intruziunilor sunt plasate în linie și sunt capabile să prevină sau să blocheze activ
intruziunile care sunt detectate. IPS poate întreprinde acțiuni precum trimiterea unei
alarme, renunțarea la pachetele rău intenționate detectate, resetarea unei conexiuni
sau blocarea traficului de la adresa IP contravenientă. Un IPS poate, de asemenea,
să corecteze erorile de verificare a redundanței ciclice (CRC) , să defragmenteze
fluxurile de pachete, să atenueze problemele de secvențiere TCP și să curețe
nedoriteopțiuni de transport și strat de rețea.
4.2.1. Clasificare:
Sistemele de prevenire a intruziunilor pot fi clasificate în patru tipuri diferite:

1. Sistem de prevenire a intruziunilor bazat pe rețea (NIPS) : monitorizează

întreaga rețea pentru trafic suspect prin analiza activității protocolului;
2. Sistem de prevenire a intruziunilor fără fir (WIPS) : monitorizează o rețea
fără fir pentru trafic suspect prin analiza protocoalelor de rețea fără fir;
3. Analiza comportamentului în rețea (NBA) : examinează traficul de rețea
pentru a identifica amenințările care generează fluxuri neobișnuite de trafic,
16
 cum ar fi atacurile de refuzare a serviciului distribuite (DDoS), anumite forme
de malware și încălcări ale politicilor;
4. Sistem de prevenire a intruziunilor bazat pe gazdă (HIPS) : un pachet
software instalat care monitorizează o singură gazdă pentru activități suspecte
prin analizarea evenimentelor care se produc în cadrul acelei gazdei;
4.2.2. Metode de detectare:
Majoritatea sistemelor de prevenire a intruziunilor utilizează una dintre cele trei
metode de detectare: bazate pe semnături, bazate pe anomalii statistice și analiză
protocolară de stare.

1. Detecție bazată pe semnături: IDS bazat pe semnături monitorizează

pachetele din rețea și se compară cu modelele de atac preconfigurate și
predeterminate cunoscute sub numele de semnături.
2. Detecție statistică bazată pe anomalii : un IDS bazat pe anomalii va
monitoriza traficul de rețea și îl va compara cu o linie de bază stabilită. Linia
de bază va identifica ceea ce este „normal” pentru acea rețea - ce fel de lățime
de bandă este utilizată în general și ce protocoale sunt utilizate. Cu toate
acestea, poate declanșa o alarmă fals pozitivă pentru utilizarea legitimă a
lățimii de bandă dacă liniile de bază nu sunt configurate inteligent.
3. Detectarea analizei protocolului de stat : Această metodă identifică
abaterile stărilor protocolului prin compararea evenimentelor observate cu
„profilurile predeterminate ale definițiilor general acceptate ale activității
benigne”.
Amplasarea sistemelor de detectare a intruziunilor este critică și variază în
funcție de rețea. Cea mai obișnuită plasare fiind în spatele firewall-ului de la
marginea unei rețele. Această practică oferă IDS-ului o vizibilitate ridicată a
traficului care intră în rețeaua dvs. și nu va primi trafic între utilizatorii din
rețea. Marginea rețelei este punctul în care o rețea se conectează la extranet. O
altă practică care poate fi realizată dacă sunt disponibile mai multe resurse
este o strategie în care un tehnician va plasa primul IDS în punctul de
vizibilitate maximă și, în funcție de disponibilitatea resurselor, va pune un
altul în următorul punct cel mai înalt, continuând procesul până la toate
punctele rețeaua sunt acoperite.

4.3. Plasare IDS

Amplasarea sistemelor de detectare a intruziunilor este critică și variază în funcție
de rețea. Cea mai obișnuită plasare fiind în spatele firewall-ului de la marginea unei
rețele. Această practică oferă IDS-ului o vizibilitate ridicată a traficului care intră în
17
rețeaua dvs. și nu va primi trafic între utilizatorii din rețea. Marginea rețelei este
punctul în care o rețea se conectează la extranet. O altă practică care poate fi realizată
dacă sunt disponibile mai multe resurse este o strategie în care un tehnician va plasa
primul IDS în punctul de vizibilitate maximă și, în funcție de disponibilitatea
resurselor, va pune un altul în următorul punct cel mai înalt, continuând procesul
până la toate punctele rețeaua sunt acoperite.
Dacă un IDS este plasat dincolo de firewall-ul unei rețele, scopul său principal ar fi
apărarea împotriva zgomotului de pe internet, dar, mai important, apărarea împotriva
atacurilor obișnuite, cum ar fi scanarea porturilor și maparea rețelei. Un IDS în
această poziție ar monitoriza straturile 4 până la 7 ale modelului OSI și ar fi bazat pe
semnături. Aceasta este o practică foarte utilă, deoarece mai degrabă decât să arate
încălcări reale în rețea care au făcut-o prin firewall, vor fi afișate încercări de
încălcare care reduc cantitatea de fals pozitive. IDS în această poziție ajută, de
asemenea, la scăderea timpului necesar pentru a descoperi atacuri de succes
împotriva unei rețele.
Uneori, un IDS cu caracteristici mai avansate va fi integrat cu un firewall pentru a
putea intercepta atacuri sofisticate care intră în rețea. Exemple de caracteristici
avansate ar include contexte de securitate multiple în nivelul de rutare și modul de
conectare. La rândul lor, toate acestea pot reduce costurile și complexitatea
operațională.
O altă opțiune pentru plasarea IDS se află în rețeaua reală. Acestea vor dezvălui
atacuri sau activități suspecte în cadrul rețelei. Ignorarea securității într-o rețea poate
provoca multe probleme, fie va permite utilizatorilor să prezinte riscuri de securitate,
fie va permite unui atacator care a intrat deja în rețea să circule liber. Securitatea
intensă a intranetului face dificilă chiar și acelor hackeri din rețea să manevreze și
să-și intensifice privilegiile.

Zgomotul poate limita sever eficacitatea unui sistem de detectare a

intruziunilor. Pachetele greșite generate de erori software , date DNS corupte și
pachete locale care au scăpat pot crea o rată de alarmă falsă semnificativ ridicată.

Nu este neobișnuit ca numărul de atacuri reale să fie cu mult sub numărul de alarme
false. Numărul de atacuri reale este adesea atât de mic sub numărul de alarme false,
încât atacurile reale sunt adesea ratate și ignorate.

Multe atacuri sunt concepute pentru versiuni specifice de software care sunt de
obicei depășite. Este necesară o bibliotecă de semnături în continuă schimbare
pentru a atenua amenințările. Bazele de date cu semnături învechite pot lăsa IDS
vulnerabil la strategii mai noi.

18
 Pentru IDS bazate pe semnături, va exista decalaj între o nouă descoperire a
amenințării și semnătura acesteia aplicată IDS. În acest timp de întârziere, IDS
nu va putea identifica amenințarea.

Nu poate compensa mecanismele de identificare și autentificare slabe sau

deficiențele din protocoalele de rețea. Atunci când un atacator câștigă acces din
cauza mecanismelor de autentificare slabe, atunci IDS nu poate preveni
adversarul de orice practică greșită.

Pachetele criptate nu sunt procesate de majoritatea dispozitivelor de detectare a

intruziunilor. Prin urmare, pachetul criptat poate permite o intruziune în rețea
care este nedescoperită până când au avut loc intrări mai semnificative în rețea.

Software-ul de detectare a intruziunilor oferă informații bazate pe adresa de

rețea care este asociată cu pachetul IP care este trimis în rețea. Acest lucru este
benefic dacă adresa de rețea conținută în pachetul IP este corectă. Cu toate
acestea, adresa conținută în pachetul IP ar putea fi falsificată sau amestecată.

Datorită naturii sistemelor NIDS și a nevoii acestora de a analiza protocoalele pe

măsură ce sunt capturate, sistemele NIDS pot fi susceptibile la aceleași atacuri
bazate pe protocol la care gazdele de rețea pot fi vulnerabile. Datele nevalide
și atacurile stivei TCP / IP pot cauza blocarea unui NIDS.

Măsurile de securitate în cloud computing nu iau în considerare variația nevoilor

de confidențialitate ale utilizatorului.Oferă același mecanism de securitate pentru
toți utilizatorii, indiferent dacă utilizatorii sunt companii sau o persoană
individuală.
Există o serie de tehnici pe care atacatorii le folosesc, următoarele sunt considerate
măsuri „simple” care pot fi luate pentru a se sustrage IDS:

Fragmentare: prin trimiterea de pachete fragmentate, atacatorul va fi sub radar și

poate ocoli cu ușurință capacitatea sistemului de detectare de a detecta semnătura
atacului.

Evitarea valorilor implicite: Portul TCP utilizat de un protocol nu oferă

întotdeauna o indicație a protocolului care este transportat. De exemplu, un IDS
se poate aștepta să detecteze un troian pe portul 12345. Dacă un atacator l-a
reconfigurat pentru a utiliza un alt port, este posibil ca IDS să nu poată detecta
prezența troianului.

19
 Atacuri coordonate, cu lățime de bandă redusă: coordonarea unei scanări între
numeroși atacatori (sau agenți) și alocarea diferitelor porturi sau gazde la
atacatori diferiți face dificilă identificarea IDS a pachetelor capturate și
deducerea că o scanare în rețea este în desfășurare.

Spoofing / proxy de adresă : atacatorii pot crește dificultatea abilității

administratorilor de securitate de a determina sursa atacului utilizând servere
proxy slab securizate sau configurate incorect pentru a respinge un atac. Dacă
sursa este falsificată și respinsă de un server, este foarte dificil pentru IDS să
detecteze originea atacului.

Evaziunea schimbării tiparului: IDS se bazează, în general, pe „potrivirea

tiparului” pentru a detecta un atac. Prin schimbarea ușoară a datelor utilizate în
atac, poate fi posibilă evitarea detectării. De exemplu, un server IMAP ( Internet
Message Access Protocol ) poate fi vulnerabil la o depășire a bufferului, iar un
IDS este capabil să detecteze semnătura de atac a 10 instrumente de atac
comune. Modificând încărcătura utilă trimisă de instrument, astfel încât să nu
semene cu datele pe care IDS le așteaptă, poate fi posibilă evitarea detectării.
Primul concept preliminar IDS a fost delimitat în 1980 de James Anderson
la Agenția Națională de Securitate și consta dintr-un set de instrumente destinate să
ajute administratorii să revizuiască urmele de audit. Jurnalele de acces ale
utilizatorilor, jurnalele de acces la fișiere și jurnalele de evenimente ale sistemului
sunt exemple de piste de audit.
Fred Cohen a remarcat în 1987 că este imposibil să se detecteze o intruziune în
fiecare az și că resursele necesare pentru a detecta intruziunile cresc odată cu
cantitatea de utilizare.
Dorothy E. Denning , asistată de Peter G. Neumann , a publicat în 1986 un model de
IDS care a stat la baza multor sisteme de astăzi. Modelul său a folosit statistici
pentru detectarea anomaliilor și a avut ca rezultat un IDS timpuriu la SRI
International numit Intrusion Detection Expert System (IDES), care funcționa
pe stațiile de lucru Sun și putea lua în considerare atât datele utilizatorului, cât și
datele de rețea. IDES a avut o abordare duală cu un sistem expert bazat pe
regulipentru a detecta tipuri cunoscute de intruziuni plus o componentă statistică de
detectare a anomaliilor bazate pe profiluri de utilizatori, sisteme gazdă și sisteme
țintă. Autorul cărții „IDES: Un sistem inteligent pentru detectarea intrușilor”, Teresa
F. Lunt, a propus adăugarea unei rețele neuronale artificiale ca a treia
componentă. Ea a spus că toate cele trei componente ar putea raporta apoi unui
rezolvator. SRI a urmat IDES în 1993 cu Sistemul Expert de Detectare a
Intruziunilor de generație următoare (NIDES).

20
Sistemul Multics de detectare și alertare a intruziunilor (MIDAS), un sistem expert
care utilizează P-BEST și Lisp , a fost dezvoltat în 1988 pe baza lucrărilor lui
Denning și Neumann. Haystack a fost, de asemenea, dezvoltat în acel an folosind
statistici pentru a reduce urmele de audit.
În 1986, Agenția Națională de Securitate a început un program de transfer de
cercetare IDS sub Rebecca Bace . Bace a publicat ulterior textul seminal pe această
temă, Intrusion Detection , în 2000.
Înțelepciunea și simțul (W&S) a fost un detector de anomalii bazat pe statistici
dezvoltat în 1989 la Laboratorul Național Los Alamos . W&S a creat reguli bazate
pe analize statistice, apoi a folosit acele reguli pentru detectarea anomaliilor.
În 1990, Mașina inductivă bazată pe timp (TIM) a făcut detectarea anomaliilor
utilizând învățarea inductivă a tiparelor de utilizator secvențiale în Common Lisp pe
un computer VAX 3500, Monitorul de securitate a rețelei (NSM) a efectuat mascare
pe matricile de acces pentru detectarea anomaliilor pe o stație de lucru Sun-3/50.
Asistentul ofițerului de securitate a informațiilor (ISOA) a fost un prototip din 1990
care a luat în considerare o varietate de strategii, inclusiv statistici, un verificator de
profil și un sistem expert. ComputerWatch de la AT&T Bell Labs a folosit statistici
și reguli pentru reducerea datelor de audit și detectarea intruziunilor.
Apoi, în 1991, cercetătorii de la Universitatea din California, Davis au creat un
prototip Distributed Intrusion Detection System (DIDS), care era și un sistem expert.
Network Anomaly Detection and Intrusion Reporter (NADIR), tot în 1991, a fost un
prototip IDS dezvoltat la Rețeaua Integrată de Calcul (ICN) a Laboratorului Național
Los Alamos și a fost puternic influențat de activitatea lui Denning și
Lunt. [47] NADIR a folosit un detector de anomalii bazat pe statistici și un sistem
expert.
Lawrence Berkeley National Laboratory a anunțat Bro în 1998, care a folosit propria
sa limbă regulă pentru analiza de pachete de la libpcap de date. Network Flight
Recorder (NFR) în 1999 a folosit și libpcap.
APE a fost dezvoltat ca un sniffer de pachete, folosind și libpcap, în noiembrie 1998
și a fost redenumit Snort o lună mai târziu. Snort a devenit de atunci cel mai mare
sistem IDS / IPS folosit din lume, cu peste 300.000 de utilizatori activi. Poate
monitoriza atât sistemele locale, cât și punctele de captare la distanță
folosind protocolul TZSP .
IDS-urile de analiză și exploatare a datelor de audit (ADAM) din 2001 au
folosit tcpdump pentru a construi profiluri de reguli pentru clasificări. În
2003, Yongguang Zhang și Wenke Lee susțin importanța IDS în rețelele cu noduri
mobile.

21
În 2015, Viegas și colegii săi propus un motor de detectare a intruziunilor bazat pe
anomalii, care vizează System-on-Chip (SoC) pentru aplicații în Internet of Things
(IoT), de exemplu. Propunerea aplică învățarea automată pentru detectarea
anomaliilor, oferind eficiență energetică implementării clasificatorilor Tree Tree,
Naive-Bayes și k-Near Neighbors într-un procesor Atom și implementării sale
prietenoase hardware într-un FPGA. În literatura de specialitate, aceasta a fost prima
lucrare care implementează fiecare clasificator în mod echivalent în software și
hardware și măsoară consumul său de energie pe ambele. În plus, a fost prima dată
când s-a măsurat consumul de energie pentru extragerea fiecărei caracteristici
utilizate pentru a face clasificarea pachetelor de rețea, implementată în software și
hardware.
4.4.Limitări:

Zgomotul poate limita sever eficacitatea unui sistem de detectare a intruziunilor.

Pachetele greșite generate de erori software , date DNS corupte și pachete locale care
au scăpat pot crea o rată de alarmă falsă semnificativ ridicată.

Nu este neobișnuit ca numărul de atacuri reale să fie cu mult sub numărul de alarme
false . Numărul de atacuri reale este adesea atât de mic sub numărul de alarme false,
încât atacurile reale sunt adesea ratate și ignorate.

Multe atacuri sunt concepute pentru versiuni specifice de software care sunt de
obicei depășite. Este necesară o bibliotecă de semnături în continuă schimbare pentru
a atenua amenințările. Bazele de date cu semnături învechite pot lăsa IDS vulnerabil
la strategii mai noi.

Pentru IDS bazate pe semnături, va exista decalaj între o nouă descoperire a

amenințării și semnătura acesteia aplicată IDS. În acest timp de întârziere, IDS nu
va putea identifica amenințarea.

Nu poate compensa mecanismele de identificare și autentificare slabe sau

deficiențele din protocoalele de rețea . Atunci când un atacator câștigă acces din
cauza mecanismelor de autentificare slabe, atunci IDS nu poate preveni adversarul
de orice practică greșită.

Pachetele criptate nu sunt procesate de majoritatea dispozitivelor de detectare a

intruziunilor. Prin urmare, pachetul criptat poate permite o intruziune în rețea care
este nedescoperită până când au avut loc intrări mai semnificative în rețea.

22
Software-ul de detectare a intruziunilor oferă informații bazate pe adresa de rețea
care este asociată cu pachetul IP care este trimis în rețea. Acest lucru este benefic
dacă adresa de rețea conținută în pachetul IP este corectă. Cu toate acestea, adresa
conținută în pachetul IP ar putea fi falsificată sau amestecată.

Datorită naturii sistemelor NIDS și a necesității acestora de a analiza protocoalele

pe măsură ce sunt capturate, sistemele NIDS pot fi susceptibile la aceleași atacuri
bazate pe protocol la care gazdele de rețea pot fi vulnerabile. Datele nevalide și
atacurile stivei TCP / IP pot cauza blocarea unui NIDS.

Măsurile de securitate în cloud computing nu iau în considerare variația nevoilor de

confidențialitate ale utilizatorului. Oferă același mecanism de securitate pentru toți
utilizatorii, indiferent dacă utilizatorii sunt companii sau o persoană individuală.

23
5.Sistem de prevenire a intruziunilor:
Un sistem de prevenire a intruziunilor (IPS) este o formă de securitate a rețelei care
funcționează pentru a detecta și preveni amenințările identificate. Sistemele de
prevenire a intruziunilor vă monitorizează continuu rețeaua, căutând eventuale
incidente periculoase și captând informații despre acestea. IPS raportează aceste
evenimente administratorilor de sistem și ia măsuri preventive, cum ar fi închiderea
punctelor de acces și configurarea firewall-urilor pentru a preveni atacurile
viitoare. Soluțiile IPS pot fi, de asemenea, utilizate pentru a identifica problemele
legate de politicile de securitate corporative, descurajând angajații și oaspeții rețelei
să încalce regulile pe care le conțin aceste politici.
Cu atât de multe puncte de acces prezente într-o rețea de afaceri tipică, este esențial
să aveți o modalitate de a monitoriza semne de potențiale încălcări, incidente și
amenințări iminente. Amenințările de rețea de astăzi devin din ce în ce mai
sofisticate și capabile să se infiltreze chiar și în cele mai robuste soluții de securitate.
5.1. De ce ar trebui utilizate sistemele de prevenire a intruziunilor?
Tehnologiile IPS pot detecta sau preveni atacurile de securitate a rețelei, cum ar fi
atacurile cu forță brută, atacurile Denial of Service (DoS) și exploatările de
vulnerabilitate. O vulnerabilitate este o slăbiciune a unui sistem software și un
exploit este un atac care valorifică această vulnerabilitate pentru a obține controlul
unui sistem. Când este anunțat un exploit, există adesea o fereastră de oportunitate
pentru atacatori de a exploata această vulnerabilitate înainte de aplicarea patch-ului
de securitate. Un sistem de prevenire a intruziunilor poate fi utilizat în aceste cazuri
pentru a bloca rapid aceste atacuri. Deoarece tehnologiile IPS urmăresc fluxurile de
pachete, acestea pot fi, de asemenea, utilizate pentru a impune utilizarea
protocoalelor securizate și a refuza utilizarea protocoalelor nesigure, cum ar fi
versiunile anterioare de SSL sau protocoalele care utilizează cifrări slabe.
5.2. Cum funcționează sistemele de prevenire a intruziunilor?
Un IPS este de obicei implementat „în linie” acolo unde se află pe calea de
comunicație directă între sursă și destinație, unde poate analiza „în timp real” tot
fluxul de trafic de rețea de-a lungul acelei căi și poate lua măsuri preventive
automatizate. Un IPS poate fi implementat ca cel mai bun tip de rasă, IPS
independent sau aceeași capacitate poate fi activată în funcția IPS consolidată într-
un firewall de generație următoare (NGFW). Un IPS folosește semnături care pot fi
atât vulnerabilitate, fie exploatare specifice pentru a identifica traficul rău

24
 intenționat. De obicei, acestea sunt fie detectare bazată pe semnături, fie detectare
statistică bazată pe anomalii pentru identificarea activității rău intenționate.

1. Detectarea bazată pe semnături utilizează semnături identificabile unic, care se află

în codul de exploatare. Atunci când exploatările sunt descoperite, semnăturile lor
intră într-o bază de date din ce în ce mai extinsă. Detectarea bazată pe semnături
pentru IPS implică fie semnături orientate spre exploatare, care identifică
exploatările individuale, fie semnături orientate spre vulnerabilitate, care identifică
vulnerabilitatea din sistemul vizat de atac. Semnăturile cu vulnerabilitate sunt
importante pentru identificarea potențialelor variante de exploatare care nu au fost
observate anterior, dar cresc, de asemenea, riscul rezultatelor fals pozitive (pachete
benigne etichetate greșit ca amenințări).
2. Detecția bazată pe anomalii statistice eșantionează aleatoriu traficul de rețea și apoi
compară eșantioanele cu nivelurile de bază ale nivelului de performanță. Când
eșantioanele sunt identificate ca fiind în afara liniei de bază, IPS declanșează o
acțiune pentru a preveni un potențial atac.

Odată ce IPS identifică traficul rău intenționat care poate fi exploatabil în rețea,
acesta implementează ceea ce este cunoscut sub numele de patch virtual pentru
protecție. Patch-ul virtual, acționează ca o măsură de siguranță împotriva
amenințărilor care exploatează vulnerabilitățile cunoscute și necunoscute. Patch-ul
virtual funcționează prin implementarea straturilor de politici și reguli de securitate
care împiedică și interceptează un exploit să ia căi de rețea către și de la o
vulnerabilitate, oferind astfel acoperire împotriva vulnerabilității respective la
nivelul rețelei, mai degrabă decât la nivelul gazdei.
Sistemele de prevenire a intruziunilor funcționează prin scanarea întregului trafic de
rețea. Există o serie de amenințări diferite pe care un IPS este conceput să le prevină.
IPS efectuează inspecția în timp real a pachetelor, inspectând profund fiecare pachet
care călătorește prin rețea. Dacă sunt detectate pachete rău intenționate sau suspecte,
IPS va efectua una dintre următoarele acțiuni:
 Încheiați sesiunea TCP care a fost exploatată și blocați adresa IP sursă care a ofensat
sau contul de utilizator să acceseze orice aplicație, gazdă țintă sau alte resurse de
rețea fără etică.
 Reprogramați sau reconfigurați paravanul de protecție pentru a preveni un atac
similar care să apară în viitor.

25
 Eliminați sau înlocuiți orice conținut rău intenționat care rămâne în rețea în urma
unui atac. Acest lucru se face prin reambalarea încărcăturilor utile, eliminarea
informațiilor antetului și eliminarea oricăror atașamente infectate de pe serverele de
fișiere sau e-mail.
5.3. Care este diferența dintre IDS și IPS?
Implementările timpurii ale tehnologiei au fost implementate în modul detectare pe
dispozitivele de securitate dedicate. Pe măsură ce tehnologia s-a maturizat și s-a
mutat în dispozitivele integrate de generație următoare Firewall sau UTM, acțiunea
implicită este setată pentru a preveni traficul rău intenționat.
În unele cazuri, decizia de a detecta și accepta sau preveni traficul se bazează pe
încrederea în protecția IPS specifică. Atunci când există o încredere mai mică într-o
protecție IPS, atunci există o probabilitate mai mare de fals pozitiv. Un fals pozitiv
este atunci când IDS identifică o activitate ca un atac, dar activitatea este un
comportament acceptabil. Din acest motiv, multe tehnologii IPS au, de asemenea,
capacitatea de a captura secvențe de pachete din evenimentul de atac. Acestea pot fi
apoi analizate pentru a determina dacă a existat o amenințare reală și pentru a
îmbunătăți în continuare protecția IPS.
IPS a fost evoluția sistemului de detectare a intruziunilor (IDS). Tehnologia IDS
folosește același concept de identificare a traficului și unele dintre tehnicile similare,
cu diferența majoră fiind că IPS sunt implementate „în linie” și IDS sunt
implementate „off-line” sau la robinet unde încă inspectează o copie a întregului
trafic sau flux, dar nu poate lua nicio măsură preventivă. IDS sunt implementate doar
pentru a monitoriza și a oferi analize și vizibilitate asupra amenințărilor din rețea.

În timp ce sistemele IDS monitorizează rețeaua și trimit alerte administratorilor de

rețea despre potențiale amenințări, sistemele IPS iau măsuri mai substanțiale pentru
a controla accesul la rețea, a monitoriza datele de intruziune și a preveni apariția
atacurilor.

Câteva exemple de programe firewall:

Primul firewall este cel de la Windows.Este o alegere comună pentru ca nu

necesită instalare, ci doar o simplă activare.Este un firewall foarte apreciat prin
simplul fapt că nu supără userii cu zeci de ferestre pop-up.Un user obișnuit poate
nu ar suporta numărul mare de ferestre pop-up de la un program firewall avansat
așa că cel de la Windows ar fi o alegere numai bună.

26
Poți înlocui firewall-ul de la windows(doar dezactivat) cu unul din programele
terță cunoscute care oferă un control avansat și nu sunt „iubitoare” de pop-
upuri.Majoritatea programelor îți vor arăta o fereastră ce va conține 2
butoane:Deny și Allow.Această fereastră va apărea de obicei când o aplicație va
dori să se conecteze într-un anumit mod la internet.Totuși, multe dintre aplicațiile
cunoscute(Skype, Ym) nu vor fi luate ca o amenințare, iar cele care au fost luate nu
vor mai fi după ce ai setat Allow de exemplu.

1.Zone Alarm Free Firewall

2.Comodo firewall

27
3.Online Armor free

4.Outpost Firewall Free

28
6.Biblografie:

https://www.fortinet.com/resources/cyberglossary/what-is-an-ips
https://en.wikipedia.org/wiki/Security_information_and_event_management
https://en.wikipedia.org/wiki/Intrusion_detection_system
https://www.checkpoint.com/cyber-hub/network-security/what-is-ips/
https://searchsecurity.techtarget.com/definition/firewall
https://www.forcepoint.com/cyber-edu/intrusion-prevention-system-ips
https://www.checkpoint.com/cyber-hub/network-security/what-is-an-intrusion-
detection-system-ids/
https://www.checkpoint.com/cyber-hub/network-security/what-is-firewall/
https://searchsecurity.techtarget.com/definition/firewall
https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-
system-ips
https://resources.infosecinstitute.com/topic/network-design-firewall-idsips/
https://en.wikipedia.org/wiki/Firewall_(computing)
https://kb.iu.edu/d/aoru
https://code-it.ro/cele-mai-bune-programe-firewall/

29