Hệ thống phòng chống xâm nhập (IPS) là gì?

Hệ thống phòng chống xâm nhập (Intrusion prevention system, viết tắt là IPS) là một số biện pháp an ninh mạng quan trọng nhất mà mạng có thể có. IPS được biết đến như một hệ thống kiểm soát, vì nó không chỉ phát hiện các mối đe dọa tiềm ẩn đối với hệ thống mạng và cơ sở hạ tầng của nó, mà còn tìm cách chủ động chặn bất kỳ kết nối nào có thể là mối đe dọa. Điều này khác với các biện pháp bảo vệ thụ động như hệ thống phát hiện xâm nhập.

Công nghệ IPS là gì?

Hệ thống phòng chống xâm nhập liên tục giám sát lưu lượng mạng, đặc biệt là ở các gói riêng lẻ, để tìm kiếm bất kỳ cuộc tấn công nguy hiểm nào có thể xảy ra. Nó thu thập thông tin về các gói tin này và báo cáo cho quản trị viên hệ thống, nhưng nó cũng thực hiện những động thái phòng ngừa của riêng mình. Nếu phát hiện phần mềm độc hại tiềm ẩn hoặc loại tấn công khác, IPS sẽ chặn các gói đó truy cập vào mạng.

IPS cũng có thể thực hiện các bước khác, chẳng hạn như đóng những lỗ hổng bảo mật của hệ thống có thể bị khai thác liên tục. IPS có thể đóng các điểm truy cập vào mạng, cũng như cấu hình tường lửa thứ cấp để phát hiện những loại tấn công này trong tương lai, bổ sung thêm các lớp bảo mật cho hệ thống phòng thủ của mạng.

IPS có thể ngăn chặn những loại tấn công nào?

Các hệ thống phòng chống xâm nhập có thể tìm kiếm và bảo vệ chống lại nhiều loại tấn công nguy hiểm tiềm ẩn. Chúng có khả năng phát hiện và chặn các cuộc tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), bộ công cụ exploit, worm, virus máy tính và những loại phần mềm độc hại khác.

IPS sẽ làm gì nếu nó phát hiện ra một cuộc tấn công?

Một hệ thống ngăn chặn xâm nhập có thể phát hiện nhiều cuộc tấn công khác nhau bằng cách phân tích các gói và tìm kiếm những chữ ký phần mềm độc hại cụ thể, mặc dù nó cũng có thể tận dụng khả năng theo dõi hành vi để tìm kiếm hoạt động bất thường trên mạng, cũng như giám sát bất kỳ giao thức và chính sách bảo mật cấp quản trị nào, cũng như liệu chúng có bị vi phạm hay không.

Nếu bất kỳ phương pháp nào trong số này phát hiện ra một cuộc tấn công tiềm ẩn, IPS có thể ngay lập tức chấm dứt kết nối đến. Địa chỉ IP vi phạm sau đó có thể bị chặn nếu IPS được cấu hình để làm như vậy hoặc người dùng liên kết với nó bị cấm truy cập lại vào mạng và bất kỳ tài nguyên nào được kết nối.

IPS cũng có thể thay đổi cài đặt tường lửa cục bộ để phát hiện lại các cuộc tấn công như vậy và thậm chí có thể loại bỏ mọi tàn tích của cuộc tấn công bằng cách loại bỏ những header bị ảnh hưởng bởi phần mềm độc hại, file đính kèm bị nhiễm virus, cũng như những liên kết độc hại khỏi file và email server.

IDS và IPS có gì khác nhau?

Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) đều có thể liên quan đến bảo mật, nhưng chúng có các mục tiêu và phương tiện hoàn toàn khác nhau.

Có nhiều loại IDS cũng như IPS và tất cả chúng đều hoạt động hơi khác nhau một chút. Đối với IDS, có các hệ thống phát hiện xâm nhập mạng (NIDS), đặt tại các điểm chiến lược trong mạng để phát hiện những cuộc tấn công tiềm ẩn khi chúng đang diễn ra trong mạng. HIDS hay hệ thống phát hiện xâm nhập máy chủ chạy trên các hệ thống và thiết bị riêng lẻ, chỉ giám sát hoạt động trên mạng đi và đến hệ thống cụ thể đó.

Trong cả hai trường hợp, IDS phát hiện ra một cuộc tấn công tiềm ẩn sẽ thông báo cho quản trị viên hệ thống.

Hệ thống IPS sẽ đóng một vai trò tương tự như IDS - và có thể được sử dụng kết hợp để giám sát mạng tốt hơn - nhưng sẽ đóng vai trò tích cực hơn trong việc bảo vệ mạng. IPS cũng sẽ thông báo cho quản trị viên nếu phát hiện các cuộc tấn công, nhưng chúng cũng sẽ thực hiện những hành động trừng phạt đối với bất kỳ hệ thống, tài khoản cá nhân hoặc lỗ hổng tường lửa nào để đảm bảo rằng cuộc tấn công đã bị chặn và mọi file liên quan bị xóa khỏi mạng.

Như tên gọi cho thấy, các hệ thống phát hiện xâm nhập được thiết kế để cho bạn biết liệu có khả năng và khi nào một cuộc tấn công xảy ra, để bạn có thể xử lý vấn đề theo cách thủ công. Hệ thống ngăn chặn xâm nhập được thiết kế để chủ động bảo vệ hệ thống của bạn khỏi các cuộc tấn công và ngăn chặn những cuộc tấn công trong tương lai thông qua việc điều chỉnh các thông số mạng.