मेजबान आधारित घुसपैठ रोकथाम

by टोनी ब्रैडली, सीआईएसएसपी-आईएसएसएपी

रक्षा की इस अंतिम पंक्ति में देखने के लिए चीजें

स्तरित सुरक्षा कंप्यूटर और नेटवर्क सुरक्षा का एक व्यापक रूप से स्वीकार्य सिद्धांत है (गहराई सुरक्षा में देखें)। बुनियादी आधार यह है कि विभिन्न प्रकार के हमलों और खतरों के खिलाफ रक्षा के लिए रक्षा की कई परतें होती हैं। न केवल एक उत्पाद या तकनीक हर संभव खतरे के खिलाफ सुरक्षा नहीं कर सकती है, इसलिए अलग-अलग खतरों के लिए अलग-अलग उत्पादों की आवश्यकता होती है, लेकिन रक्षा की कई पंक्तियां होने से उम्मीद है कि एक उत्पाद को उन चीजों को पकड़ने की अनुमति मिल जाएगी जो बाहरी सुरक्षा से पहले फिसल गए हों।

विभिन्न परतों के लिए आप कई अनुप्रयोगों और उपकरणों का उपयोग कर सकते हैं- एंटीवायरस सॉफ़्टवेयर, फ़ायरवॉल, आईडीएस (घुसपैठ का पता लगाने सिस्टम) और भी बहुत कुछ। प्रत्येक के पास थोड़ा अलग कार्य होता है और विभिन्न तरीकों से हमलों के एक अलग सेट से बचाता है।

नई प्रौद्योगिकियों में से एक आईपीएस- घुसपैठ रोकथाम प्रणाली है। एक आईपीएस कुछ फ़ायरवॉल के साथ एक आईडीएस संयोजन की तरह है। एक सामान्य आईडीएस आपको संदिग्ध यातायात के लिए लॉग या अलर्ट करेगा, लेकिन प्रतिक्रिया आपको छोड़ दी गई है। एक आईपीएस में नीतियां और नियम होते हैं जो यह नेटवर्क यातायात की तुलना करता है। यदि कोई ट्रैफ़िक नीतियों और नियमों का उल्लंघन करता है तो आईपीएस को केवल आपको सतर्क करने के बजाय प्रतिक्रिया देने के लिए कॉन्फ़िगर किया जा सकता है। विशिष्ट प्रतिक्रियाएं स्रोत आईपी पते से सभी ट्रैफ़िक को अवरुद्ध करने या उस पोर्ट पर आने वाले ट्रैफ़िक को कंप्यूटर या नेटवर्क की सक्रिय रूप से सुरक्षित करने के लिए अवरुद्ध कर सकती हैं।

नेटवर्क-आधारित घुसपैठ रोकथाम प्रणाली (एनआईपीएस) हैं और मेजबान-आधारित घुसपैठ रोकथाम प्रणाली (एचआईपीएस) हैं। हालांकि एचआईपीएस को लागू करने के लिए यह अधिक महंगा हो सकता है- खासकर बड़े, एंटरप्राइज़ पर्यावरण में, जहां भी संभव हो, मैं होस्ट-आधारित सुरक्षा की सलाह देता हूं। व्यक्तिगत वर्कस्टेशन स्तर पर घुसपैठ और संक्रमण को रोकना अवरुद्ध करने, या कम से कम, खतरे में अधिक प्रभावी हो सकता है। इस बात को ध्यान में रखते हुए, यहां आपके नेटवर्क के लिए एक एचआईपीएस समाधान में देखने के लिए चीजों की एक सूची दी गई है:

हस्ताक्षर पर निर्भर नहीं है : हस्ताक्षर- या ज्ञात खतरों की अनूठी विशेषताओं- एंटीवायरस और घुसपैठ का पता लगाने (आईडीएस) जैसे सॉफ्टवेयर द्वारा उपयोग किए जाने वाले प्राथमिक माध्यमों में से एक हैं। हस्ताक्षरों का पतन यह है कि वे प्रतिक्रियाशील हैं। खतरे के अस्तित्व के बाद तक एक हस्ताक्षर विकसित नहीं किया जा सकता है और हस्ताक्षर किए जाने से पहले आप संभावित रूप से हमला कर सकते हैं। आपके एचआईपीएस समाधान को अनौपचारिक-आधारित पहचान के साथ हस्ताक्षर-आधारित पहचान का उपयोग करना चाहिए जो आपकी मशीन पर "सामान्य" नेटवर्क गतिविधि की तरह आधारभूत आधार स्थापित करता है और असामान्य दिखाई देने वाले किसी भी ट्रैफ़िक का जवाब देगा। उदाहरण के लिए, यदि आपका कंप्यूटर कभी भी एफ़टीपी का उपयोग नहीं करता है और अचानक कुछ खतरे आपके कंप्यूटर से एक एफ़टीपी कनेक्शन खोलने की कोशिश करता है, तो एचआईपीएस इसे असंगत गतिविधि के रूप में पहचान लेगा।
आपके कॉन्फ़िगरेशन के साथ काम करता है : कुछ एचआईपीएस समाधान उन प्रोग्रामों या प्रक्रियाओं के संदर्भ में प्रतिबंधित हो सकते हैं जो वे निगरानी और सुरक्षा करने में सक्षम हैं। आपको एक ऐसे एचआईपीएस खोजने की कोशिश करनी चाहिए जो शेल्फ से वाणिज्यिक पैकेजों को संभालने में सक्षम है और साथ ही साथ घर के किसी भी बड़े कस्टम एप्लिकेशन का उपयोग कर सकता है। यदि आप कस्टम एप्लिकेशन का उपयोग नहीं करते हैं या अपने पर्यावरण के लिए यह एक महत्वपूर्ण समस्या नहीं मानते हैं, तो कम से कम यह सुनिश्चित करें कि आपका एचआईपीएस समाधान आपके द्वारा चलाए जाने वाले कार्यक्रमों और प्रक्रियाओं की सुरक्षा करता है।

आपको नीतियां बनाने की अनुमति देता है : अधिकांश एचआईपीएस समाधान प्री-डिफ़ाइंड नीतियों के एक सुंदर व्यापक सेट के साथ आते हैं और विक्रेता आमतौर पर नए खतरों या हमलों के लिए विशिष्ट प्रतिक्रिया प्रदान करने के लिए अपडेट प्रदान करते हैं या नई नीतियां जारी करते हैं। हालांकि, यह महत्वपूर्ण है कि आपके पास ऐसी घटनाओं में अपनी नीतियां बनाने की क्षमता है कि आपके पास एक अनोखा खतरा है जिसे विक्रेता खाता नहीं लेता है या जब कोई नया खतरा विस्फोट हो रहा है और आपको अपने सिस्टम की रक्षा करने के लिए नीति की आवश्यकता है विक्रेता के पास एक अद्यतन जारी करने का समय है। आपको यह सुनिश्चित करने की ज़रूरत है कि आपके द्वारा उपयोग किए जाने वाले उत्पाद में न केवल नीतियां बनाने की क्षमता है, लेकिन यह नीति निर्माण आपके लिए प्रशिक्षण या विशेषज्ञ प्रोग्रामिंग कौशल के बिना सप्ताहों के लिए पर्याप्त सरल है।
केंद्रीय रिपोर्टिंग और प्रशासन प्रदान करता है : जबकि हम अलग-अलग सर्वर या वर्कस्टेशन के लिए होस्ट-आधारित सुरक्षा के बारे में बात कर रहे हैं, एचआईपीएस और एनआईपीएस समाधान अपेक्षाकृत महंगे हैं और एक ठेठ घरेलू उपयोगकर्ता के दायरे से बाहर हैं। इसलिए, एचआईपीएस के बारे में बात करते समय भी आपको शायद नेटवर्क पर सैकड़ों डेस्कटॉप और सर्वर पर एचआईपीएस तैनात करने के दृष्टिकोण से विचार करना होगा। हालांकि व्यक्तिगत डेस्कटॉप स्तर पर सुरक्षा रखना अच्छा है, सैकड़ों अलग-अलग सिस्टमों को प्रशासित करना, या एक समेकित रिपोर्ट बनाने की कोशिश करना एक अच्छी केंद्रीय रिपोर्टिंग और प्रबंधन कार्य के बिना लगभग असंभव हो सकता है। किसी उत्पाद का चयन करते समय, सुनिश्चित करें कि आपके पास सभी मशीनों पर नई नीतियों को तैनात करने या एक स्थान से सभी मशीनों की रिपोर्ट बनाने की अनुमति देने के लिए केंद्रीकृत रिपोर्टिंग और प्रशासन है।

कुछ अन्य चीजें हैं जिन्हें आपको ध्यान में रखने की आवश्यकता है। सबसे पहले, एचआईपीएस और एनआईपीएस सुरक्षा के लिए "चांदी बुलेट" नहीं हैं। वे अन्य चीजों के साथ फ़ायरवॉल और एंटीवायरस अनुप्रयोगों सहित एक ठोस, स्तरित रक्षा के लिए एक महान जोड़ हो सकते हैं, लेकिन मौजूदा प्रौद्योगिकियों को प्रतिस्थापित करने की कोशिश नहीं करनी चाहिए।

दूसरा, एक एचआईपीएस समाधान का प्रारंभिक कार्यान्वयन दर्दनाक हो सकता है। विसंगति-आधारित पहचान को कॉन्फ़िगर करने के लिए अक्सर "सामान्य" यातायात और क्या नहीं है, यह समझने में सहायता के लिए "हाथ पकड़ने" का एक अच्छा सौदा की आवश्यकता होती है। जब आप अपनी मशीन के लिए "सामान्य" यातायात को परिभाषित करते हैं, तो आधारभूत आधार स्थापित करने के लिए आप काम करते समय कई झूठे सकारात्मक अनुभव या नकारात्मक नकारात्मक अनुभव कर सकते हैं।

अंत में, कंपनियां आम तौर पर कंपनी के लिए क्या कर सकती हैं, इस पर आधारित खरीदारी करती हैं। मानक लेखांकन अभ्यास से पता चलता है कि यह निवेश पर वापसी, या आरओआई के आधार पर मापा जा सकता है। लेखाकार यह समझना चाहते हैं कि क्या वे एक नए उत्पाद या प्रौद्योगिकी में धन का निवेश करते हैं, तो उत्पाद या तकनीक के लिए कितना समय लगेगा।

दुर्भाग्यवश, नेटवर्क और कंप्यूटर सुरक्षा उत्पाद आम तौर पर इस मोल्ड में फिट नहीं होते हैं। सुरक्षा एक रिवर्स-आरओआई के अधिक काम करता है। यदि सुरक्षा उत्पाद या तकनीक डिजाइन के रूप में काम करती है तो नेटवर्क सुरक्षित रहेगा- लेकिन आरओआई को मापने के लिए कोई "लाभ" नहीं होगा। यद्यपि उत्पाद या तकनीक नहीं होने पर आपको रिवर्स को देखना होगा और विचार करना होगा कि कंपनी कितनी खो सकती है। सर्वरों के पुनर्निर्माण, आंकड़ों को पुनर्प्राप्त करने, तकनीकी कर्मियों को हमले के बाद साफ करने के समय और संसाधनों पर कितना पैसा खर्च करना होगा? यदि उत्पाद न हो तो उत्पाद या तकनीकी लागत को लागू करने के लिए संभावित रूप से अधिक धन खोने का परिणाम हो सकता है, तो शायद ऐसा करने के लिए यह समझ में आता है।

Alike posts

See Newest

Sapid posts