Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Intrusion Detection and Prevention – Überblick

Das IDP-System von Juniper Networks erkennt und verhindert Netzwerkbedrohungen, indem es den Datenverkehr auf bösartige Aktivitäten überwacht. Es nutzt eine Signaturdatenbank, um Angriffe zu identifizieren, und wendet Sicherheitsrichtlinien zur Abwehr in Echtzeit an. Es verbessert die Netzwerksicherheit und bietet proaktive Bedrohungserkennung und Reaktion.

Intrusion Detection ist der Prozess der Überwachung von Ereignissen in Ihrem Netzwerk und der Analyse der Ereignisse auf Anzeichen potenzieller Vorfälle, Verstöße oder unmittelbaren Bedrohungen für Ihre Sicherheitsrichtlinien. Intrusion Prevention ist der Prozess der Durchführung der Intrusion Detection und dem anschließenden Stoppen der erkannten Vorfälle. Diese Sicherheitsmaßnahmen sind in den Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) verfügbar, die Teil Ihres Netzwerks werden, um potenzielle Vorfälle zu erkennen und zu stoppen.

Vorteile von IDP

Durch die Nutzung von IDP können Sie die Sicherheitslage Ihres Netzwerks erheblich verbessern und Schutz vor einer Vielzahl bekannter und neuer Bedrohungen bieten. Im Folgenden sind einige der Vorteile aufgeführt:

  • Proaktive Bedrohungsabwehr – Stoppt Angriffe, bevor sie Schaden anrichten können.

  • Netzwerktransparenz: Bietet Einblicke in potenzielle Sicherheitsprobleme.

  • Anpassbarer Schutz: Ermöglicht die Anpassung von Sicherheitsrichtlinien an spezifische Netzwerkanforderungen.

  • Compliance-Support: Hilft bei der Einhaltung gesetzlicher Anforderungen an die Netzwerksicherheit.

  • Automatisierte Reaktion und Behebung—Das IDP-System kann automatisch auf erkannte Bedrohungen reagieren, indem es schädlichen Datenverkehr blockiert, betroffene Firewalls unter Quarantäne stellt und Administratoren alarmiert. Dies trägt dazu bei, die Auswirkungen von Sicherheitsvorfällen zu minimieren.

IDP-Workflow

Das IDP-System überprüft den Datenverkehr, um Bedrohungen zu erkennen und zu entschärfen. Die Datenverkehrsprüfungs-Engine analysiert Pakete mithilfe von signaturbasierter Erkennung, Erkennung von Protokollanomalien und Verhaltensanalyse. Wenn eine Bedrohung gefunden wird, wird in der Phase "Richtliniendurchsetzung und Aktionen" entschieden, ob die Aktivität blockiert, gemeldet oder protokolliert werden soll. Die Ereignisse werden protokolliert und zur weiteren Analyse an die Administratoren zurückgemeldet. Bedrohungsinformationen und -updates verbessern kontinuierlich die Erkennung, indem sie neue Bedrohungsdaten hinzufügen und den Schutz in Echtzeit vor sich weiterentwickelnden Cyberbedrohungen gewährleisten.

Abbildung 1 zeigt die Kernkomponenten und den Ablauf des IDP-Systems von Juniper.

Abbildung 1: Prozessablauf für Intrusion Detection and Prevention

Tabelle 1: Der IDP-Prozessfluss listet die Details des IDP-Workflows auf.

Tabelle 1: IDP-Prozessablauf
Schrittbeschreibung
Traffic Inspection Engine (oder IDP-Inspektionsprozess) Untersucht Pakete auf potenzielle Sicherheitsrisiken (entspricht bekannten Angriffsmustern)
Erkennungsmechanismen Signaturbasierte Erkennung, Erkennung von Protokollanomalien (identifiziert Abweichungen vom erwarteten Netzwerkverhalten) und Verhaltensanalyse (erkennt ungewöhnliche Muster auf der Grundlage historischer Daten)
Durchsetzung von Richtlinien und Maßnahmen Sobald eine Bedrohung erkannt wurde, setzt das System Richtlinien durch und entscheidet, ob die Aktivität blockiert, gemeldet oder protokolliert werden soll.
Protokollierung und Berichterstellung Erkannte Ereignisse werden protokolliert oder gemeldet. Administratoren analysieren und reagieren
Bedrohungserkennung und -updates Füttern Sie das System kontinuierlich mit neuen Bedrohungsdaten.

IDP verstehen

Mit einer IDP-Richtlinie können Sie selektiv verschiedene Techniken für die Erkennung und Verhinderung von Angriffen im Netzwerkverkehr erzwingen, der Ihre Firewall der SRX-Serie passiert. Die Firewalls der SRX-Serie bieten die gleichen IDP-Signaturen, die auf den Intrusion Detection and Prevention Appliances der IDP-Serie von Juniper Networks verfügbar sind, um Netzwerke vor Angriffen zu schützen. Die IDP-Basiskonfiguration umfasst die folgenden Aufgaben:

  • Laden Sie die IDP-Lizenz herunter und installieren Sie sie. Sie benötigen eine separate Lizenz, wenn Sie auf die regelmäßig aktualisierte Signaturdatenbank zugreifen und Updates installieren möchten.

    Weitere Informationen zu IDP-Lizenzen finden Sie auf der Seite Softwarelizenzen für Firewalls der SRX-Serie .

  • Laden Sie die IDP-Signaturdatenbank herunter und installieren Sie sie. Stellen Sie sicher, dass Sie über eine gültige IDP-Lizenz verfügen, bevor Sie fortfahren, da diese für den Zugriff auf die Signaturdatenbank und deren Installation von der Juniper Networks-Website erforderlich ist. Die Datenbank enthält Angriffsobjekte und Angriffsobjektgruppen, die in IDP-Richtlinien verwendet werden, um den Datenverkehr mit bekannten Angriffen abzugleichen.

    Weitere Informationen finden Sie unter Aktualisieren der IDP-Signaturdatenbank.

  • Laden Sie IDP-Richtlinienvorlagen herunter, installieren Sie sie, und passen Sie eine Richtlinie für Ihre Umgebung an. Juniper Networks stellt vordefinierte Vorlagen als Ausgangspunkt zur Verfügung. Die empfohlene Vorlage ist ein guter Ausgangspunkt, es wird jedoch empfohlen, sie zu überprüfen und zu ändern, um bestimmte Sicherheitsanforderungen zu erfüllen.

    Weitere Informationen finden Sie unter Übersicht über IDP-Richtlinien.

  • Aktivieren Sie eine Sicherheitsrichtlinie für die IDP-Überprüfung. Damit der Transitdatenverkehr die IDP-Überprüfung durchlaufen kann, konfigurieren Sie eine Sicherheitsrichtlinie und aktivieren IDP-Anwendungsdienste für den gesamten Datenverkehr, den Sie überprüfen möchten. Weitere Informationen finden Sie unter Aktivieren von IDP in einer Sicherheitsrichtlinie.

Zugehörige Dokumentation