Hệ thống ngăn ngừa xâm nhập

Hệ thống ngăn ngừa xâm nhập ( tiếng Anh: Intrusion Prevention System (IPS)) là một hệ thống phát hiện xâm nhập ( tiếng Anh: intrusion detection system (IDS)) ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động xâm nhập không mong muốn đối với hệ thống máy tính. Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS.^[1]

Hệ thống ngăn ngừa xâm nhập có các chức năng chính như sau:

• Theo dõi các hoạt động bất thường đối với hệ thống.
• Xác định ai đang tác động đến hệ thống và cách thức như thế nào, các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.
• Phối hợp với hệ thống firewall để ngăn chặn tức thời các hoạt động xâm nhập không mong muốn trên.
• Tường thuật chi tiết về các hoạt động xâm nhập này.^[1]

1. Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion Prevention) thường được triển khai trước hoặc sau firewall.^[1]

• Khi triển khai IPS trước firewall có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với firewall.
• Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong.

2. Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình.^[1]

Thí dụ, các phần mềm Open-Source IPS như là Snort, Untangle NIPS hay Lokkit.

• Hệ thống phát hiện xâm nhập