Ochrona podstawowa

Zapory ogniowe są używane jako główne narzędzie ochrony obszaru sieci. Działają one na podstawie zasad określających, które porty mają być zamknięte, a które otwarte w sieci korporacyjnej. Zapory ogniowe nie są wystarczającym środkiem obrony serwerów webowych, ponieważ warunkiem niezbędnym funkcjonowania systemu typu e-biznes jest pozostawienie na zaporach ogniowych niektórych portów otwartych, co samo przez się daje hakerom możliwość przedostania się przez nie. Porty te zapewniają kanał przejścia przez zaporę ogniową i możliwość włamania się do systemu. Takim przykładem jest port 80 (protokół HTTP), który jest używany przez serwery webowe i z tego powodu musi pozostać otwarty. Atakujący może wysłać przez zaporę do serwera webowego specjalnie zaprojektowaną, ale legalną sesję HTTP, odsłaniając jego słabe punkty. Sesja HTTP może wykorzystywać jeden lub więcej takich słabych punktów i spowodować łańcuch zdarzeń, który ostatecznie pozwoli napastnikowi uzyskać uprzywilejowany dostęp do maszyny z serwerem webowym. Wykonywalne programy, które mogą przeprowadzić taką akcję, są dostępne w Internecie.

Systemy wykrywania wtargnięć (IDS – Intrusion Detection System) są uważane za następną, po zaporach ogniowych, linię obrony, uzupełniającą działanie zapór ogniowych. Jednak w praktyce potrafią one tylko wykrywać ataki.

Głównymi wadami sieciowych IDS są:

• Brak większych możliwości zapobiegania atakom w czasie rzeczywistym. Programy te „przesłuchują” pakiety krążące w sieci, ale nie blokują ich transmisji. Bardzo często pakiet osiąga swój cel i zostaje przetworzony, zanim zinterpretuje go system IDS; w rezultacie dość powszechnym zjawiskiem są ataki udane, identyfikowane post factum przez IDS.
• Systemy wykrywania włamań na ogół nie mogą rozpoznawać ataków jeszcze nieznanych. Tak jak każdy system oparty na sygnaturach (w tym przypadku sygnaturach ataku) może on obsługiwać jedynie znane ataki, dla których istnieją wzorce w bazie danych systemu IDS.