Pridať systém prevencie narušenia (IPS) k firewallu je skvelá voľba. Kombinuje monitorovacie a analytické schopnosti systému detekcie narušenia (IDS), ale to, čo ho odlišuje, je jeho proaktívna schopnosť aktívne čeliť hrozbám a odrádzať ich.

Čo znamená IPS?

Pre väčšinu používateľov je firewall osvedčenou metódou ochrany vlastného systému alebo siete pred útokmi zvonku. Vhodný systém prevencie prienikov (IPS) je odporúčaným doplnkom tohto ochranného mechanizmu. Systém funguje v dvoch krokoch. Najskôr vykonáva úlohy systému detekcie prienikov (IDS) a monitoruje buď hostiteľa, sieť alebo oboje, aby okamžite identifikoval neoprávnené aktivity vytvorením vzorov a ich porovnaním s prevádzkou v reálnom čase. Druhý krok nastáva, keď systém prevencie prienikov identifikuje hrozbu, a v tom momente môže iniciovať vhodné protiopatrenia.

Rozdiel medzi systémom detekcie narušenia a systémom prevencie narušenia spočíva v tom, že systém prevencie narušenia iba zasiela varovanie správcovi. Systém prevencie narušenia naopak aktívne zasahuje, blokuje dátové pakety alebo prerušuje zraniteľné pripojenia. V prvom rade je dôležité, aby bol systém prevencie narušenia správne nakonfigurovaný, aby sa všetky hrozby odvrátili bez narušenia pracovného toku. Okrem toho je pre optimálnu ochranu kľúčová úzka spolupráca medzi IPS a firewallom. Systém prevencie narušenia je zvyčajne umiestnený priamo za firewallom a pomocou senzorov dôkladne vyhodnocuje systémové údaje a sieťové pakety.

Aké typy systémov na prevenciu narušenia existujú?

Existujú rôzne typy systémov prevencie narušenia, ktoré sa líšia predovšetkým miestom ich nasadenia.

  • Systémy prevencie narušenia založené na hostiteľovi: Systémy IPS založené na hostiteľovi (HIPS) sa inštalujú priamo na jednotlivé koncové zariadenia, kde monitorujú výlučne prichádzajúce a odchádzajúce dáta. V dôsledku toho sú ich aktívne obranné schopnosti obmedzené na konkrétne zariadenie, na ktorom sú inštalované. Systémy HIPS sa často používajú v spojení s širšími bezpečnostnými metódami, pričom systém prevencie narušenia založený na hostiteľovi slúži ako posledná obranná línia.
  • Systémy prevencie prienikov založené na sieti: Systémy IPS založené na sieti (NIPS) sú strategicky umiestnené na viacerých miestach v rámci siete, aby mohli kontrolovať veľké množstvo dátových paketov, ktoré v nej cirkulujú. Môžu byť nasadené prostredníctvom špecializovaných zariadení alebo v rámci firewallov. Táto konfigurácia umožňuje komplexné skenovanie a ochranu všetkých systémov pripojených k sieti.
  • Bezdrôtové systémy prevencie narušenia: WIPS (Wireless Intrusion Prevention System) sú špeciálne navrhnuté pre prácu v sieti WLAN. V prípade neoprávneného prístupu IPS lokalizuje príslušné zariadenie a odstráni ho z prostredia.
  • Systémy prevencie narušenia správania: Na boj proti útokom DDoS sa odporúča analýza správania siete (NBA). Tá kontroluje všetok dátový prevádzku a môže tak vopred detekovať a zabrániť útokom.

Ako funguje systém prevencie narušenia?

Úloha systému prevencie narušenia zahŕňa dva hlavné aspekty. Po prvé, musí detekovať, predfiltrovať, analyzovať a hlásiť potenciálne hrozby, čo je v podstate podobné systému detekcie narušenia. Okrem toho systém prevencie narušenia prijíma proaktívne opatrenia v reakcii na hrozbu a iniciuje vlastné preventívne opatrenia. V oboch scenároch má IPS k dispozícii celý rad metód.

Metódy analýzy IPS

  • Detekcia anomálií: Detekcia anomálií zahŕňa porovnanie správania siete alebo koncového zariadenia s vopred definovaným štandardom. Významné odchýlky od tohto štandardu podnietia systém prevencie narušenia, aby prijal vhodné protiopatrenia. V závislosti od konfigurácie však táto metóda môže viesť aj k častým falošným poplachom. Aj z tohto dôvodu sa moderné systémy čoraz viac spoliehajú na umelú inteligenciu, aby výrazne znížili mieru chybovosti.
  • Detekcia zneužitia: Pri tejto metóde sa dátové pakety podrobne skúmajú, či neobsahujú známe formy útokov. Tento typ systému prevencie narušenia vykazuje vysokú mieru detekcie známych hrozieb, ktoré identifikuje s vysokou mierou istoty. Je však menej účinný proti novým, doteraz neznámym útokom.
  • IPS založený na politikách: Systém prevencie narušení založený na politikách sa používa menej často v porovnaní s dvoma predchádzajúcimi metódami. Na implementáciu tohto prístupu je najskôr potrebné nakonfigurovať jedinečné a špecifické bezpečnostné politiky. Tieto politiky slúžia ako základ pre monitorovanie príslušného systému.

Obranne mechanizmy IPS

Systém prevencie narušenia funguje v reálnom čase bez obmedzenia toku dát. Keď je prostredníctvom vyššie opísaných metód monitorovania zistená hrozba, IPS ponúka niekoľko možností reakcie. V menej kritických situáciách, podobne ako IDS, odošle správcovi oznámenie, aby podnikol ďalšie kroky. V závažnejších prípadoch však systém prevencie narušenia podnikne autonómne kroky. Môže prerušiť a resetovať prenosové cesty, blokovať zdroje alebo destinácie, alebo dokonca úplne odstrániť dátové pakety.

Aké sú výhody systému prevencie narušenia?

Strategické nasadenie systému prevencie prienikov ponúka používateľom množstvo výhod. Najvýraznejšie zvyšuje celkovú bezpečnosť tým, že detekuje riziká, ktoré by iné nástroje mohli prehliadnuť. Vďaka predbežnému filtrovaniu systém prevencie prienikov tiež znižuje zaťaženie iných bezpečnostných mechanizmov a chráni celú infraštruktúru. Možnosti konfigurácie umožňujú presné prispôsobenie IPS konkrétnym požiadavkám. Po úspešnej konfigurácii systém funguje autonómne, čím poskytuje významnú výhodu v podobe úspory času.

Aké sú nevýhody systému prevencie narušenia?

Pri správnom používaní systém prevencie narušenia podstatne zvyšuje bezpečnosť siete. S týmto prístupom sú však spojené aj niektoré potenciálne nevýhody. Okrem už spomenutých obmedzení detekcie anomálií a zneužitia existuje aj významný problém týkajúci sa hardvérových požiadaviek. Systémy prevencie narušenia zvyčajne vyžadujú značné zdroje, ktoré rastú úmerne s veľkosťou siete. Ich skutočná hodnota sa preto prejaví až vtedy, keď ich kapacity zodpovedajú požiadavkám siete. Navyše, konfigurácia môže byť náročná, najmä pre neodborníkov. Neoptimálne konfigurácie môžu viesť k problémom so sieťou.

DenyHosts: Najlepší IPS proti hrubému násiliu

V boji proti útokom hrubou silou je DenyHosts užitočnou voľbou. Systém prevencie narušení bol napísaný v jazyku Python a je open source. Monitoruje pokusy o prihlásenie cez SSH a blokuje príslušné adresy, ak majú príliš veľa neúspešných pokusov. Toto je oficiálny repozitár GitHub pre DenyHosts.

Prejsť na hlavné menu