A tűzfalhoz egy behatolás-megelőző rendszer (IPS) hozzáadása értékes választás. Ez ötvözi a behatolás-érzékelő rendszer (IDS) felügyeleti és elemzési képességeit, de ami igazán megkülönbözteti, az a proaktív képessége, hogy aktívan ellensúlyozza és elhárítja a fenyegetéseket.

Mit jelent az IPS?

A legtöbb felhasználó számára a tűzfal egy bevált módszer a saját rendszerük vagy hálózatuk védelmére a külső támadásokkal szemben. Ehhez a védelmi mechanizmushoz ajánlott egy megfelelő behatolás-megelőző rendszer (IPS) használata. A rendszer két lépésben működik. Először behatolás-érzékelő rendszer (IDS) feladatát látja el, és figyelemmel kíséri a gazdagépet, a hálózatot vagy mindkettőt, hogy mintákat hozzon létre és azokat valós idejű forgalommal összehasonlítva azonnal azonosítsa a jogosulatlan tevékenységeket. A második lépés akkor lép működésbe, amikor a behatolás-megelőző rendszer fenyegetést azonosít, ekkor megfelelő ellenintézkedéseket kezdeményezhet.

A behatolás-érzékelő rendszer és a behatolás-megelőző rendszer közötti különbség az, hogy a behatolás-megelőző rendszer csak figyelmeztetést küld az adminisztrátornak. A behatolás-megelőző rendszer viszont aktívan beavatkozik, blokkolja az adatcsomagokat vagy megszakítja a sebezhető kapcsolatokat. Először is fontos, hogy a behatolás-megelőző rendszer megfelelően legyen konfigurálva, hogy minden fenyegetést elhárítson anélkül, hogy akadályozná a munkafolyamatot. Ezenkívül az IPS és a tűzfal közötti szoros együttműködés elengedhetetlen az optimális védelemhez. Általában a behatolás-megelőző rendszer közvetlenül a tűzfal mögött helyezkedik el, és érzékelők segítségével alaposan értékeli a rendszeradatokat és a hálózati csomagokat.

Milyen típusú behatolás-megelőző rendszerek léteznek?

Különböző típusú behatolás-megelőző rendszerek léteznek, amelyek elsősorban telepítési helyükben különböznek egymástól.

  • Hosztalapú behatolás-megelőző rendszerek: A hosztalapú IPS (HIPS) rendszerek közvetlenül az egyes végberendezésekre vannak telepítve, ahol kizárólag a bejövő és kimenő adatokat figyelik. Ennek eredményeként aktív védelmi képességeik azokra az eszközökre korlátozódnak, amelyekre telepítve vannak. A HIPS rendszereket gyakran szélesebb körű biztonsági módszerekkel együtt használják, ahol a hosztalapú behatolás-megelőző rendszer az utolsó védelmi vonalat képezi.
  • Hálózati alapú behatolás-megelőző rendszerek: A hálózati alapú IPS (NIPS) rendszerek stratégiai helyeken vannak elhelyezve a hálózat több pontján, hogy a hálózatban keringő nagy mennyiségű adatcsomagot vizsgálják. Ezeket dedikált eszközökön vagy tűzfalakon keresztül lehet telepíteni. Ez a felépítés lehetővé teszi a hálózathoz csatlakozó összes rendszer átfogó vizsgálatát és védelmét.
  • Vezeték nélküli behatolás-megelőző rendszerek: A WIPS (Wireless Intrusion Prevention System) rendszerek kifejezetten WLAN hálózatokban való működésre lettek tervezve. Jogosulatlan hozzáférés esetén az IPS megkeresi a megfelelő eszközt, és eltávolítja azt a környezetből.
  • Viselkedésalapú behatolás-megelőző rendszerek: A DDoS-támadások elleni küzdelemhez a hálózati viselkedéselemzés (NBA) ajánlott. Ez ellenőrzi az összes adatforgalmat, így előre felismeri és megakadályozza a támadásokat.

Hogyan működik egy behatolás-megelőző rendszer?

A behatolás-megelőző rendszer szerepe két fő szempontot foglal magában. Először is, fel kell ismernie, előszűrnie, elemeznie és jelenteni kell a potenciális fenyegetéseket, lényegében hasonlóan egy behatolás-érzékelő rendszerhez. Ezenkívül a behatolás-megelőző rendszer proaktív intézkedéseket hoz a fenyegetésekre reagálva, saját megelőző intézkedéseit kezdeményezve. Mindkét esetben az IPS számos módszerrel rendelkezik.

IPS elemzési módszerek

  • Anomália észlelés: Az anomália észlelés során a hálózat vagy a végberendezés viselkedését egy előre meghatározott szabványhoz viszonyítják. A szabványtól való jelentős eltérések esetén a behatolás-megelőző rendszer megfelelő ellenintézkedéseket hoz. A konfigurációtól függően azonban ez a módszer gyakori téves riasztásokhoz is vezethet. Ezért is támaszkodnak a modern rendszerek egyre inkább a mesterséges intelligenciára, hogy jelentősen csökkentsék a hibaarányt.
  • Visszaélések észlelése: Ennél a módszernél az adatcsomagokat ismert támadási formák szempontjából vizsgálják meg. Ez a típusú behatolás-megelőző rendszer magas észlelési arányt mutat a már ismert fenyegetések esetében, és nagy bizonyossággal azonosítja azokat. Ugyanakkor kevésbé hatékony az új, korábban még nem azonosított támadások ellen.
  • Politikaalapú IPS: A politikaalapú behatolás-megelőző rendszert kevésbé alkalmazzák, mint a két korábban tárgyalt módszert. Ennek a megközelítésnek a megvalósításához először egyedi és specifikus biztonsági politikákat kell konfigurálni. Ezek a politikák alapul szolgálnak a megfelelő rendszer figyelemmel kíséréséhez.

IPS védelmi mechanizmusok

A behatolás-megelőző rendszer valós időben működik, anélkül, hogy akadályozná az adatáramlást. Amikor a korábban leírt felügyeleti módszerekkel fenyegetést észlel, az IPS többféle válaszlehetőséget kínál. Kevésbé kritikus helyzetekben, hasonlóan az IDS-hez, értesítést küld a rendszergazdának a további intézkedések megtételére. Súlyosabb esetekben azonban a behatolás-megelőző rendszer önállóan lép fel. Megszakíthatja és visszaállíthatja az átviteli útvonalakat, blokkolhatja a forrásokat vagy a célállomásokat, vagy akár teljesen el is vetheti az adatcsomagokat.

Milyen előnyei vannak egy behatolás-megelőző rendszernek?

A behatolás-megelőző rendszer stratégiai bevezetése számos előnnyel jár a felhasználók számára. Legfőképpen az általános biztonságot növeli azáltal, hogy olyan kockázatokat is felismer, amelyek más eszközökkel észrevétlenek maradnának. Az előszűrés révén a behatolás-megelőző rendszer más biztonsági mechanizmusok terhelését is csökkenti, így védve az egész infrastruktúrát. A konfigurációs lehetőségek lehetővé teszik az IPS pontos testreszabását az egyedi követelményeknek megfelelően. Sikeres konfigurálás esetén a rendszer önállóan működik, ami jelentős időmegtakarítást jelent.

Melyek a behatolás-megelőző rendszer hátrányai?

Helyesen használva a behatolás-megelőző rendszer jelentősen növeli a hálózat biztonságát. Ugyanakkor ennek a megközelítésnek vannak bizonyos hátrányai is. A korábban említett anomália- és visszaélés-felismerési korlátok mellett a hardverkövetelmények is jelentős problémát jelentenek. A behatolás-megelőző rendszerek általában jelentős erőforrásokat igényelnek, amelyek a hálózat méretével együtt növekednek. Ezért valódi értékük akkor valósul meg, ha kapacitásuk megfelel a hálózat igényeinek. Ezenkívül a konfigurálás kihívást jelenthet, különösen a nem szakértők számára. A nem optimális konfigurációk hálózati problémákhoz vezethetnek.

DenyHosts: A legjobb IPS a brute force ellen

A brute force támadások elleni harcban a DenyHosts egy érdemes választás. A behatolás-megelőző rendszer Python nyelven íródott és nyílt forráskódú. Figyelemmel kíséri az SSH bejelentkezési kísérleteket, és blokkolja a megfelelő címeket, ha túl sok sikertelen kísérletet regisztrál. Ez a DenyHosts hivatalos GitHub-tárolója.

Ugrás a főmenübe