Hvad er et system til fore­byg­gel­se af ind­træn­gen?

At udvide en firewall med et ind­træng­nings­fore­byg­gel­ses­sy­stem (IPS) er et for­nuf­tigt valg. Det kom­bi­ne­rer over­våg­nings- og ana­ly­se­funk­tio­ner­ne fra et ind­træng­nings­de­tek­te­rings­sy­stem (IDS), men det, der adskiller det fra andre løsninger, er dets proaktive evne til aktivt at imødegå og afværge trusler.

Hvad betyder IPS?

For de fleste brugere er en firewall en gen­nem­prø­vet metode til at beskytte deres eget system eller netværk mod angreb udefra. Et passende ind­træng­nings­fore­byg­gel­ses­sy­stem (IPS) er en anbefalet til­fø­jel­se til denne be­skyt­tel­ses­me­ka­nis­me. Systemet fungerer i to trin. Først udfører det opgaverne for et ind­træng­nings­de­tek­te­rings­sy­stem (IDS) og overvåger enten værten, netværket eller begge dele for straks at iden­ti­fi­ce­re uau­to­ri­se­re­de ak­ti­vi­te­ter ved at oprette mønstre og sam­men­lig­ne dem med trafikken i realtid. Det andet trin træder i kraft, når ind­træng­nings­fore­byg­gel­ses­sy­ste­met iden­ti­fi­ce­rer en trussel, hvor det kan iværk­sæt­te passende mod­for­an­stalt­nin­ger.

For­skel­len mellem et system til de­tek­te­ring af ind­træn­gen og et system til fore­byg­gel­se af ind­træn­gen er, at systemet til fore­byg­gel­se af ind­træn­gen kun sender en advarsel til ad­mi­ni­stra­to­ren. Systemet til fore­byg­gel­se af ind­træn­gen griber derimod aktivt ind, blokerer da­ta­pak­ker eller afbryder sårbare for­bin­del­ser. For det første er det vigtigt, at systemet til fore­byg­gel­se af ind­træn­gen er kon­fi­gu­re­ret korrekt, så alle trusler afværges uden at forstyrre ar­bejds­gan­gen. Derudover er et tæt sam­ar­bej­de mellem IPS og fi­rewal­len afgørende for optimal be­skyt­tel­se. Typisk placeres ind­træng­nings­fore­byg­gel­ses­sy­ste­met direkte bag fi­rewal­len, hvor det ved hjælp af sensorer grundigt vurderer sy­stem­da­ta og net­værks­pak­ker.

Hvilke typer af systemer til fore­byg­gel­se af ind­træn­gen findes der?

Der findes for­skel­li­ge typer af systemer til fore­byg­gel­se af ind­træn­gen, som primært adskiller sig fra hinanden med hensyn til, hvor de in­stal­le­res.

• Host­ba­se­re­de ind­træng­nings­fore­byg­gel­ses­sy­ste­mer: Host­ba­se­re­de IPS (HIPS) in­stal­le­res direkte på de enkelte slutap­pa­ra­ter, hvor de ude­luk­ken­de overvåger indgående og udgående data. Deres aktive for­svars­funk­tio­ner er derfor begrænset til den spe­ci­fik­ke enhed, de er in­stal­le­ret på. HIPS anvendes ofte i kom­bi­na­tion med bredere sik­ker­heds­me­to­der, hvor det host­ba­se­re­de ind­træng­nings­fore­byg­gel­ses­sy­stem fungerer som sidste for­svars­linje.
• Net­værks­ba­se­re­de ind­træng­nings­fore­byg­gel­ses­sy­ste­mer: Net­værks­ba­se­re­de IPS (NIPS) er stra­te­gisk placeret flere steder i et netværk for at gennemgå en stor mængde da­ta­pak­ker, der cir­ku­le­rer i det. De kan im­ple­men­te­res via de­di­ke­re­de enheder eller inden for firewalls. Denne opsætning muliggør om­fat­ten­de scanning og be­skyt­tel­se af alle systemer, der er forbundet til netværket.
• Trådløse ind­træng­nings­fore­byg­gel­ses­sy­ste­mer: WIPS (Wireless IntrusionPre­ven­tion System) er specielt designet til at fungere i et WLAN-netværk. I tilfælde af uau­to­ri­se­ret adgang lo­ka­li­se­rer IPS den på­gæl­den­de enhed og fjerner den fra miljøet.
• Ad­færds­ba­se­re­de ind­træng­nings­fore­byg­gel­ses­sy­ste­mer: Network Behavior Analysis (NBA) anbefales til be­kæm­pel­se af DDoS-angreb. Dette kon­trol­le­rer al da­ta­tra­fik og kan dermed opdage og forhindre angreb på forhånd.

Hvordan fungerer et system til fore­byg­gel­se af ind­træn­gen?

Et ind­træng­nings­fore­byg­gel­ses­sy­stems rolle omfatter to ho­ve­d­aspek­ter. For det første skal det opdage, for­fil­tre­re, analysere og rap­por­te­re po­ten­ti­el­le trusler, hvilket i det væ­sent­li­ge svarer til et ind­træng­nings­de­tek­te­rings­sy­stem. Desuden træffer ind­træng­nings­fore­byg­gel­ses­sy­ste­met proaktive for­an­stalt­nin­ger som reaktion på en trussel og iværk­sæt­ter sine egne fore­byg­gen­de tiltag. I begge tilfælde har IPS en række metoder til rådighed.

IPS-ana­ly­se­me­to­der

• Detektion af af­vi­gel­ser: Detektion af af­vi­gel­ser indebærer, at net­vær­kets eller slut­bru­ge­ren­he­dens adfærd sam­men­lig­nes med en for­ud­de­fi­ne­ret standard. Markante af­vi­gel­ser fra denne standard får systemet til fore­byg­gel­se af ind­træn­gen til at iværk­sæt­te passende mod­for­an­stalt­nin­ger. Afhængigt af kon­fi­gu­ra­tio­nen kan denne metode dog også medføre hyppige falske alarmer. Også af denne grund benytter moderne systemer i stigende grad kunstig in­tel­li­gens (AI) for at reducere fejl­pro­cen­ten markant.
• Detektion af misbrug: I denne metode un­der­sø­ges da­ta­pak­ker for kendte former for angreb. Denne type ind­træng­nings­fore­byg­gel­ses­sy­stem har høje de­tek­tions­ra­ter for etab­le­re­de trusler og iden­ti­fi­ce­rer dem med stor sikkerhed. Det er dog mindre effektivt mod nye, tidligere ui­den­ti­fi­ce­re­de angreb.
• Po­li­tik­ba­se­ret IPS: Det po­li­tik­ba­se­re­de ind­træng­nings­fore­byg­gel­ses­sy­stem anvendes mindre hyppigt sam­men­lig­net med de to tidligere omtalte metoder. For at im­ple­men­te­re denne tilgang skal der først kon­fi­gu­re­res unikke og spe­ci­fik­ke sik­ker­heds­po­li­tik­ker. Disse po­li­tik­ker fungerer som grundlag for over­våg­ning af det på­gæl­den­de system.

IPS-for­svars­me­ka­nis­mer

Ind­træng­nings­fore­byg­gel­ses­sy­ste­met fungerer i realtid uden at hæmme da­ta­strøm­men. Når der opdages en trussel via de tidligere beskrevne over­våg­nings­me­to­der, tilbyder IPS flere re­ak­tions­mu­lig­he­der. I mindre kritiske si­tu­a­tio­ner, på samme måde som et IDS, sender det en med­del­el­se til ad­mi­ni­stra­to­ren med henblik på yder­li­ge­re handling. I mere alvorlige tilfælde griber ind­træng­nings­fore­byg­gel­ses­sy­ste­met imid­ler­tid selv­stæn­digt ind. Det kan afbryde og nulstille trans­mis­sions­ve­je, blokere kilder eller desti­na­tio­ner eller endda helt slette da­ta­pak­ker.

Hvad er fordelene ved et system til fore­byg­gel­se af ind­træn­gen?

Den stra­te­gi­ske im­ple­men­te­ring af et ind­træng­nings­fore­byg­gel­ses­sy­stem giver brugerne en lang række fordele. Frem for alt øger det den generelle sikkerhed ved at opdage risici, som andre værktøjer måske overser. Gennem for­fil­tre­ring aflaster ind­træng­nings­fore­byg­gel­ses­sy­ste­met desuden andre sik­ker­heds­me­ka­nis­mer og beskytter dermed hele in­fra­struk­tu­ren. Kon­fi­gu­ra­tions­mu­lig­he­der­ne gør det muligt at tilpasse IPS’et præcist til spe­ci­fik­ke behov. Når systemet er kon­fi­gu­re­ret korrekt, fungerer det selv­stæn­digt, hvilket medfører en betydelig tids­be­spa­rel­se.

Hvad er ulemperne ved et system til fore­byg­gel­se af ind­træn­gen?

Når det anvendes korrekt, forbedrer et ind­træng­nings­fore­byg­gel­ses­sy­stem net­værks­sik­ker­he­den be­ty­de­ligt. Der er dog også nogle po­ten­ti­el­le ulemper forbundet med denne tilgang. Ud over de tidligere nævnte be­græns­nin­ger ved de­tek­te­ring af af­vi­gel­ser og misbrug er der en væsentlig bekymring ved­rø­ren­de hardwa­re­kra­ve­ne. Ind­træng­nings­fore­byg­gel­ses­sy­ste­mer kræver typisk be­ty­de­li­ge res­sour­cer, som stiger i takt med net­vær­kets størrelse. Deres reelle værdi re­a­li­se­res derfor først, når deres kapacitet er tilpasset net­vær­kets krav. Desuden kan kon­fi­gu­ra­tio­nen være ud­for­dren­de, især for ikke-eksperter. Su­bop­ti­ma­le kon­fi­gu­ra­tio­ner kan føre til net­værks­pro­ble­mer.

DenyHosts: Den bedste IPS mod brute force-angreb

I kampen mod brute force-angreb er DenyHosts et godt valg. Dette system til fore­byg­gel­se af ind­træn­gen er skrevet i Python og er open source. Det overvåger SSH-lo­g­in­for­søg og blokerer de på­gæl­den­de adresser, hvis der er for mange mis­lyk­ke­de forsøg. Dette er det of­fi­ci­el­le GitHub-arkiv for DenyHosts.