Mis on sis­se­tun­gide tõ­kes­ta­mise süsteem?

Sis­se­tun­gide tõ­kes­tus­süs­teemi (IPS) lisamine tu­le­müü­rile on mõistlik valik. See ühendab endas sis­se­tun­gide avas­ta­mis­süs­teemi (IDS) seire- ja ana­lüü­si­või­ma­lu­sed, kuid eristab seda teistest just proak­tiivne võime ohtudele ak­tiiv­selt vastu astuda ja neid ära hoida.

Mida tähendab IPS?

Enamiku ka­su­ta­jate jaoks on tulemüür lä­bi­proo­vi­tud ja usal­dus­väärne viis oma süsteemi või võrgu kaits­miseks vä­lis­rün­na­kute eest. Sellele kait­se­meh­ha­nis­mile on soo­vi­ta­tav lisada sobiv sis­se­tun­gide tõ­kes­ta­mise süsteem (IPS). Süsteem töötab kahes etapis. Esiteks täidab see sis­se­tun­gide avas­ta­mise süsteemi (IDS) üles­an­deid ja jälgib kas hosti, võrku või mõlemat, et tuvastada vii­vi­ta­ma­tult vo­li­ta­mata tegevused, luues mustreid ja võrreldes neid reaalajas lii­ku­mi­sega. Teine etapp käivitub siis, kui sis­se­tun­gide tõ­kes­ta­mise süsteem tuvastab ohu, mille järel võib see algatada as­ja­ko­ha­sed vas­tu­meet­med.

Sis­se­tun­gi­jate avas­ta­mis­süs­teemi ja sis­se­tun­gi­jate tõ­kes­ta­mis­süs­teemi vahe seisneb selles, et sis­se­tun­gi­jate tõ­kes­ta­mis­süs­teem saadab haldajale vaid hoiatuse. Sis­se­tun­gi­jate tõ­kes­ta­mis­süs­teem aga sekkub ak­tiiv­selt, blo­kee­ri­des and­me­pa­kette või kat­kes­ta­des ohustatud ühendusi. Esiteks on oluline, et sis­se­tun­gi­jate tõ­kes­ta­mis­süs­teem oleks õigesti kon­fi­gu­ree­ri­tud, nii et kõik ohud tõrjutaks ära ilma töövoogu ta­kis­ta­mata. Lisaks on op­ti­maalse kaitse ta­ga­miseks oluline tihe koostöö sis­se­tun­gi­tõ­kes­tus­süs­teemi ja tulemüüri vahel. Ta­va­li­selt pai­gu­ta­takse sis­se­tun­gi­tõ­kes­tus­süs­teem otse tulemüüri taha, kus see kasutab andureid süs­tee­mi­and­mete ja võr­gu­pa­ket­tide põh­ja­likuks hin­da­miseks.

Milliseid sis­se­tun­gide tõ­kes­ta­mise süsteeme on olemas?

Sis­se­tun­gide tõ­kes­ta­mise süsteeme on mit­me­su­gu­seid, mis erinevad peamiselt pai­gal­dus­koha poolest.

• Hos­ti­põ­hi­sed sis­se­tun­gide tõ­kes­ta­mise süsteemid: Hos­ti­põ­hi­sed IPS-id (HIPS) pai­gal­da­takse otse ük­si­ku­tele lõpp­sead­me­tele, kus nad jälgivad ainult sis­se­tu­le­vaid ja väl­ja­mi­ne­vaid andmeid. Seetõttu piirdub nende aktiivne kait­se­võime konk­reetse seadmega, millele need on pai­gal­da­tud. HIPS-e ka­su­ta­takse sageli koos laiemate tur­va­mee­to­di­tega, kusjuures hos­ti­põ­hine sis­se­tun­gide tõ­kes­ta­mise süsteem toimib viimase kait­se­lii­nina.
• Võr­gu­põ­hi­sed sis­se­tun­gide tõ­kes­ta­mise süsteemid: Võr­gu­põ­hi­sed IPS-id (NIPS) pai­gu­ta­takse stra­tee­gi­li­selt mitmesse asukohta võrgus, et kont­rol­lida selles ring­le­vaid suuri and­me­pa­ket­tide mahtusid. Neid saab pai­gal­dada spet­siaal­sete seadmete kaudu või tu­le­müü­ride sisse. Selline seadistus võimaldab kõigi võrguga ühendatud süs­teemide põh­ja­likku skan­ni­mist ja kaitset.
• Traadita sis­se­tun­gide tõ­kes­ta­mise süsteemid: WIPS (Wireless Intrusion Pre­ven­tion System) on spet­siaal­selt loodud töötama WLAN-võrgus. Eba­sea­dus­liku juur­de­pääsu korral tuvastab IPS vastava seadme ja eemaldab selle kesk­kon­nast.
• Käi­tu­mus­li­kud sis­se­tun­gide tõ­kes­ta­mise süsteemid: DDoS-rünnakute tõrjeks soo­vi­ta­takse kasutada võrgu käitumise analüüsi (NBA). See kont­rol­lib kogu and­me­liik­lust ja suudab seega rünnakuid eelnevalt avastada ja ära hoida.

Kuidas toimib sis­se­tun­gide tõ­kes­ta­mise süsteem?

Sis­se­tun­gide en­ne­ta­mise süsteemi ülesanded hõlmavad kahte peamist aspekti. Esiteks peab see tuvastama, eel­filt­ree­rima, ana­lüü­sima ja teatama po­tent­siaal­se­test ohtudest, mis sarnaneb põ­hi­mõt­te­li­selt sis­se­tun­gide avas­ta­mise süs­tee­miga. Lisaks võtab sis­se­tun­gide en­ne­ta­mise süsteem ohule rea­gee­ri­miseks en­ne­ta­vaid meetmeid, käi­vi­ta­des oma en­ne­tus­meh­ha­nis­mid. Mõlemal juhul on IPS-il kasutada mit­me­su­gu­seid meetodeid.

IPS-ana­lüü­si­mee­to­did

• Ano­maa­liate tu­vas­ta­mine: Ano­maa­liate tu­vas­ta­mine hõlmab võrgu või lõpp­seadme käitumise võrd­le­mist eelnevalt mää­rat­le­tud stan­dar­diga. Olulised kõr­va­le­kal­ded sellest stan­dar­dist panevad sis­se­tun­gide tõ­kes­ta­mise süsteemi võtma as­ja­ko­ha­seid vas­tu­meet­meid. Sõltuvalt kon­fi­gu­rat­sioo­nist võib see meetod aga põh­jus­tada ka sagedasi va­le­häi­reid. Ka sel põhjusel tuginevad tä­na­päe­va­sed süsteemid üha enam te­hisin­tel­lek­tile, et veamäära oluliselt vähendada.
• Väär­ka­su­tuse tu­vas­ta­mine: Selle meetodi puhul uuritakse and­me­pa­kette tea­daole­vate rün­na­ku­vormide suhtes. Selline sis­se­tun­gide tõ­kes­ta­mise süsteem näitab tugevat tu­vas­ta­mis­määra väl­ja­ku­ju­ne­nud ohtude puhul, tu­vas­ta­des need suure kind­lu­sega. Siiski on see vähem tõhus uute, varem tu­vas­ta­mata rünnakute vastu.
• Po­lii­ti­ka­põ­hine IPS: Po­lii­ti­ka­põ­hist sis­se­tun­gide tõ­kes­ta­mise süsteemi ka­su­ta­takse eespool kir­jel­da­tud kahe meetodiga võrreldes harvem. Selle lä­he­ne­mise ra­ken­da­miseks tuleb esmalt kon­fi­gu­ree­rida uni­kaal­sed ja spet­sii­fi­li­sed tur­va­po­lii­ti­kad. Need po­lii­ti­kad on vastava süsteemi seire aluseks.

IPSi kait­se­meh­ha­nis­mid

Sis­se­tun­gide tõ­kes­ta­mise süsteem töötab reaalajas, ta­kis­ta­mata and­me­voogu. Kui varem kir­jel­da­tud sei­re­mee­to­dite abil avas­ta­takse oht, pakub IPS mitmeid rea­gee­ri­mis­või­ma­lusi. Vähem krii­ti­lis­tes olu­kor­da­des, sarnaselt IDS-iga, saadab süsteem haldajale teate edasiste meetmete võtmiseks. Ras­ke­ma­tel juhtudel võtab sis­se­tun­gide tõ­kes­ta­mise süsteem aga ise­seis­vaid meetmeid. Süsteem võib kat­kes­tada ja taastada and­meedas­tus­ka­na­leid, blo­kee­rida allikaid või sihtkohti või isegi and­me­pa­kette täie­li­kult kõr­val­dada.

Millised on sis­se­tun­gide tõ­kes­ta­mise süsteemi eelised?

Sis­se­tun­gide tõ­kes­ta­mise süsteemi stra­tee­gi­line ka­su­tuse­le­võtt pakub ka­su­ta­ja­tele mitmeid eeliseid. Eelkõige suurendab see üldist tur­va­li­sust, tu­vas­ta­des ohte, mis võivad jääda teiste vahendite poolt märkamata. Eel­filt­ree­ri­mise abil vähendab sis­se­tun­gide tõ­kes­ta­mise süsteem ka teiste tur­va­meh­ha­nismide koormust, kaitstes kogu inf­ra­struk­tuuri. Kon­fi­gu­rat­sioo­ni­või­ma­lu­sed või­mal­da­vad IPS-i täpselt kohandada vastavalt konk­reet­se­tele nõuetele. Õn­nes­tu­nud kon­fi­gu­ree­ri­mise korral töötab süsteem ise­seis­valt, pakkudes seeläbi mär­ki­mis­väär­set aja kok­ku­hoidu.

Millised on sis­se­tun­gide tõ­kes­ta­mise süsteemi puudused?

Õigesti ka­su­ta­tuna parandab sis­se­tun­gide tõ­kes­ta­mise süsteem võrgu tur­va­li­sust mär­ki­mis­väär­selt. Siiski on sellel lä­he­ne­mis­vii­sil ka mõned po­tent­siaal­sed puudused. Lisaks eespool mainitud piiran­gu­tele seoses kõr­va­le­kal­lete ja väär­ka­su­tuse tu­vas­ta­mi­sega on mär­ki­mis­väärne mure seotud riist­va­ra­nõue­tega. Sis­se­tun­gide tõ­kes­ta­mise süsteemid nõuavad ta­va­li­selt mär­ki­mis­väär­seid ressursse, mis suu­re­ne­vad võrgu suurusega. Seetõttu rea­li­see­rub nende tegelik väärtus siis, kui nende võimsus vastab võrgu nõud­mis­tele. Lisaks võib kon­fi­gu­ree­ri­mine olla keeruline, eriti mit­te­eks­per­ti­dele. Eba­op­ti­maal­sed kon­fi­gu­rat­sioo­nid võivad põh­jus­tada võr­gu­prob­leeme.

DenyHosts: parim IP-blo­kee­ri­mis­süs­teem jõuvõtte vastu

Võitluses jõu­võt­tega rünnakute vastu on DenyHosts väärt valik. See sis­se­tun­gide tõ­kes­ta­mise süsteem on kir­ju­ta­tud Pythonis ja on avatud läh­te­koo­diga. See jälgib SSH-sis­se­lo­gi­mis­kat­seid ja blokeerib vastavad aadressid, kui neil on liiga palju eba­õn­nes­tu­nud katseid. See on Deny­Hostsi ametlik GitHubi hoidla.