Mikä on tunkeutumisenestojärjestelmä?
Tunkeutumisenestojärjestelmän (IPS) lisääminen palomuuriin on järkevä ratkaisu. Se yhdistää tunkeutumisen havaitsemisjärjestelmän (IDS) valvonta- ja analysointitoiminnot, mutta sen erityispiirre on kyky torjua ja estää uhkia ennakoivasti.
Mitä IPS tarkoittaa?
Useimmille käyttäjille palomuuri on hyväksi todettu tapa suojata omaa järjestelmää tai verkkoa ulkopuolelta tulevilta hyökkäyksiltä. Sopiva tunkeutumisenestojärjestelmä (IPS) on suositeltava lisä tähän suojausmekanismiin. Järjestelmä toimii kahdessa vaiheessa. Ensinnäkin se suorittaa tunkeutumisen havaitsemisjärjestelmän (IDS) tehtäviä ja valvoo joko isäntää, verkkoa tai molempia tunnistaakseen nopeasti luvattomat toiminnot luomalla malleja ja vertaamalla niitä reaaliaikaiseen liikenteeseen. Toinen vaihe astuu kuvaan, kun tunkeutumisenestojärjestelmä tunnistaa uhan, jolloin se voi käynnistää asianmukaiset vastatoimenpiteet.
Tunkeutumisen havaitsemisjärjestelmän ja tunkeutumisen estojärjestelmän ero on siinä, että tunkeutumisen estojärjestelmä lähettää vain varoituksen järjestelmänvalvojalle. Tunkeutumisen estojärjestelmä puolestaan puuttuu aktiivisesti asiaan, estää datapaketteja tai katkaisee haavoittuvat yhteydet. Ensinnäkin on tärkeää, että tunkeutumisen estojärjestelmä on määritetty asianmukaisesti, jotta kaikki uhat torjutaan työnkulkua haittaamatta. Lisäksi tiivis yhteistyö tunkeutumisen estojärjestelmän ja palomuurin välillä on ratkaisevan tärkeää optimaalisen suojan kannalta. Tyypillisesti tunkeutumisen estojärjestelmä sijoitetaan suoraan palomuurin taakse, ja se käyttää antureita järjestelmätietojen ja verkkopakettien perusteelliseen arviointiin.
Millaisia tunkeutumisenestojärjestelmiä on olemassa?
Tunkeutumisenestojärjestelmiä on erilaisia, ja ne eroavat toisistaan pääasiassa sijoituspaikan suhteen.
- Isäntäpohjaiset tunkeutumisenestojärjestelmät: Isäntäpohjaiset tunkeutumisenestojärjestelmät (HIPS) asennetaan suoraan yksittäisiin päätelaitteisiin, joissa ne valvovat yksinomaan saapuvia ja lähteviä tietoja. Tämän vuoksi niiden aktiiviset puolustusominaisuudet rajoittuvat siihen laitteeseen, johon ne on asennettu. HIPS-järjestelmiä käytetään usein yhdessä laajempien tietoturvamenetelmien kanssa, jolloin isäntäpohjainen tunkeutumisenestojärjestelmä toimii viimeisenä puolustuslinjana.
- Verkkopohjaiset tunkeutumisenestojärjestelmät: Verkkopohjaiset IPS**-järjestelmät**(NIPS) sijoitetaan strategisesti useisiin paikkoihin verkossa, jotta ne voivat tarkkailla verkossa liikkuvaa suurta määrää datapaketteja. Ne voidaan ottaa käyttöön erillisillä laitteilla tai palomuurien sisällä. Tämä kokoonpano mahdollistaa verkkoon kytkettyjen kaikkien järjestelmien kattavan skannauksen ja suojauksen.
- Langattomat tunkeutumisenestojärjestelmät: WIPS (Wireless Intrusion Prevention System) on suunniteltu erityisesti toimimaan WLAN-verkossa. Jos verkkoon yritetään tunkeutua luvatta, IPS paikantaa kyseisen laitteen ja poistaa sen ympäristöstä.
- Käyttäytymiseen perustuvat tunkeutumisenestojärjestelmät: Verkkojen käyttäytymisanalyysiä (NBA) suositellaan DDoS-hyökkäysten torjumiseen. Se tarkistaa kaiken dataliikenteen ja pystyy siten havaitsemaan ja estämään hyökkäykset etukäteen.
Miten tunkeutumisenestojärjestelmä toimii?
Tunkeutumisenestojärjestelmän tehtävään kuuluu kaksi pääasiallista osa-aluetta. Ensinnäkin sen on tunnistettava, suodatettava, analysoitava ja raportoitava mahdolliset uhat, mikä vastaa olennaisesti tunkeutumisen havaitsemisjärjestelmän toimintaa. Lisäksi tunkeutumisenestojärjestelmä ryhtyy uhkien ilmetessä ennakoiviin toimenpiteisiin ja käynnistää omat torjuntatoimensa. Molemmissa tilanteissa IPS:llä on käytettävissään useita erilaisia menetelmiä.
IPS-analyysimenetelmät
- Poikkeamien havaitseminen: Poikkeamien havaitsemisessa verrataan verkon tai päätelaitteen käyttäytymistä ennalta määriteltyyn standardiin. Merkittävät poikkeamat tästä standardista saavat tunkeutumisenestojärjestelmän ryhtymään tarvittaviin vastatoimiin. Konfiguraatiosta riippuen tämä menetelmä voi kuitenkin aiheuttaa myös runsaasti vääriä hälytyksiä. Myös tästä syystä nykyaikaiset järjestelmät hyödyntävät yhä enemmän tekoälyä virheiden määrän vähentämiseksi merkittävästi.
- Väärinkäytön havaitseminen: Tässä menetelmässä datapaketteja tarkastellaan tunnettujen hyökkäysmuotojen varalta. Tämän tyyppinen tunkeutumisenestojärjestelmä osoittaa vahvoja havaitsemisasteita vakiintuneille uhkille ja tunnistaa ne suurella varmuudella. Se on kuitenkin vähemmän tehokas uusia, aiemmin tunnistamattomia hyökkäyksiä vastaan.
- Käytäntöihin perustuva IPS: Käytäntöihin perustuvaa tunkeutumisenestojärjestelmää käytetään harvemmin kuin kahta edellä mainittua menetelmää. Tämän lähestymistavan toteuttamiseksi on ensin määritettävä yksilölliset ja tarkat tietoturvakäytännöt. Nämä käytännöt toimivat perustana vastaavan järjestelmän valvonnalle.
IPS:n suojamekanismit
Tunkeutumisenestojärjestelmä toimii reaaliajassa häiritsemättä tiedonsiirtoa. Kun uhka havaitaan aiemmin kuvattujen valvontamenetelmien avulla, IPS tarjoaa useita reagointivaihtoehtoja. Vähemmän kriittisissä tilanteissa se lähettää IDS:n tavoin ilmoituksen järjestelmänvalvojalle jatkotoimenpiteitä varten. Vakavammissa tapauksissa tunkeutumisenestojärjestelmä ryhtyy kuitenkin itsenäisiin toimenpiteisiin. Se voi katkaista ja nollata siirtoreitit, estää lähteitä tai kohteita tai jopa hylätä datapaketit kokonaan.
Mitkä ovat tunkeutumisenestojärjestelmän edut?
Tunkeutumisenestojärjestelmän strateginen käyttöönotto tarjoaa käyttäjille lukuisia etuja. Erityisesti se parantaa yleistä tietoturvaa havaitsemalla riskejä, jotka saattaisivat jäädä muilta työkaluilta huomaamatta. Esisuodatuksen avulla tunkeutumisenestojärjestelmä myös keventää muiden tietoturvamekanismien kuormitusta ja suojaa koko infrastruktuuria. Määritysvaihtoehtojen avulla IPS-järjestelmä voidaan räätälöidä tarkasti vastaamaan erityisiä vaatimuksia. Kun järjestelmä on määritetty oikein, se toimii itsenäisesti, mikä säästää huomattavasti aikaa.
Mitkä ovat tunkeutumisenestojärjestelmän haitat?
Oikein käytettynä tunkeutumisenestojärjestelmä parantaa verkon tietoturvaa huomattavasti. Tähän lähestymistapaan liittyy kuitenkin myös joitakin mahdollisia haittoja. Aiemmin mainittujen poikkeavuuksien ja väärinkäytön havaitsemiseen liittyvien rajoitusten lisäksi laitteistovaatimukset ovat merkittävä huolenaihe. Tunkeutumisenestojärjestelmät vaativat tyypillisesti huomattavia resursseja, jotka kasvavat verkon koon kasvaessa. Siksi niiden todellinen arvo toteutuu vasta, kun niiden kapasiteetti vastaa verkon vaatimuksia. Lisäksi konfigurointi voi olla haastavaa, erityisesti muille kuin asiantuntijoille. Epäoptimaaliset konfiguraatiot voivat johtaa verkko-ongelmiin.
DenyHosts: Paras hyökkäysten estojärjestelmä brute force -hyökkäyksiä vastaan
Brute force -hyökkäysten torjunnassa DenyHosts on hyvä vaihtoehto. Tämä tunkeutumisenestojärjestelmä on kirjoitettu Python-kielellä ja se on avoimen lähdekoodin ohjelmisto. Se valvoo SSH-kirjautumisyrityksiä ja estää kyseiset osoitteet, jos epäonnistuneita kirjautumisyrityksiä on liikaa. Tämä on DenyHostsin virallinen GitHub-arkisto.