Kas ir iebrukumu novēršanas sistēma?
Iebrukuma novēršanas sistēmas (IPS) pievienošana ugunsmūrim ir vērtīga izvēle. Tā apvieno iebrukuma atklāšanas sistēmas (IDS) uzraudzības un analīzes iespējas, taču to nošķir tās proaktīvā spēja aktīvi pretoties draudiem un tos novērst.
Ko nozīmē IPS?
Lielākajai daļai lietotāju ugunsmūris ir laika gaitā pārbaudīta metode, kā aizsargāt savu sistēmu vai tīklu pret ārējiem uzbrukumiem. Šim aizsardzības mehānismam ieteicams pievienot piemērotu iebrukuma novēršanas sistēmu (IPS). Sistēma darbojas divos posmos. Pirmkārt, tā veic iebrukuma atklāšanas sistēmas (IDS) uzdevumus un uzrauga vai nu datoru, vai tīklu, vai abus, lai nekavējoties identificētu neatļautas darbības, izveidojot modeļus un salīdzinot tos ar reāllaika datplūsmu. Otrais posms sākas, kad iebrukuma novēršanas sistēma identificē draudus, un šajā brīdī tā var uzsākt atbilstošus pretpasākumus.
Atšķirība starp iebrukuma atklāšanas sistēmu un iebrukuma novēršanas sistēmu ir tāda, ka iebrukuma novēršanas sistēma vienkārši nosūta brīdinājumu administratoram. Savukārt iebrukuma novēršanas sistēma aktīvi iejaucas, bloķējot datu paketes vai pārtraucot neaizsargātus savienojumus. Pirmkārt, ir svarīgi, lai iebrukuma novēršanas sistēma būtu pareizi konfigurēta, lai visi draudi tiktu novērsti, netraucējot darba plūsmu. Turklāt cieša sadarbība starp IPS un ugunsmūri ir būtiska optimālai aizsardzībai. Parasti iebrukuma novēršanas sistēma atrodas tieši aiz ugunsmūra un izmanto sensorus, lai rūpīgi izvērtētu sistēmas datus un tīkla paketes.
Kādi ir iebrukumu novēršanas sistēmu veidi?
Ir dažādi iebrukumu novēršanas sistēmu veidi, kas galvenokārt atšķiras pēc to izvietošanas vietas.
- Uz datoru balstītas iebrukumu novēršanas sistēmas: Uz datoru balstītās IPS (HIPS) tiek instalētas tieši uz atsevišķām galiekārtām, kur tās uzrauga vienīgi ienākošos un izejošos datus. Tā rezultātā to aktīvās aizsardzības iespējas ir ierobežotas ar konkrēto ierīci, uz kuras tās ir instalētas. HIPS bieži izmanto kopā ar plašākām drošības metodēm, kur uz datoru balstītā iebrukumu novēršanas sistēma darbojas kā pēdējā aizsardzības līnija.
- Tīkla bāzētas iebrukuma novēršanas sistēmas: Tīkla bāzētas IPS (NIPS) tiek stratēģiski izvietotas vairākās vietās tīklā, lai pārbaudītu lielu datu pakešu apjomu, kas cirkulē tīklā. Tās var izvietot, izmantojot specializētas ierīces vai ugunsmūrus. Šāda konfigurācija ļauj veikt visaptverošu skenēšanu un aizsardzību visām sistēmām, kas ir pieslēgtas tīklam.
- Bezvadu iebrukumu novēršanas sistēmas: WIPS (Wireless Intrusion Prevention System) ir īpaši izstrādātas darbam WLAN tīklā. Neatļautas piekļuves gadījumā IPS atrod attiecīgo ierīci un izslēdz to no vides.
- Uzvedības iebrukuma novēršanas sistēmas: Tīkla uzvedības analīze (NBA) ir ieteicama cīņai pret DDoS uzbrukumiem. Tā pārbauda visu datu plūsmu un tādējādi var iepriekš atklāt un novērst uzbrukumus.
Kā darbojas iebrukumu novēršanas sistēma?
Iebrukuma novēršanas sistēmas uzdevums ietver divus galvenos aspektus. Pirmkārt, tai ir jāatklāj, jāveic iepriekšēja filtrēšana, jāanalizē un jāziņo par potenciālajiem draudiem, kas būtībā atgādina iebrukuma atklāšanas sistēmu. Turklāt iebrukuma novēršanas sistēma reaģē uz draudiem, veicot proaktīvus pasākumus un iedarbinot savus novēršanas mehānismus. Abos gadījumos IPS rīcībā ir virkne metožu.
IPS analīzes metodes
- Anomāliju atklāšana: Anomāliju atklāšana ietver tīkla vai gala ierīces darbības salīdzināšanu ar iepriekš definētu standartu. Būtiskas novirzes no šī standarta liek iebrukumu novēršanas sistēmai veikt atbilstošus pretpasākumus. Tomēr atkarībā no konfigurācijas šī metode var izraisīt arī biežus viltus trauksmes signālus. Arī šī iemesla dēļ mūsdienu sistēmas arvien vairāk paļaujas uz mākslīgo intelektu, lai ievērojami samazinātu kļūdu skaitu.
- Pārkāpumu atklāšana: Šajā metodē datu paketes tiek rūpīgi pārbaudītas, lai atklātu zināmas uzbrukumu formas. Šāda veida iebrukumu novēršanas sistēma demonstrē augstu atklāšanas rādītāju attiecībā uz jau zināmiem draudiem, identificējot tos ar augstu ticamības pakāpi. Tomēr tā ir mazāk efektīva pret jauniem, iepriekš neidentificētiem uzbrukumiem.
- Uz politikām balstīta IPS: Uz politikām balstīta iebrukumu novēršanas sistēma tiek izmantota retāk nekā divas iepriekš aprakstītās metodes. Lai īstenotu šo pieeju, vispirms ir jākonfigurē unikālas un specifiskas drošības politikas. Šīs politikas kalpo par pamatu attiecīgās sistēmas uzraudzībai.
IPS aizsardzības mehānismi
Iebrukuma novēršanas sistēma darbojas reāllaikā, netraucējot datu plūsmu. Ja, izmantojot iepriekš aprakstītās uzraudzības metodes, tiek konstatēts drauds, IPS piedāvā vairākas reaģēšanas iespējas. Mazāk kritiskās situācijās, līdzīgi kā IDS, tā nosūta paziņojumu administratoram, lai tas veiktu turpmākus pasākumus. Tomēr smagākos gadījumos iebrukuma novēršanas sistēma rīkojas patstāvīgi. Tā var pārtraukt un atjaunot datu pārraides ceļus, bloķēt avotus vai galamērķus vai pat pilnībā izmest datu paketes.
Kādas ir iebrukuma novēršanas sistēmas priekšrocības?
Iebrukuma novēršanas sistēmas stratēģiska ieviešana sniedz lietotājiem daudzas priekšrocības. Galvenokārt tā uzlabo vispārējo drošību, atklājot riskus, kas citiem rīkiem varētu palikt nepamanīti. Veicot iepriekšēju filtrēšanu, iebrukuma novēršanas sistēma arī atvieglo citu drošības mehānismu slodzi, tādējādi aizsargājot visu infrastruktūru. Konfigurācijas iespējas ļauj precīzi pielāgot IPS konkrētām prasībām. Pēc veiksmīgas konfigurācijas sistēma darbojas autonomi, tādējādi nodrošinot ievērojamu laika ietaupījumu.
Kādi ir iebrukuma novēršanas sistēmas trūkumi?
Pareizi izmantota iebrukumu novēršanas sistēma ievērojami uzlabo tīkla drošību. Tomēr šai pieejai ir arī daži potenciāli trūkumi. Papildus iepriekš minētajiem ierobežojumiem saistībā ar anomāliju un ļaunprātīgas izmantošanas atklāšanu pastāv arī nopietnas bažas par aparatūras prasībām. Iebrukuma novēršanas sistēmām parasti nepieciešami ievērojami resursi, kas palielinās atbilstoši tīkla lielumam. Tāpēc to patiesā vērtība tiek realizēta tad, kad to jauda atbilst tīkla prasībām. Turklāt konfigurēšana var būt sarežģīta, īpaši cilvēkiem, kas nav eksperti. Nepilnīgas konfigurācijas var izraisīt tīkla problēmas.
DenyHosts: labākais IP bloķēšanas risinājums pret bruto spēka uzbrukumiem
Cīņā pret bruto spēka uzbrukumiem DenyHosts ir vērtīga izvēle. Šī iebrukumu novēršanas sistēma ir izstrādāta Python valodā un ir atvērtā koda. Tā uzrauga SSH pieteikšanās mēģinājumus un bloķē attiecīgās adreses, ja tām ir pārāk daudz neveiksmīgu mēģinājumu. Šis ir DenyHosts oficiālais GitHub repozitorijs.