Å utvide en brannmur med et system for forebygging av inntrenging (IPS) er et lurt valg. Det kombinerer overvåkings- og analysefunksjonene til et system for oppdagelse av inntrenging (IDS), men det som skiller det ut, er dets evne til proaktivt å motvirke og avverge trusler.

Hva betyr IPS?

For de fleste brukere er brannmuren en velprøvd metode for å beskytte sitt eget system eller nettverk mot angrep utenfra. Et egnet inntrengingsforebyggende system (IPS) er et anbefalt tillegg til denne beskyttelsesmekanismen. Systemet fungerer i to trinn. Først utfører det oppgavene til et inntrengingsdeteksjonssystem (IDS) og overvåker enten verten, nettverket eller begge deler for å raskt identifisere uautoriserte aktiviteter ved å opprette mønstre og sammenligne dem med sanntidstrafikk. Det andre trinnet trer i kraft når det inntrengingsforebyggende systemet identifiserer en trussel, og da kan det iverksette passende mottiltak.

Forskjellen mellom et system for inntrengingsdeteksjon og et system for inntrengingsforebygging er at det sistnevnte kun sender en advarsel til administratoren. Systemet for inntrengingsforebygging griper derimot aktivt inn, blokkerer datapakker eller avbryter sårbare tilkoblinger. For det første er det viktig at systemet for inntrengingsforebygging er riktig konfigurert, slik at alle trusler avverges uten å hindre arbeidsflyten. I tillegg er et tett samarbeid mellom IPS og brannmuren avgjørende for optimal beskyttelse. Vanligvis plasseres inntrengingsforebyggingssystemet rett bak brannmuren, hvor det bruker sensorer til å grundig vurdere systemdata og nettverkspakker.

Hvilke typer systemer for inntrengingsforebygging finnes det?

Det finnes ulike typer systemer for inntrengingsforebygging, som først og fremst skiller seg fra hverandre når det gjelder hvor de installeres.

  • Vertsbaserte inntrengingsforebyggende systemer: Vertsbaserte IPS (HIPS) installeres direkte på enkeltstående sluttbrukerutstyr, hvor de utelukkende overvåker innkommende og utgående data. Dermed er deres aktive forsvarsevne begrenset til den spesifikke enheten de er installert på. HIPS brukes ofte i kombinasjon med bredere sikkerhetsmetoder, der det vertbaserte inntrengingsforebyggende systemet fungerer som en siste forsvarslinje.
  • Nettverksbaserte inntrengingsforebyggende systemer: Nettverksbaserte IPS (NIPS) er strategisk plassert på flere steder i et nettverk for å granske et stort volum av datapakker som sirkulerer i det. De kan distribueres gjennom dedikerte enheter eller innenfor brannmurer. Denne konfigurasjonen muliggjør omfattende skanning og beskyttelse av alle systemer som er koblet til nettverket.
  • Trådløse inntrengingsforebyggende systemer: WIPS (Wireless Intrusion Prevention System) er spesielt utviklet for å fungere i et WLAN-nettverk. Ved uautorisert tilgang lokaliserer IPS den aktuelle enheten og fjerner den fra miljøet.
  • Atferdsbaserte inntrengingsforebyggende systemer: Network Behavior Analysis (NBA) anbefales for å bekjempe DDoS-angrep. Dette sjekker all datatrafikk og kan dermed oppdage og forhindre angrep på forhånd.

Hvordan fungerer et system for forebygging av inntrenging?

Et inntrengingsforebyggende system har to hovedfunksjoner. For det første må det oppdage, forhåndsfiltrere, analysere og rapportere potensielle trusler, noe som i hovedsak ligner på et inntrengingsdeteksjonssystem. Videre iverksetter det inntrengingsforebyggende systemet proaktive tiltak som respons på en trussel, ved å sette i gang egne forebyggende tiltak. I begge tilfeller har IPS en rekke metoder til rådighet.

IPS-analysemetoder

  • Avvikdeteksjon: Avvikdeteksjon innebærer å sammenligne oppførselen til nettverket eller sluttbrukerutstyret med en forhåndsdefinert standard. Vesentlige avvik fra denne standarden får systemet for inntrengingsforebygging til å iverksette passende mottiltak. Avhengig av konfigurasjonen kan denne metoden imidlertid også føre til hyppige falske alarmer. Også av denne grunn benytter moderne systemer i stadig større grad kunstig intelligens for å redusere feilfrekvensen betydelig.
  • Deteksjon av misbruk: I denne metoden blir datapakker gransket for kjente former for angrep. Denne typen inntrengingsforebyggende systemer har høye deteksjonsrater for etablerte trusler og identifiserer dem med høy grad av sikkerhet. Det er imidlertid mindre effektivt mot nye, tidligere uidentifiserte angrep.
  • Policybasert IPS: Det policybaserte inntrengingsforebyggende systemet brukes sjeldnere sammenlignet med de to metodene som er omtalt tidligere. For å implementere denne tilnærmingen må unike og spesifikke sikkerhetspolicyer konfigureres først. Disse policyene fungerer som grunnlag for overvåking av det tilhørende systemet.

IPS-forsvarsmekanismer

Inntrengingsforebyggingssystemet fungerer i sanntid uten å hindre dataflyten. Når en trussel oppdages gjennom de overvåkingsmetodene som er beskrevet tidligere, tilbyr IPS flere reaksjonsalternativer. I mindre kritiske situasjoner, på samme måte som et IDS, sender det et varsel til administratoren for videre tiltak. I mer alvorlige tilfeller iverksetter imidlertid inntrengingsforebyggingssystemet autonome tiltak. Det kan avbryte og tilbakestille overføringsveier, blokkere kilder eller destinasjoner, eller til og med forkaste datapakker fullstendig.

Hva er fordelene med et system for inntrengingsforebygging?

Strategisk implementering av et inntrengingsforebyggende system gir brukerne en rekke fordeler. Fremfor alt forbedrer det den generelle sikkerheten ved å oppdage risikoer som andre verktøy kanskje ikke fanger opp. Gjennom forhåndsfiltrering avlaster det inntrengingsforebyggende systemet også andre sikkerhetsmekanismer, og sikrer dermed hele infrastrukturen. Konfigurasjonsalternativene gjør det mulig å tilpasse IPS-systemet nøyaktig etter spesifikke behov. Når konfigurasjonen er på plass, fungerer systemet selvstendig, noe som gir en betydelig tidsbesparelse.

Hva er ulempene ved et system for inntrengingsforebygging?

Når det brukes riktig, forbedrer et system for inntrengingsforebygging nettverkssikkerheten betydelig. Det finnes imidlertid også noen potensielle ulemper ved denne tilnærmingen. I tillegg til de tidligere nevnte begrensningene ved deteksjon av avvik og misbruk, er det en betydelig bekymring knyttet til maskinvarekravene. Inntrengingsforebyggende systemer krever vanligvis betydelige ressurser, som øker i takt med nettverkets størrelse. Derfor realiseres deres virkelige verdi når kapasiteten deres samsvarer med nettverkets krav. Videre kan konfigurasjonen være utfordrende, særlig for ikke-eksperter. Suboptimale konfigurasjoner kan føre til nettverksproblemer.

DenyHosts: Den beste IP-blokkeringen mot brute force-angrep

I kampen mot brute force-angrep er DenyHosts et godt valg. Dette systemet for inntrengingsforebygging er skrevet i Python og er åpen kildekode. Det overvåker SSH-innloggingsforsøk og blokkerer de aktuelle adressene dersom det har vært for mange mislykkede forsøk. Dette er det offisielle GitHub-arkivet til DenyHosts.

Go to Main Menu