Dodajanje sistema za pre­pre­če­va­nje vdorov (IPS) k požarnemu zidu je pametna odločitev. Združuje zmo­glji­vo­sti spre­mlja­nja in analize sistema za od­kri­va­nje vdorov (IDS), vendar se od njega razlikuje po svoji pro­ak­tiv­ni zmožnosti, da se aktivno upira grožnjam in jih odvrača.

Kaj pomeni IPS?

Za večino upo­rab­ni­kov je požarni zid pre­iz­ku­še­na in za­ne­slji­va metoda zaščite lastnega sistema ali omrežja pred zunanjimi napadi. Pri­po­ro­člji­vo je, da se temu za­šči­tne­mu mehanizmu doda ustrezen sistem za pre­pre­če­va­nje vdorov (IPS). Sistem deluje v dveh korakih. Najprej opravlja naloge sistema za od­kri­va­nje vdorov (IDS) in nadzira go­sti­te­lja, omrežje ali oboje, da bi takoj prepoznal ne­po­o­bla­šče­ne de­jav­no­sti z ustvar­ja­njem vzorcev in njihovo pri­mer­ja­vo s prometom v realnem času. Drugi korak pride v poštev, ko sistem za pre­pre­če­va­nje vdorov prepozna grožnjo, pri čemer lahko sproži ustrezne pro­ti­u­kre­pe.

Razlika med sistemom za od­kri­va­nje vdorov in sistemom za pre­pre­če­va­nje vdorov je v tem, da sistem za pre­pre­če­va­nje vdorov upra­vi­te­lju le pošlje opozorilo. Sistem za pre­pre­če­va­nje vdorov pa aktivno posreduje, blokira po­dat­kov­ne pakete ali prekine ranljive povezave. Najprej je pomembno, da je sistem za pre­pre­če­va­nje vdorov ustrezno na­sta­vljen, tako da se vse grožnje odvrnejo, ne da bi pri tem ovirali delovni tok. Poleg tega je za optimalno zaščito ključno tesno so­de­lo­va­nje med sistemom IPS in požarnim zidom. Običajno je sistem za pre­pre­če­va­nje vdorov nameščen ne­po­sre­dno za požarnim zidom, kjer s senzorji temeljito ocenjuje sistemske podatke in omrežne pakete.

Kakšne vrste sistemov za pre­pre­če­va­nje vdorov obstajajo?

Obstajajo različne vrste sistemov za pre­pre­če­va­nje vdorov, ki se med seboj raz­li­ku­je­jo predvsem glede na mesto na­me­sti­tve.

  • Sistemi za pre­pre­če­va­nje vdorov na ravni go­sti­te­lja: Sistemi IPS na ravni go­sti­te­lja (HIPS) so nameščeni ne­po­sre­dno na posamezne končne naprave, kjer izključno nad­zo­ru­je­jo vhodne in izhodne podatke. Zato so njihove zmo­glji­vo­sti aktivne obrambe omejene na konkretno napravo, na kateri so nameščeni. HIPS se pogosto upo­ra­blja­jo v povezavi s širšimi var­no­stni­mi metodami, pri čemer sistem za pre­pre­če­va­nje vdorov na ravni go­sti­te­lja služi kot zadnja obrambna linija.
  • Sistemi za pre­pre­če­va­nje vdorov na podlagi omrežja: IPS na podlagi omrežja (NIPS) so strateško nameščeni na več mestih znotraj omrežja, da natančno pre­gle­du­je­jo velike količine po­dat­kov­nih paketov, ki krožijo znotraj njega. Raz­po­re­di­jo se lahko prek namenskih naprav ali znotraj požarnih zidov. Ta po­sta­vi­tev omogoča celovito ske­ni­ra­nje in zaščito vseh sistemov, povezanih z omrežjem.
  • Brezžični sistemi za pre­pre­če­va­nje vdorov: WIPS (Wireless Intrusion Pre­ven­ti­on System) so posebej zasnovani za delovanje v omrežju WLAN. V primeru ne­po­o­bla­šče­ne­ga dostopa IPS poišče ustrezno napravo in jo odstrani iz okolja.
  • Sistemi za pre­pre­če­va­nje vdorov na podlagi vedenja: za boj proti DDoS-napadom se priporoča analiza vedenja v omrežju (NBA). Ta preverja ves po­dat­kov­ni promet in tako lahko vnaprej zazna in prepreči napade.

Kako deluje sistem za pre­pre­če­va­nje vdorov?

Vloga sistema za pre­pre­če­va­nje vdorov obsega dva glavna vidika. Prvič, sistem mora zaznati, predfil­tri­ra­ti, ana­li­zi­ra­ti in poročati o po­ten­ci­al­nih grožnjah, kar je v bistvu podobno sistemu za od­kri­va­nje vdorov. Poleg tega sistem za pre­pre­če­va­nje vdorov v odziv na grožnjo sprejme pro­ak­tiv­ne ukrepe in sproži lastne pre­ven­tiv­ne ukrepe. V obeh primerih ima sistem IPS na voljo vrsto različnih metod.

Metode analize IPS

  • Za­zna­va­nje anomalij: Za­zna­va­nje anomalij vključuje pri­mer­ja­vo delovanja omrežja ali končne naprave z vnaprej določenim stan­dar­dom. Ob večjih od­sto­pa­njih od tega standarda sistem za pre­pre­če­va­nje vdorov sproži ustrezne pro­ti­u­kre­pe. Vendar pa lahko ta metoda, odvisno od kon­fi­gu­ra­ci­je, povzroči tudi pogoste lažne alarme. Tudi zaradi tega se sodobni sistemi vse bolj zanašajo na umetno in­te­li­gen­co, da bi znatno zmanjšali stopnjo napak.
  • Za­zna­va­nje zlorab: Pri tej metodi se po­dat­kov­ni paketi natančno pre­gle­du­je­jo za znanimi oblikami napadov. Ta vrsta sistema za pre­pre­če­va­nje vdorov kaže visoke stopnje za­zna­va­nja za uve­lja­vlje­ne grožnje, saj jih prepozna z visoko stopnjo gotovosti. Vendar je manj učinkovit proti novim, prej ne­pre­po­zna­nim napadom.
  • IPS na podlagi pravil: Sistem za pre­pre­če­va­nje vdorov na podlagi pravil se uporablja manj pogosto v pri­mer­ja­vi z dvema prej ome­nje­ni­ma metodama. Za izvedbo tega pristopa je treba najprej kon­fi­gu­ri­ra­ti edin­stve­ne in spe­ci­fič­ne varnostne politike. Te politike služijo kot podlaga za spre­mlja­nje ustre­zne­ga sistema.

Obrambni mehanizmi IPS

Sistem za pre­pre­če­va­nje vdorov deluje v realnem času, ne da bi oviral pretok podatkov. Ko se z zgoraj opisanimi metodami spre­mlja­nja zazna grožnja, sistem IPS ponuja več možnosti odziva. V manj kritičnih si­tu­a­ci­jah, podobno kot sistem IDS, pošlje obvestilo skrbniku, da ta sprejme nadaljnje ukrepe. V resnejših primerih pa sistem za pre­pre­če­va­nje vdorov ukrepa sa­mo­stoj­no. Lahko prekine in ponastavi prenosne poti, blokira vire ali cilje ali celo v celoti zavrne po­dat­kov­ne pakete.

Kakšne so prednosti sistema za pre­pre­če­va­nje vdorov?

Strateška uvedba sistema za pre­pre­če­va­nje vdorov upo­rab­ni­kom prinaša številne prednosti. Naj­po­memb­nej­ša med njimi je iz­bolj­ša­nje splošne varnosti z od­kri­va­njem tveganj, ki jih druga orodja morda ne zaznavajo. S predfil­tri­ra­njem sistem za pre­pre­če­va­nje vdorov tudi raz­bre­me­ni druge varnostne mehanizme in tako varuje celotno in­fra­struk­tu­ro. Možnosti kon­fi­gu­ra­ci­je omogočajo natančno pri­la­ga­ja­nje sistema IPS posebnim zahtevam. Ob uspešni kon­fi­gu­ra­ci­ji sistem deluje sa­mo­stoj­no, kar pomeni znatno prihranek časa.

Kakšne so slabosti sistema za pre­pre­če­va­nje vdorov?

Sistem za pre­pre­če­va­nje vdorov ob pravilni uporabi znatno izboljša varnost omrežja. Vendar pa ta pristop prinaša tudi nekaj po­ten­ci­al­nih slabosti. Poleg že omenjenih omejitev pri od­kri­va­nju anomalij in zlorab obstaja tudi pomembna skrb glede zahtev po strojni opremi. Sistemi za pre­pre­če­va­nje vdorov običajno zahtevajo znatne vire, ki se po­ve­ču­je­jo so­raz­mer­no z ve­li­ko­stjo omrežja. Zato se njihova resnična vrednost uresniči šele takrat, ko se njihove zmo­glji­vo­sti uskladijo z zahtevami omrežja. Poleg tega je kon­fi­gu­ra­ci­ja lahko zahtevna, zlasti za ne­iz­ku­še­ne upo­rab­ni­ke. Ne­op­ti­mal­ne kon­fi­gu­ra­ci­je lahko pov­zro­či­jo težave v omrežju.

DenyHosts: Najboljši sistem za pre­pre­če­va­nje vdorov (IPS) proti napadom brute force

V boju proti napadom z bruto silo je DenyHosts dobra izbira. Ta sistem za pre­pre­če­va­nje vdorov je napisan v jeziku Python in je od­pr­to­ko­dni. Nadzoruje poskuse prijave prek SSH in blokira zadevne naslove, če je pri njih prišlo do preveč ne­u­spe­šnih poskusov. To je uradno GitHubovo skladišče DenyHosts.

Go to Main Menu