Behatolásmegelőző rendszer (IPS)

Az IPS (angolul Intrusion Prevention System) egy biztonsági eszköz vagy szolgáltatás, amely segít a szervezetnek azonosítani a rosszindulatú hálózati forgalmat, és blokkolja annak hálózatába való bejutását. Az IPS technológiát használó termékek alkalmazhatóak a bejövő forgalom figyelésére, valamint a forgalom sebezhetőségének és kihasználhatóságainak vizsgálatára. Ha problémát észlel, a behatolásgátló rendszer aktivizálhatja a biztonsági szabályzatban előre meghatározott megfelelő lépéseket, például blokkolhatja a hozzáférést, karanténba helyezheti a gazdagépeket vagy megakadályozhatja a külső webhelyekhez való hozzáférést. [1]

Az IPS rendszerek működése szerkesztés

Az IPS biztonsági szolgáltatást általában „in-line” telepítik, ahol a közvetlen kommunikációs útvonalon helyezkednek el a forrás és a cél között, valós időben elemezheti az adott útvonalon végighaladó hálózati forgalom teljes áramlását, és automatikusan megelőző intézkedéseket hajthatnak végre.

Az IPS bárhol telepíthető a hálózaton, de a leggyakoribb telepítési helyek a következők:

  • Enterprise Edge, Perimeter
  • Vállalati adatközpont

Az IPS önálló IPS-ként is üzembehelyezhető, vagy ugyanez a képesség bekapcsolható a következő generációs tűzfalakon (NGFW) belüli konszolidált IPS funkcióban. Az IPS olyan szignatúrákat használ, amelyek lehetnek sebezhetőség vagy kihasználás specifikusak a rosszindulatú forgalom azonosítására. Ezek általában aláírás-alapú észlelést vagy statisztikai anomália-alapú észlelést alkalmaznak a rosszindulatú tevékenységek azonosítására.

Aláírás-alapú észlelés szerkesztés

Az aláírás-alapú észlelés egyedileg azonosítható aláírásokat használ, amelyek az exploit kódban találhatók. Amikor felfedezik a visszaéléseket, az aláírásaik egy egyre bővülő adatbázisba kerülnek. Az IPS aláírás-alapú észlelése vagy a kizsákmányolással szembeni szignatúrákat foglalja magában, amelyek maguk azonosítják az egyes kihasználhatóságokat, vagy a sebezhető aláírásokat, amelyek azonosítják a támadás célpontjaként szolgáló rendszeren a biztonsági rést. A sebezhetőségre utaló aláírások fontosak a korábban nem észlelt potenciális kihasználási lehetőségek azonosításához, de növelik a hamis pozitív eredmények (fenyegetésként rosszul címkézett jóindulatú csomagok) kockázatát is.

Statisztikai anomálián alapuló észlelés szerkesztés

A statisztikai anomálián alapuló észlelés véletlenszerűen mintát vesz a hálózati forgalomból, majd összehasonlítja a mintákat a teljesítményszint alapértékeivel. Ha a minták az alapvonalon kívül esnek, az IPS műveletet indít a lehetséges támadások megelőzésére.

Miután az IPS azonosítja a rosszindulatú forgalmat, amely hálózatban kihasználható, az úgynevezett virtuális javítást telepít a védelem érdekében. A virtuális javítás biztonsági intézkedésként működik az ismert és ismeretlen sebezhetőségeket kihasználó fenyegetésekkel szemben. Biztonsági házirendeket és szabályokat hajt végre, amelyek megakadályozzák és elfogják, hogy a kizsákmányoláshoz hálózati útvonalat vegyenek fel egy támadáshoz, így hálózaton, nem pedig a gazdagép szintjén nyújt védelmet.

A behatolásgátló rendszerek (IPS) típusai szerkesztés

A behatolásgátló rendszereknek négy figyelemre méltó típusa van. Mindegyik típusnak megvan a maga egyedi védelmi specialitása.

Hálózati alapú behatolás-megelőzési rendszer (NIPS) szerkesztés

Jellemzően egy hálózatalapú behatolásgátló rendszert helyeznek el a kulcsfontosságú hálózati helyeken, ahol figyeli a forgalmat és keresi a kiberfenyegetéseket.

Vezeték nélküli behatolásgátló rendszer (WIPS) szerkesztés

A vezeték nélküli behatolásgátló rendszerek figyelik a Wi-Fi hálózatokat, kapuőrként működnek, és eltávolítják a jogosulatlan eszközöket.

Gazdagép alapú behatolásgátló rendszer (HIPS) szerkesztés

A végpontokra, például PC-kre telepített gazdagép-alapú behatolás-megelőzési rendszerek csak az adott eszközről bejövő és kimenő forgalmat figyelik. A HIPS a NIPS-sel együtt működik a legjobban, és blokkolja azokat a fenyegetéseket, amelyek már túljutottak a NIPS-en.

Hálózati viselkedés elemzése (NBA) szerkesztés

NBA a hálózati forgalomra összpontosít, hogy észlelje az elosztott szolgáltatás-megtagadási (DDoS) támadásokhoz kapcsolódó furcsa mozgásokat és áramlásokat.

Behatolás-megelőzési rendszer (IPS) vs. behatolásészlelő rendszer (IDS) szerkesztés

Míg a behatolásérzékelő rendszerek (IDS) figyelik a hálózatot, és riasztásokat küldenek a rendszergazdáknak a lehetséges fenyegetésekről, addig a behatolás-megelőzési rendszerek komolyabb lépéseket tesznek a hálózathoz való hozzáférés szabályozására, a behatolási adatok figyelésére és a támadások kialakulásának megakadályozására.

Az IPS az IDS-ből fejlődött ki. Az IDS technológia ugyanazt a koncepciót használja a forgalom azonosítására, és néhány hasonló technikát használ, azzal a fő különbséggel, hogy az IPS-t „in-line”, az IDS-t pedig „off-line” telepítik. Továbbra is megvizsgálja a teljes forgalmat, de nem tehet semmilyen megelőző intézkedést. Az IDS-t csak a hálózaton lévő fenyegetések figyelésére és elemzésére, valamint rálátásuk biztosítására alkalmazzák.

Jegyzetek szerkesztés