Přidání systému prevence narušení (IPS) k firewallu je cennou volbou. Kombinuje monitorovací a analytické schopnosti systému detekce narušení (IDS), ale odlišuje se svou proaktivní schopností aktivně čelit hrozbám a odrazovat je.

Co znamená IPS?

Pro většinu uživatelů je firewall osvědčenou metodou ochrany vlastního systému nebo sítě před útoky zvenčí. Vhodným doplňkem tohoto ochranného mechanismu je systém prevence narušení (IPS). Systém funguje ve dvou krocích. Nejprve plní úkoly systému detekce narušení (IDS) a monitoruje hostitele, síť nebo obojí, aby okamžitě identifikoval neoprávněné aktivity vytvářením vzorců a jejich porovnáváním s provozem v reálném čase. Druhý krok nastává, když systém prevence narušení identifikuje hrozbu, a v tom okamžiku může zahájit příslušná protiopatření.

Rozdíl mezi systémem detekce narušení a systémem prevence narušení spočívá v tom, že systém prevence narušení pouze zasílá varování správci. Systém prevence narušení naopak aktivně zasahuje, blokuje datové pakety nebo přerušuje zranitelná připojení. V první řadě je důležité, aby byl systém prevence narušení správně nakonfigurován, aby byly všechny hrozby odvráceny, aniž by došlo k narušení pracovního toku. Kromě toho je pro optimální ochranu zásadní úzká spolupráce mezi IPS a firewallem. Systém prevence narušení je obvykle umístěn přímo za firewallem a pomocí senzorů důkladně vyhodnocuje systémová data a síťové pakety.

Jaké typy systémů prevence narušení existují?

Existují různé typy systémů prevence narušení, které se liší především místem nasazení.

  • Hostitelské systémy prevence narušení: Hostitelské systémy IPS (HIPS) se instalují přímo na jednotlivá koncová zařízení, kde monitorují výhradně příchozí a odchozí data. Výsledkem je, že jejich aktivní obranné schopnosti jsou omezeny na konkrétní zařízení, na kterém jsou nainstalovány. Systémy HIPS se často používají ve spojení s širšími bezpečnostními metodami, přičemž hostitelský systém prevence narušení slouží jako poslední linie obrany.
  • Síťové systémy prevence narušení: Síťové IPS (NIPS) jsou strategicky umístěny na více místech v síti, aby mohly kontrolovat velké množství datových paketů, které v ní cirkulují. Mohou být nasazeny prostřednictvím specializovaných zařízení nebo v rámci firewallů. Toto nastavení umožňuje komplexní skenování a ochranu všech systémů připojených k síti.
  • Bezdrátové systémy prevence narušení: Systémy WIPS (Wireless Intrusion Prevention System) jsou speciálně navrženy pro práci v síti WLAN. V případě neoprávněného přístupu IPS lokalizuje příslušné zařízení a odstraní ho z prostředí.
  • Systémy prevence narušení chování: Pro boj proti útokům DDoS se doporučuje analýza chování sítě (NBA). Ta kontroluje veškerý datový provoz a může tak předem detekovat a zabránit útokům.

Jak funguje systém prevence narušení?

Úloha systému prevence narušení zahrnuje dva hlavní aspekty. Zaprvé musí detekovat, předfiltrovat, analyzovat a hlásit potenciální hrozby, což je v podstatě podobné jako u systému detekce narušení. Kromě toho systém prevence narušení přijímá proaktivní opatření v reakci na hrozbu a iniciuje vlastní preventivní opatření. V obou scénářích má IPS k dispozici řadu metod.

Metody analýzy IPS

  • Detekce anomálií: Detekce anomálií zahrnuje porovnání chování sítě nebo koncového zařízení s předem definovaným standardem. Významné odchylky od tohoto standardu vedou systém prevence narušení k přijetí vhodných protiopatření. V závislosti na konfiguraci však může tato metoda také vést k častým falešným poplachům. I z tohoto důvodu se moderní systémy stále více spoléhají na umělou inteligenci, aby výrazně snížily míru chybovosti.
  • Detekce zneužití: Při této metodě jsou datové pakety podrobně zkoumány, zda neobsahují známé formy útoků. Tento typ systému prevence narušení vykazuje vysokou míru detekce známých hrozeb a identifikuje je s vysokou mírou jistoty. Je však méně účinný proti novým, dosud neidentifikovaným útokům.
  • IPS založený na zásadách: Systém prevence narušení založený na zásadách se používá méně často než dvě výše uvedené metody. K implementaci tohoto přístupu je nejprve nutné nakonfigurovat jedinečné a specifické zásady zabezpečení. Tyto zásady slouží jako základ pro monitorování příslušného systému.

Obranné mechanismy IPS

Systém prevence narušení funguje v reálném čase, aniž by bránil toku dat. Když je pomocí výše popsaných metod monitorování detekována hrozba, IPS nabízí několik možností reakce. V méně kritických situacích, podobně jako IDS, odešle správci oznámení, aby podnikl další kroky. V závažnějších případech však systém prevence narušení podnikne autonomní kroky. Může přerušit a resetovat přenosové cesty, blokovat zdroje nebo cíle, nebo dokonce zcela zahodit datové pakety.

Jaké jsou výhody systému prevence narušení?

Strategické nasazení systému prevence narušení nabízí uživatelům řadu výhod. Především zvyšuje celkovou bezpečnost tím, že detekuje rizika, která by jinými nástroji mohla zůstat nepovšimnuta. Díky předběžnému filtrování systém prevence narušení také snižuje zátěž ostatních bezpečnostních mechanismů a chrání tak celou infrastrukturu. Možnosti konfigurace umožňují přesné přizpůsobení IPS konkrétním požadavkům. Po úspěšné konfiguraci systém funguje autonomně, což přináší významnou úsporu času.

Jaké jsou nevýhody systému prevence narušení?

Při správném použití systém prevence narušení výrazně zvyšuje bezpečnost sítě. S tímto přístupem jsou však spojeny i některé potenciální nevýhody. Kromě již zmíněných omezení detekce anomálií a zneužití existuje také významný problém týkající se hardwarových požadavků. Systémy prevence narušení obvykle vyžadují značné zdroje, které se zvyšují úměrně s velikostí sítě. Jejich skutečná hodnota se proto projeví až tehdy, když jejich kapacity odpovídají požadavkům sítě. Konfigurace může být navíc náročná, zejména pro laiky. Neoptimální konfigurace mohou vést k problémům se sítí.

DenyHosts: Nejlepší IPS proti hrubé síle

V boji proti útokům hrubou silou je DenyHosts užitečnou volbou. Tento systém prevence narušení byl napsán v jazyce Python a je open source. Sleduje pokusy o přihlášení přes SSH a blokuje odpovídající adresy, pokud mají příliš mnoho neúspěšných pokusů. Toto je oficiální repozitář DenyHosts na GitHubu.

Přejít do hlavního menu