Bevezetés a behatolás-megelőző rendszerek típusaiba
A behatolás-érzékelő rendszer meghatározható olyan eszközként, amelyet a nyilvános hálózat (interwork) és a magánhálózat felületén telepítenek azzal a céllal, hogy megakadályozzák a rosszindulatú hálózati csomagok behatolását. Ahogy a név is kimondja, ennek az eszköznek a létezésének célja annak biztosítása, hogy a rosszindulatú aláírással rendelkező csomagokat ne engedjék be a magánhálózatba, mivel szórakoztatásuk esetén az internetet károsíthatják. Az IPS-eszközök nagymértékben képesek integrálni a hálózati biztonságban használt egyéb eszközökkel, hogy megakadályozzák a támadásokat a hálózat szintjén. Ebben a témában megismerjük a behatolás-megelőző rendszerek típusait.
A behatolás-megelőző rendszerek típusai
A behatolás-megelőző rendszer nem korlátozódik a hálózati csomagoknak csak a belépés szintjén történő szkennelésére, hanem a magánhálózatban zajló rosszindulatú tevékenységek felismerésére is.
Az IPS funkcionalitása alapján az alábbiakban felsorolt különféle típusokra oszthatók:
1. Host alapú behatolás-megelőző rendszer
Meghatározható, mint az egy gépen működő behatolás-megelőző rendszer típusa. Az ilyen típusú IPS célja annak biztosítása, hogy ne történjen rosszindulatú tevékenység a belső hálózaton. Amikor az IPS olyan belső tevékenységet észlel, amelynek rendellenes aláírása van, az IPS átvizsgálja a hálózatot, hogy további részleteket kapjon a tevékenységről, és így megakadályozza, hogy minden rosszindulatú tevékenység az adott gazdagépen bekövetkezzen. Az ilyen típusú IPS fő jellemzője az, hogy soha nem vigyáz az egész hálózatra, de az egyetlen gazdagépet, amelybe telepíti, nagyon biztonságosnak tartja, és teljesen védve van minden támadástól, amelyek a hálózati rétegen keresztül bekövetkezhetnek.
2. Vezeték nélküli behatolás-megelőző rendszer
A vezeték nélküli hálózaton keresztül működő behatolás-észlelési rendszer másik típusának tekinthető. Az ilyen típusú IPS a vezeték nélküli hálózat rosszindulatú tevékenységeinek figyelésére szolgál. Az összes IPS az aláírások segítségével ellenőrzi vagy figyeli a vezeték nélküli hálózaton belül mozgó összes csomagot.
Ha olyan csomagot talál, amelyre az IPS rosszindulatú aláírással rendelkezik, az IPS megakadályozza a csomag további belépését a hálózatba. Ez az IPS egyik optimális fajtája, mivel manapság a vezeték nélküli hálózatokat gyakran használják, nem pedig a LAN alapú hálózatokat. Ez elegendő biztonságossá teszi a hálózatot, és megakadályozza, hogy minden káros hálózati csomag megváltoztassa a meglévő környezetet.
3. Hálózati alapú behatolás-megelőző rendszer
Ez úgy tekinthető, mint egy másik olyan IPS, amelyet a hálózatban telepítenek a rosszindulatú tevékenységek megelőzése érdekében. Ennek az IPS-nek a célja a teljes hálózat felügyelete vagy ellenőrzése. A teljes hálózaton észlelt bármilyen rosszindulatú tevékenység megelőzhető az ilyen IPS használatával.
Ez a rendszer integrálható más hálózati szkennelő eszközökkel, mint például a Nexpose és így tovább. Ennek eredményeként az ezen eszközök által észlelt sebezhetőségeket is figyelembe veszi az ilyen típusú IPS, és ha bármilyen támadás történik a biztonsági rések ellen, amelyek a hálózati letapogató eszköz tanúi, akkor ez az IPS akkor is védi a rendszert, ha a a biztonsági rés javítása nem érhető el.
4. A hálózati viselkedés elemzése
Ahogy a név is kimondja, az ilyen IPS-t a hálózat viselkedésének megértésére használják, és az egész hálózaton mozgó hálózat továbbra is folyamatosan felügyeli ezt a rendszert. Bármikor, amikor a rendszer rosszindulatú aláírással érzékeli a csomagokat, az IPS mindenképpen blokkolja a csomagot, hogy az nem károsíthatja az alkalmazást.
Az ilyen típusú IPS fő célja annak biztosítása, hogy ne kerüljön sor rosszindulatú csomagok elkészítésére és továbbítására a belső hálózaton keresztül. Az ilyen típusú IPS-t használó szervezetek mindig védettek olyan támadások ellen, mint a DOS (Denial of Service) vagy a magánélet megsértésén alapuló bármilyen támadás.
Ezen túlmenően nagyon fontos tudni, hogy az IPS egy behatolás-érzékelő rendszerrel (IDS) együtt működik. Az IDS szerepe a rosszindulatú csomagok felismerése, míg az IPS feladata annak biztosítása, hogy a rosszindulatú csomagok megsemmisüljenek, vagy hogy blokkolhassák azokat a végrehajtástól. Az IPS vagy úgy működik, hogy felismeri és megakadályozza a csomagokat aláírás vagy statisztikai rendellenesség alapján.
Nagy különbség van a két megközelítés végrehajtása között. Az aláírás által végrehajtott észlelés biztosítja, hogy az IPS adatbázisában található csomagok aláírása észlelésre kerüljön, míg amikor statisztikai rendellenesség révén az adatok észleléséről beszélünk, akkor ellenőrzi a csomagot a meghatározott határidőn belül. Bármely csomag, amely a határidőn belül meghatározott tevékenységeket mutat, felhívja a riasztást, és az IPS blokkolja.
A SolarWinds Log & Event Manager, Splunk, sagan, OSSEC néhány népszerű IPS, amely egy AI platformon működik. A mesterséges intelligencia alapú platformok lehetővé teszik az adminisztrátorok számára, hogy nagyon hatékonyan biztosítsák a hálózatban előforduló rosszindulatú tevékenységeket. Az összes IPS-t típusuk szerint kell telepíteni. Például a gazdagép-alapú IPS-t csak egyetlen rendszerben szabad telepíteni, míg a hálózati alapú IPS az egész hálózaton jól működik.
A hálózat támadások elleni védelmére szolgáló összes többi eszközt integrálhatjuk a rendszerbe, hogy a hálózat hatékonyabban megfigyelhető legyen. Pontosabban, a hálózatot szkennelő vagy a hálózati szkennelést támogató eszközöket integrálni kell ebbe a rendszerbe a teljesítmény fokozása érdekében.
Következtetés
A behatolás-érzékelő rendszer a hálózati biztonság egyik legerősebb pillére. Ez lehetővé teszi a szervezet számára, hogy védelmet élvezzen a hálózati biztonságot veszélyeztető támadásokkal szemben. Az egyéb hálózati biztonsági alapú eszközökkel történő integrációt támogató mechanizmus hatékonyabbá teszi a rosszindulatú forgalom észlelését. A technológia fejlesztésével az IPS eszközöket úgy fejlesztik, hogy szem előtt tartják az AI-t, amely alapvető szerepet játszik az eszköz által nyújtott szolgáltatások kibővítésében.
Ajánlott cikkek
Ez egy útmutató a behatolás-megelőző rendszerek típusaihoz. Itt a behatolás-megelőző rendszerek különféle típusait tárgyaljuk. A következő cikket is megnézheti.
- Kiberbiztonsági alapelvek
- Mi az ember a középtámadásban?
- Malware típusok
- Biztonsági technológiák
- Behatolás-megelőző rendszer interjúkérdései