Kompleksowe zabezpieczenie sieci
3. SYSTEMY ZAPOBIEGANIA WŁAMANIOM (IPS)
3.1. Wprowadzenie do systemów zapobiegania włamaniom
System zapobiegania włamaniom (ang. intrusion prevention system, IPS) to narzędzie bezpieczeństwa sieciowego, które w sposób ciągły monitoruje sieć pod kątem złośliwej aktywności i podejmuje działania mające na celu jej zapobieżenie, m.in. zgłasza blokowanie lub porzucanie jej, gdy już wystąpi. Jego nazwa może być podobna do poprzednio opisanego tematu (systemy wykrywania włamań), jednak poprzedni mechanizm skupia się jedynie na identyfikacji, nie stosując żadnych działań, a co za tym idzie, nie zapobiegając wystąpieniu ataku.
Ponadto, IPS jest bardziej zaawansowanym systemem niż IDS i często stanowi część firewalla nowej generacji lub rozwiązania typu unified threat management. Często spotykamy się również z tym, że IPS współpracuje z serwerem IDS, tak jak poprzednie rozwiązania (SNORT i Suricata).
Podobnie jak inne systemy zabezpieczeń, IPS można znaleźć zarówno w formie oprogramowania, jak i sprzętu, gdzie oprogramowanie może być zainstalowane w dowolnym komputerze i umieszczone w sieci w celu ochrony, zawsze biorąc pod uwagę wymagania sprzętowe maszyny. Ponadto, jak wiele innych technologii bezpieczeństwa sieciowego, IPS musi być wystarczająco silny, aby poradzić sobie z dużą ilością danych o ruchu sieciowym, bez spowalniania wydajności sieci.
System zapobiegania włamaniom jest często umieszczany w linii, w strumieniu ruchu sieciowego, pomiędzy źródłem a miejscem przeznaczenia. Podobnie jak IDS, IPS jest zwykle umieszczany pomiędzy sieciami prywatnymi i publicznymi, dzięki czemu może analizować i monitorować wszystkie transakcje komunikacji sieciowej pomiędzy tymi dwiema sieciami i prawidłowo zapobiegać atakom i innym naruszeniom bezpieczeństwa w sieci prywatnej. Jeśli jest umieszczony pomiędzy dwoma sieciami, to zazwyczaj znajduje się za zaporą ogniową.
Sam serwer IPS nie jest w stanie całkowicie zabezpieczyć sieci, niejednokrotnie współpracuje z innymi narzędziami i rozwiązaniami bezpieczeństwa, identyfikując zagrożenia, których tamte nie są w stanie zidentyfikować.
Ponadto, ponieważ serwer IPS filtruje złośliwy ruch, zanim dotrze on do innych urządzeń zabezpieczających i kontroli, zmniejsza obciążenie tych kontroli i pozwala im działać bardziej efektywnie. Ponieważ IPS jest w dużej mierze zautomatyzowany, wymaga mniejszego nakładu czasu od zespołów IT, spełniając wiele wymogów zgodności określonych przez PCI DSS, HIPAA i inne. Ponadto, system IPS dostarcza również cennych danych z audytu, które mogą być wykorzystane do dalszej analizy i wskazówek dotyczących włamania lub ataku. Takie dane są ważne w taki sposób, że mogą dać cały obraz incydentu i pomóc w identyfikacji źródła włamania i jak w przyszłości zapobiec ponownemu wystąpieniu.
Podobnie jak większość innych systemów i narzędzi bezpieczeństwa, również IPS-y mogą być dostosowywane do potrzeb i zawierać spersonalizowane polityki, aby odpowiedzieć na konkretne potrzeby organizacji i chronionej przez nią sieci.
Zapobiegając nie tylko włamaniom, rozwiązania IPS są również bardzo skuteczne w wykrywaniu i zapobieganiu wykorzystywaniu luk w zabezpieczeniach. Po wykryciu luki w zabezpieczeniach, zazwyczaj istnieje pewien okres czasu, w którym podmioty odpowiedzialne za zagrożenia mają możliwość jej wykorzystania, zanim dostępna będzie łata bezpieczeństwa umożliwiająca jej usunięcie. System zapobiegania włamaniom jest tutaj wykorzystywany do szybkiego blokowania tego typu ataków i ochrony sieci w czasie, gdy łata nie jest dostępna.
Urządzenia IPS zostały pierwotnie zbudowane i wydane jako samodzielne urządzenia, w połowie lat 2000. Funkcjonalność ta została jednak zintegrowana z narzędziami do zunifikowanego zarządzania zagrożeniami oraz innymi narzędziami i usługami bezpieczeństwa dla małych i średnich firm, a także z zaporami nowej generacji na poziomie przedsiębiorstwa.
Nowsze rozwiązania IPS są obecnie połączone z usługami obliczeniowymi i sieciowymi w chmurze, które umożliwiają im zapewnienie bardziej wyrafinowanego podejścia do ochrony przed stale rosnącymi zagrożeniami cyberbezpieczeństwa, przed którymi stoją lokalne i globalne organizacje na całym świecie.
W przeciwieństwie do systemów IDS, które działają w sposób pasywny, jedynie wykrywając i ostrzegając o możliwych włamaniach i zagrożeniach, IPS jest umieszczony w linii, sprawdzając cały przychodzący i wychodzący ruch sieciowy, pomiędzy sieciami prywatnymi i publicznymi, siedząc tuż za zaporą ogniową lub będąc jej częścią. To rozwiązanie IPS aktywnie analizuje i podejmuje automatyczne działania na wszystkich strumieniach ruchu, które wchodzą do sieci:
· Wysyłanie alarmu do administratora (podobnie jak w systemach IDS).
· Zrzucanie złośliwych pakietów.
· Blokowanie ruchu z adresu źródłowego.
· Resetowanie połączenia.
· Konfiguracja zapór ogniowych w celu zapobiegania przyszłym atakom.
Jako narzędzie bezpieczeństwa inline, IPS musi działać wydajnie, aby nie pogorszyć wydajności i efektywności sieci, gdzie musi być wystarczająco wydajny, aby odpowiednio zabezpieczyć sieć, zachowując jej normalne funkcje. Musi również pracować w trybie szybkim, ponieważ exploity mogą zdarzać się w czasie zbliżonym do rzeczywistego, a także być w stanie wykryć i zareagować dokładnie, eliminując zagrożenia i redukując fałszywe alarmy pozytywne. Aby to zrobić, istnieje kilka technik i podejść stosowanych do wyszukiwania exploitów i ochrony sieci przed nieautoryzowanym dostępem.