Co to jest system zapobiegania włamaniom?
System zapobiegania włamaniom (IPS) monitoruje pakiety danych w sieci pod kątem podejrzanych działań i próbuje podjąć działania przy użyciu określonych zasad. Działa to trochę jak system wykrywania włamań, który zawiera zaporę ogniową, aby zapobiec atakom. Wysyła alert do administratora sieci lub systemu, gdy wykryte zostanie coś podejrzanego, co pozwala administratorowi wybrać akcję, która ma zostać podjęta w przypadku wystąpienia zdarzenia. Systemy zapobiegania włamaniom mogą monitorować całą sieć, protokoły sieci bezprzewodowej, zachowanie sieci i ruch pojedynczego komputera. Każdy IPS wykorzystuje określone metody wykrywania do analizy ryzyka.
W zależności od modelu IPS i jego funkcji system zapobiegania włamaniom może wykrywać różne naruszenia bezpieczeństwa. Niektóre potrafią wykryć rozprzestrzenianie się złośliwego oprogramowania w sieci, kopiowanie dużych plików między dwoma systemami oraz stosowanie podejrzanych działań, takich jak skanowanie portów. Po tym, jak IPS porówna problem z regułami bezpieczeństwa, rejestruje każde zdarzenie i dokumentuje jego częstotliwość. Jeśli administrator sieci skonfigurował IPS do wykonywania określonej akcji na podstawie incydentu, system zapobiegania włamaniom podejmuje wówczas przypisaną akcję. Podstawowe powiadomienie jest wysyłane do administratora, aby mógł odpowiednio odpowiedzieć lub wyświetlić dodatkowe informacje na IPS, jeśli to konieczne.
Istnieją cztery ogólne typy systemów zapobiegania włamaniom, w tym oparte na sieci, bezprzewodowe, analizy zachowania sieci i oparte na hoście. Sieciowy IPS analizuje różne protokoły sieciowe i jest powszechnie stosowany na serwerach dostępu zdalnego, wirtualnych prywatnych serwerach sieciowych i routerach. Bezprzewodowy IPS obserwuje podejrzane działania w sieciach bezprzewodowych, a także wyszukuje nieautoryzowane sieci bezprzewodowe w danym obszarze. Analiza zachowania sieci wyszukuje zagrożenia, które mogą zniszczyć sieć lub rozprzestrzenić złośliwe oprogramowanie i jest powszechnie stosowana w sieciach prywatnych łączących się z Internetem. IPS oparty na hoście działa w jednym systemie i szuka dziwnych procesów aplikacji, nietypowego ruchu sieciowego do hosta, modyfikacji systemu plików i zmian konfiguracji.
Istnieją trzy metody wykrywania, z których może korzystać system zapobiegania włamaniom, a wiele systemów wykorzystuje kombinację wszystkich trzech. Wykrywanie oparte na sygnaturach dobrze sprawdza się w wykrywaniu znanych zagrożeń poprzez porównanie zdarzenia z już udokumentowanym podpisem w celu ustalenia, czy nastąpiło naruszenie bezpieczeństwa. Wykrywanie oparte na anomalii szuka działań, które są nieprawidłowe w porównaniu do normalnych zdarzeń, które występują w systemie lub sieci i są szczególnie przydatne do identyfikowania nieznanych zagrożeń. Analiza protokołów stanowych wyszukuje działania, które są sprzeczne z normalnym użyciem określonego protokołu.