IPS-järjestelmät (Intrusion Prevention Systems) ovat tärkeimpiä verkon turvatoimia.
Mikä on tunkeutumishälytysjärjestelmä?
Murtohälytysjärjestelmät ovat käyttöjärjestelmä; ne eivät vain havaitse mahdollisia verkkojärjestelmään ja sen infrastruktuuriin kohdistuvia uhkia, vaan yrittävät aktiivisesti estää yhteyksiä, jotka voivat muodostaa uhan. Tämä eroaa passiivisemmista suojauksista, kuten tunkeutumisen havaitsemisjärjestelmistä. Tunkeutumisenestojärjestelmä tarkkailee jatkuvasti verkkoliikennettä, erityisesti yksittäisiä paketteja, etsiäkseen mahdollisia haitallisia hyökkäyksiä. Se kerää tietoa näistä paketeista ja raportoi niistä järjestelmänvalvojille, mutta myös itse ryhtyy ehkäiseviin toimiin. Jos IPS havaitsee mahdollisen haittaohjelman tai jonkin muun kostonhimoisen hyökkäyksen, se estää kyseisten pakettien pääsyn verkkoon. Se voi myös toteuttaa muita toimia, kuten sulkea järjestelmän tietoturva-aukkoja, joita voidaan jatkuvasti hyödyntää. Se voi sulkea verkon tukiasemat ja määrittää toissijaiset palomuurit etsimään tämäntyyppisiä hyökkäyksiä tulevaisuudessa, mikä lisää verkon puolustukseen uusia suojakerroksia.
Millaisia hyökkäyksiä IPS voi estää?
Tunkeutumisenestojärjestelmät voivat havaita ja suojata monenlaisia mahdollisia haitallisia hyökkäyksiä. Ne voivat havaita ja estää palvelunestohyökkäykset (DoS), hajautetut palvelunestohyökkäykset (DDoS), hyväksikäyttöpakkaukset, matot, tietokonevirukset ja muun tyyppiset haittaohjelmat.
Mitä IPS tekee, jos se havaitsee hyökkäyksen?
Tunkeutumisenestojärjestelmä voi havaita erilaisia hyökkäyksiä analysoimalla paketteja ja etsimällä tiettyjä haittaohjelmien allekirjoituksia, vaikka se voi myös käyttää käyttäytymisen seurantaa etsiäkseen poikkeavaa toimintaa verkossa sekä tarkistaakseen ja varmentaakseen mahdolliset hallinnolliset suojausprotokollat ja -käytännöt, joita niitä rikotaan. Jos jokin näistä tunnistusmenetelmistä havaitsee mahdollisen hyökkäyksen, IPS voi välittömästi katkaista yhteyden lähteeseen, josta se tuli. Loukkaava IP-osoite voidaan sitten estää, jos IPS on määritetty tekemään niin, tai siihen liitetty käyttäjä ei enää pääse käyttämään verkkoa ja siihen kytkettyjä resursseja. IPS voi myös muuttaa paikallisia palomuuriasetuksia etsiäkseen uudelleen tällaisia hyökkäyksiä ja jopa poistaa hyökkäyksen jäännökset poistamalla haittaohjelmien saastuttamat otsikot, tartunnan saaneet liitteet ja haitalliset linkit tiedosto- ja sähköpostipalvelimista.
IDS vs IPS
Tunkeutumisen havainnointijärjestelmät (IDS) ja tunkeutumisen estojärjestelmät (IPS) voivat molemmat liittyä turvallisuuteen, mutta niillä on täysin erilaiset tavoitteet ja keinot tämän tavoitteen saavuttamiseksi. IDS- ja IPS-tyyppejä on monenlaisia, ja ne kaikki toimivat hieman eri tavalla. IDS:lle on olemassa NIDS (Network Intrusion Detection Systems) -järjestelmiä, jotka sijaitsevat verkon strategisissa pisteissä havaitsemaan mahdollisia hyökkäyksiä verkon sisällä tapahtuvassa tilanteessa. HIDS tai isäntä tunkeutumisen havaitsemisjärjestelmät toimivat yksittäisissä järjestelmissä ja laitteissa ja valvovat vain toimintaa verkossa, joka menee kyseiseen järjestelmään ja sieltä pois. Kummassakin tapauksessa IDS, joka havaitsee mahdollisen hyökkäyksen, ilmoittaa asiasta järjestelmänvalvojille. IPS-järjestelmät sen sijaan tulevat olemaan samankaltaisia kuin IDS – ja niitä voidaan käyttää yhdessä sen kanssa tehostamaan verkon valvontaa – mutta ne ottavat aktiivisemman roolin verkon suojaamisessa. He myös ilmoittavat järjestelmänvalvojille, jos hyökkäyksiä havaitaan, mutta he ryhtyvät myös rankaisutoimiin järjestelmiä, yksittäisiä tilejä tai palomuurin porsaanreikiä vastaan varmistaakseen, että hyökkäys estetään ja kaikki siihen liittyvät tiedostot poistetaan verkosta. Kuten nimet viittaavat, tunkeutumisen havaitsemisjärjestelmät on suunniteltu ilmoittamaan, tapahtuuko hyökkäys ja milloin se tapahtuu, jotta voit käsitellä ongelman manuaalisesti. Tunkeutumisenestojärjestelmät on suunniteltu suojaamaan järjestelmääsi aktiivisesti hyökkäyksiltä ja estämään tulevat hyökkäykset säätämällä verkkoparametreja.
FAQ
-
Mistä löydän verkkooni IPS:n?
Saatavilla on useita IPS-vaihtoehtoja useille käyttöjärjestelmille ja erilaisilla ominaisuuksilla. Jotkut maksavat rahaa perustamisesta tai lisenssistä, mutta saatavilla on myös tunnettuja ilmaisia IPS-vaihtoehtoja.
-
Onko IPS:llä heikkouksia?
Kuten kaikki järjestelmät, IPS ei ole idioottivarma. Liian monet hyökkäykset, jotka tapahtuvat liian lähellä toisiaan, voivat joskus ylittää järjestelmän, ja jotkut järjestelmät ovat alttiimpia suorille hyökkäyksille. Koska IPS on pitkälti automatisoitu järjestelmä, se tuottaa todennäköisesti myös vääriä hälytyksiä, eikä se voi antaa omia suosituksiaan ylimääräisistä tunkeutumisreaktioista.