IPS (Intrusion Prevention System) – ochrana proti sieťovým útokom

Firmy, ich siete a servery sú pod neustálymi kybernetickými útokmi. S rastúcim rizikom hacknutia rastie aj potreba svoje systémy zabezpečovať. S týmto problémom nám vie významne pomôcť technológia IPS (Intrusion Prevention System), ktorá nepretržite kontroluje dátové toky a filtruje útoky.

ips 2

Základné pojmy v IPS

Aký je rozdiel medzi antivírom a IPS? V mnohom sa ich úlohy prelínajú, ale hlavný rozdiel je v tom, že antivír detekuje útoky na úrovni programov a IPS na úrovni paketov. Popíšeme si základné pojmy, aby sme sa mohli zoznámiť s IPS.

Signatúra

Je to sekvencia bajtov, ktorá sa nachádza v istom type útokov, alebo škodlivých programov. IPS používa databázu signatúr na detekciu známych útokov. Ako sú odhaľované stále nové typy útokov, databáza sa rozširuje a preto je potrebné, aby bola táto databáza vždy aktualizovaná. Táto databáza je uložená vo firewalle a aktualizuje sa väčšinou z cloudu výrobcu.

Anomália

Ako môžeme odhaliť nové útoky, na ktoré signatúru nemáme? Môžeme si definovať prahy, ktoré keď budú prekročené, tak bude prevádzka vyhodnotená ako útok. Je dôležité mať tieto prahy nastavené tak akurát, lebo ak by boli nastavené príliš vysoko, útok nemusí byť zachytený (false negative), ale ak budú nastavené veľmi nízko, môže IPS začať blokovať bežnú prevádzku (false positive). Inými slovami, sledovaním anomálií detekuje neobviklé správanie, ako napríklad zvýšenie zaťaženia CPU, neobvyklé množstvo spojení na serveri a podobne. Môže ísť o zero-day útok, alebo o nejaký typ DoS útoku.

Exploit

Je to známy útok, ktorý je detekovaný zhodou v signatúre. Môže napríklad útočiť na známu zraniteľnosť webovej aplikácie.

Zero day útok

Ide o nový útok, na ktorý zatiaľ neexistuje signatúra, alebo patch, takže je omnoho náročnejšie ho odhaliť. Tieto útoky sa na dark markete predávajú za veľa peňazí.

IPS

Najbežnejšie útoky, ktoré vie IPS blokovať

TCP SYN Flood Attack – Zostavenie TCP spojenia pozostáva z troch fáz (3 way handshake). Útočník (ako klient) inicializuje spojenie na server, v druhej fáze mu server odpovie, ale klient už spojenie nikdy nedokončí a server bude čakať na dokončenie tretej fázy. Ak to útočník veľakrát zopakuje, tak minie zdroje servera a tým znefunkční službu. Môže tak spôsobiť napr. nedostupnosť WEB stránky.

ICMP Sweep – Útočník môže scanovať sieť, aby zistil, aké IP adresy v sieti žijú a následne na ne začal útočiť.

Útoky na webové aplikácie

Cross Site Scripting (XSS) – útočník sa pokúša vložiť JavaScript do HTML kódu

SQL Injection – útočník sa pokúša vkladať SQL príkazy do webového formuláru, aby mohol manipulovať s databázou. Môže tak napr. získať citlivé údaje.

Najvýznamnejší výrobcovia firewallov s IPS ochranou

Podobne, ako pri antivírovej ochrane, alebo iných integrovaných ochrán na firewalloch, sú v IPS v popredí nasledovní hráči. Dlhodobo dosahujú najlepšie výsledky aj podľa NSS Labs.

  • Cisco
  • CheckPoint
  • Palo Alto
  • Fortinet

IPS fortinet

IPS checkpoint

IPS paloalto

IPS cisco

 

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

 

CHCEM ODOBERAŤ ČLÁNKY

 

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.