Firmy, ich siete a servery sú pod neustálymi kybernetickými útokmi. S rastúcim rizikom hacknutia rastie aj potreba svoje systémy zabezpečovať. S týmto problémom nám vie významne pomôcť technológia IPS (Intrusion Prevention System), ktorá nepretržite kontroluje dátové toky a filtruje útoky.
Základné pojmy v IPS
Aký je rozdiel medzi antivírom a IPS? V mnohom sa ich úlohy prelínajú, ale hlavný rozdiel je v tom, že antivír detekuje útoky na úrovni programov a IPS na úrovni paketov. Popíšeme si základné pojmy, aby sme sa mohli zoznámiť s IPS.
Signatúra
Je to sekvencia bajtov, ktorá sa nachádza v istom type útokov, alebo škodlivých programov. IPS používa databázu signatúr na detekciu známych útokov. Ako sú odhaľované stále nové typy útokov, databáza sa rozširuje a preto je potrebné, aby bola táto databáza vždy aktualizovaná. Táto databáza je uložená vo firewalle a aktualizuje sa väčšinou z cloudu výrobcu.
Anomália
Ako môžeme odhaliť nové útoky, na ktoré signatúru nemáme? Môžeme si definovať prahy, ktoré keď budú prekročené, tak bude prevádzka vyhodnotená ako útok. Je dôležité mať tieto prahy nastavené tak akurát, lebo ak by boli nastavené príliš vysoko, útok nemusí byť zachytený (false negative), ale ak budú nastavené veľmi nízko, môže IPS začať blokovať bežnú prevádzku (false positive). Inými slovami, sledovaním anomálií detekuje neobviklé správanie, ako napríklad zvýšenie zaťaženia CPU, neobvyklé množstvo spojení na serveri a podobne. Môže ísť o zero-day útok, alebo o nejaký typ DoS útoku.
Exploit
Je to známy útok, ktorý je detekovaný zhodou v signatúre. Môže napríklad útočiť na známu zraniteľnosť webovej aplikácie.
Zero day útok
Ide o nový útok, na ktorý zatiaľ neexistuje signatúra, alebo patch, takže je omnoho náročnejšie ho odhaliť. Tieto útoky sa na dark markete predávajú za veľa peňazí.
Najbežnejšie útoky, ktoré vie IPS blokovať
TCP SYN Flood Attack – Zostavenie TCP spojenia pozostáva z troch fáz (3 way handshake). Útočník (ako klient) inicializuje spojenie na server, v druhej fáze mu server odpovie, ale klient už spojenie nikdy nedokončí a server bude čakať na dokončenie tretej fázy. Ak to útočník veľakrát zopakuje, tak minie zdroje servera a tým znefunkční službu. Môže tak spôsobiť napr. nedostupnosť WEB stránky.
ICMP Sweep – Útočník môže scanovať sieť, aby zistil, aké IP adresy v sieti žijú a následne na ne začal útočiť.
Útoky na webové aplikácie
Cross Site Scripting (XSS) – útočník sa pokúša vložiť JavaScript do HTML kódu
SQL Injection – útočník sa pokúša vkladať SQL príkazy do webového formuláru, aby mohol manipulovať s databázou. Môže tak napr. získať citlivé údaje.
Najvýznamnejší výrobcovia firewallov s IPS ochranou
Podobne, ako pri antivírovej ochrane, alebo iných integrovaných ochrán na firewalloch, sú v IPS v popredí nasledovní hráči. Dlhodobo dosahujú najlepšie výsledky aj podľa NSS Labs.
- Cisco
- CheckPoint
- Palo Alto
- Fortinet
Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.
