Sissetungimise vältimise süsteemi tüüpide tutvustus
Sissetungimise tuvastamise süsteemi võib määratleda kui vahendit, mis võetakse kasutusele avaliku võrgu (interwork) ja privaatvõrgu liideses eesmärgiga vältida pahatahtlike võrgupakettide sissetungimist. Nagu nimigi ütleb, on selle tööriista olemasolu eesmärk tagada, et pahatahtliku allkirjaga pakette ei tohiks lubada eravõrku siseneda, kuna need võivad meelelahutuseks kahjustada Internetti. IPS-i tööriistu on suuresti võimalik integreerida teiste võrguturbes kasutatavate tööriistadega, et vältida rünnakuid võrgusisesel tasemel. Selles teemas tutvume sissetungimise vältimise süsteemi tüüpidega.
Sissetungimise vältimise süsteemi tüübid
Sissetungimise ennetamise süsteem ei piirdu ainult võrgupakettide skannimisega ainult sisenemise tasemel, vaid ka eraviisilises võrgus toimuva pahatahtliku tegevusega.
IPS funktsionaalsuse põhjal jagunevad need järgmisteks tüüpideks:
1. Hostipõhine sissetungimise ennetamise süsteem
Seda võib määratleda kui sissetungimise vältimise süsteemi tüüpi, mis töötab ühel hostil. Sellise IPS-i eesmärk on tagada, et sisemises võrgus ei tohiks juhtuda ühtegi pahatahtlikku tegevust. Kui IPS tuvastab sisemiselt mis tahes tegevuse, millel on ebanormaalne allkiri, skannib IPS võrku, et saada selle tegevuse kohta rohkem üksikasju ja sel moel hoiab see ära igasuguse pahatahtliku tegevuse toimumise selles konkreetses hostis. Seda tüüpi IPS-i peamine omadus on see, et see ei hoolitse kunagi kogu võrgu eest, vaid ühe hostina, kuhu see on paigaldatud, hoiab seda väga turvaliselt ja täielikult kaitstud kõigi rünnakute eest, mis võivad võrgukihi kaudu toimuda.
2. Traadita sissetungimise vältimise süsteem
Seda võib pidada teist tüüpi sissetungimise tuvastamise süsteemiks, mis töötab traadita võrgus. Sellist IPS-i kasutatakse juhtmeta võrgu pahatahtliku tegevuse jälgimiseks. Seda tüüpi IPS kontrollib või kontrollib kõiki raadiovõrgus liikuvaid pakette allkirjade abil.
Kui leitakse mõni pakett, mille kohta IPS-il on pahatahtliku allkirja märk, takistab IPS paketti täiendavat võrku sisenemist. See on üks optimaalsetest IPS-i tüüpidest, kuna tänapäeval kasutatakse sagedamini traadita võrke, mitte LAN-põhist võrku. See muudab võrgu piisavalt turvaliseks ja hoiab ära kõigi kahjulike võrgupakettide muutmise olemasolevas keskkonnas.
3. Võrgupõhine sissetungimise ennetamise süsteem
Seda võib pidada teist tüüpi IPS-iks, mida võrgus juurutatakse pahatahtliku tegevuse vältimiseks. Selle IPS-i eesmärk on jälgida või kontrollida kogu võrku. IPS-i abil saab ära hoida kogu võrgus tuvastatud pahatahtliku tegevuse.
Seda süsteemi saab integreerida teiste võrguskanneritega, näiteks Nexpose ja nii edasi. Lõpptulemusena arvestab sedalaadi IPS ka nende tööriistade avastatud haavatavustega ja kui võrguskanneri tunnistajateks olevate turvaaukude vastu on mõni rünnak, kaitseb see IPS sel juhul süsteemi isegi siis, kui selle haavatavuse plaaster pole saadaval.
4. Võrgu käitumise analüüs
Nagu nimigi ütleb, kasutatakse seda tüüpi IPS-i võrgu käitumise mõistmiseks ja kogu võrgus liikuv võrk jääb selle süsteemi pidevaks jälgimiseks. Igal ajal, kui süsteem tuvastab pahatahtliku allkirjaga paketid, blokeerib IPS kindlasti paketi, nii et see ei saaks rakendust kahjustada.
Sedalaadi IPS-i peamine eesmärk on tagada, et pahatahtlikke pakette ei tohiks koostada ega sisevõrgu kaudu edastada. Seda tüüpi IPS-i kasutavad organisatsioonid on alati kaitstud selliste rünnakute eest nagu DOS (Denial of Service) või mis tahes muude privaatsuse rikkumistel põhinevate rünnakute eest.
Lisaks on väga oluline teada, et IPS töötab koos sissetungimise tuvastamise süsteemiga (IDS). IDS-i roll on tuvastada pahatahtlik pakett, samas kui IPS-i roll on veenduda, et pahatahtlikud paketid hävitatakse või tuleks nende täitmine blokeerida. IPS töötab kas pakettide tuvastamise ja tõkestamise teel, mis põhinevad allkirjal või põhinevad statistilisel anomaalial.
Mõlema lähenemisviisi vahel töötamisel on ilmne erinevus. Allkirja abil tuvastamine tagab, et IPS-i andmebaasis olevate pakettide allkirjad tuvastatakse, kui statistiliste anomaaliate kaudu andmete tuvastamisest kontrollitakse, siis kontrollib paketti määratud tähtaeg. Mis tahes pakett, mis näitab mis tahes tegevust, mis on määratletud tähtaja jooksul määratletud, tõstab see häire ja IPS blokeerib selle.
SolarWinds Log & Event Manager, Splunk, sagan, OSSEC on mõned populaarsed IPS-id, mis töötavad AI platvormil. Tehisintellektil põhinevad platvormid võimaldavad administraatoritel võrgus esinevaid pahatahtlikke tegevusi väga tõhusalt tagada. Kõik IPS-id tuleb juurutada vastavalt nende tüübile. Näiteks hostipõhist IPS-i tuleks juurutada ainult ühes süsteemis, samal ajal kui võrgupõhine IPS töötab kogu võrgu korral.
Kõiki muid vahendeid, mida kasutatakse võrgu kaitsmiseks rünnakute eest, saab selle süsteemiga integreerida, et see saaks võrku tõhusamalt jälgida. Täpsemalt tuleks selle jõudluse suurendamiseks selle süsteemiga integreerida tööriistad, mis võrku skaneerivad või võrguskaneerimist toetavad.
Järeldus
Sissetungimise tuvastamise süsteem on võrguturbe üks tugevamaid tugisambaid. See võimaldab organisatsioonil olla kaitstud rünnakute eest, mis võivad kahjustada võrguturvet. Integreerimise toetamise mehhanism muude võrguturbepõhiste tööriistadega muudab pahatahtliku liikluse tuvastamise tõhusamaks. Tänu tehnoloogia täiustamisele arendatakse IPS-i tööriistu, pidades silmas AI-d, millel on oluline roll selle tööriista pakutavate funktsioonide laiendamisel.
Soovitatavad artiklid
See on sissetungimise vältimise süsteemi tüüpide juhend. Siin käsitleme sissetungimise ennetamise süsteemi erinevaid tüüpe. Võite vaadata ka järgmist artiklit.
- Küberturvalisuse põhimõtted
- Mis on inimene keset rünnakut?
- Pahavara tüübid
- Turvatehnoloogiad
- Sissetungi ennetamise süsteemi küsitluse küsimused