Intrusion Prevention System
Intrusion Prevention Systems (IPS,tj. systémy pro prevenci průniku), také známé jako Intrusion Detection and Prevention Systems (IDPS,tj. systémy pro detekci a prevenci průniku), jsou zařízení pro počítačovou bezpečnost, která monitorují síť a/nebo aktivity operačního systému na škodlivou činnost. Hlavní funkce IPS systémů jsou identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následném blokování této činnosti a také její nahlašování.
IPS systémy jsou považovány za rozšíření IDS systémů, protože monitorují jak provoz na síti, tak i aktivity operačního systému, které by mohly vést k narušení bezpečnosti. Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný provoz na síti. Konkrétněji, IPS může provádět takové akce jako vyvolání poplachu, filtrování škodlivých paketů, násilné resetování spojení a/nebo blokování provozu z podezřelé IP adresy. Všechny tyto úkony často provádí ve spolupráci s firewallem. IPS také umí opravit chybný cyklický redundantní součet (CRC), defragmentovat proudy paketů, předcházet problémům s řazením TCP paketů, a čistit nežádoucí přenos včetně nastavení síťové vrstvy.
Rozdělení
IPS systémy mohou být rozděleny do čtyř rozdílných kategorií:
Network-based Intrusion Prevention (NIPS): monitoruje celou síť na podezřelou aktivitu analyzováním síťového protokolu.
Wireless Intrusion Prevention Systems (WIPS): monitoruje bezdrátovou síť na podezřelou aktivitu analyzováním síťových protokolů bezdrátových sítí.
Network Behavior Analysis (NBA): zkoumá síťový provoz kvůli identifikaci hrozeb, které generují neobvyklý provoz na síti, jako například útoky DDoS (odmítnutí služby), určité formy malware, a porušení zásad.
Host-based Intrusion Prevention (HIPS): instalovaný softwarový balíček, který monitoruje jediný počítač na podezřelou aktivitu analyzováním událostí, které se na tomto počítači právě provádí.
Způsoby detekce
Většina IPS systémů využívá jednu ze tří detekčních metod: stavové detekce značek (signatur), odhalení provozních anomálií a odhalení protokolových anomálií.
Stavová detekce značek (signatur): Tato metoda detekce využívá své vlastní databáze značek, což jsou řetězce specifické pro daný typ útoku. Systém IPS využívající stavovou detekci značek monitoruje provoz na síti na shodu s těmito značkami specifickými pro daný typ útoku. Poté, co je nalezena shoda, IPS systém provede příslušnou akci. Zařízení jsou schopna si tuto databázi sama automaticky průběžně doplňovat. Útočníci však vymýšlejí stále nové druhy útoků, takže jejich značky nemusí být obsaženy v databázi pro detekci stavových značek, a proto existují další metody detekce.
Odhalení provozních anomálií: Tato metoda využívá průměrných podmínek síťového provozu. Poté, co je vytvořen obraz normálního provozu na síti, systém cyklicky vzorkuje síťový provoz, využívajíc statistické analýzy k porovnávání vzorků s vytvořeným obrazem. Pokud jsou parametry aktivity na síti mimo stanovené hranice, IPS systém provede příslušnou akci.
Odhalení protokolových anomálií: Tato metoda identifikuje odchylky stavů síťového protokolu porovnáváním pozorovaného síťového provozu s predefinovanými profily všeobecně přijímaných protokolových stavů.