Internet

IPS përballë IDS

Apr 22 2011
0 Shpërndarje
IPS përballë IDS

Duke u bazuar në proverbin “parandalimi është më i mirë se shërimi”, do të mund të krahasoheshin me lehtësi sistemet për parandalimin e ndërhyrjeve me sistemet për detektimin e ndërhyrjeve (IDS). Ndërkohë që sistemet IDS mbrojtjen e të dhënave, të aplikacioneve dhe të shërbimeve e bazojnë në detektimin e trafikut të dyshimtë, për të cilin njoftojnë administratorin e rrjetit, sistemet IPS bazohen në qasjen proaktive duke krahasuar gjendjen aktuale të trafikut në rrjet me politikën dhe rregullat e sigurisë së kompanisë; jo vetëm njofton administratorin e rrjetit, por ndërmerr edhe hapa konkretë drejt evitimit të një sulmi të mundshëm. Teknologjia e sistemeve për parandalimin e ndërhyrjeve (IPS) po sheshohet me kalimin e ditëve, duke u bërë kështu një teknologji bindëse kur bëhet fjalë për përdorimin e teknologjive për sigurinë e rrjeteve kompjuterike.

Ç’është siguria?

Kur marrim vendimin për të vendosur siguri në një mjedis të caktuar pune, gjëja e parë që do të bëjmë është të vlerësojmë kërcënuesit potencialë të një mjedisi të tillë pune. E njëjta gjë vlen edhe për sigurinë e rrjeteve kompjuterike. Përmes identifikimit të kërcënuesve të mundshëm të rrjetit tonë kompjuterik, ne rrisim shanset që të zgjedhim zgjidhjen më të mirë të mundshme për sigurinë e rrjetit kompjuterik.

Në përgjithësi, kur duam të merremi me ndonjë çështje në mënyrë të duhur, atëherë rekomandohet që të kemi njohuritë e nevojshme dhe përvojë në atë disiplinë. Në mënyrë të njëjtë, në rastin e vendosjes së sigurisë në rrjete kompjuterike duhet të dimë se çfarë është siguria e rrjeteve kompjuterike dhe si implementohet ajo. Sipas fjalorit Webster, siguria në përgjithësi përkufizohet si “gjendje ose cilësi e të ndierit i lirë nga frika, shqetësimi ose kujdesi”.

Pra, përkufizimi për rrjetin e sigurt për komunikim është “rrjeti përdoruesit e të cilit  nuk ndiejnë frikë apo shqetësim përderisa përdorin shërbimet në të”. Në ditët e sotme, vërejmë një numër të madh teknologjish të përdorura nga bizneset për të siguruar rrjetet e tyre kompjuterike. Por shtrohet pyetja: Vallë kërcënimi për shërbimet në rrjete kompjuterike vjen gjithmonë nga jashtë apo ka diçka më shumë se kaq? Raportet thonë se përveç sulmeve të organizuara që vijnë nga jashtë perimetrit të rrjetit kompjuterik të organizatës, më shumë se gjysma e tyre vijnë nga brendia e perimetrit të rrjetit, në veçanti nga nëpunësit.

Shpesh dëgjojmë se si nëpunësi pa dashje ka shkelur sigurinë e ndërmarrjes së tij ose ka rastet kur ndonjë e metë në aplikacionet softuerike ka shkaktuar ndaljen e disa shërbimeve në rrjet apo edhe mosfunksionimin e tërësishëm të rrjetit. Kjo bën që përgjegjësit dhe sistemet e tyre të sigurisë të jenë më vigjilentë si ndaj sulmeve nga jashtë edhe ndaj atyre nga brenda.

Historiku i sistemeve IPS

Pavarësisht se sulmi mund të jetë një aktivitet i qëllimtë dhe i organizuar mirë që vjen nga jashtë apo një aktivitet i paqëllimtë dhe i paorganizuar mirë që vjen nga brenda, sistemet për detektimin e ndërhyrjeve (IDS) vlerësohen si teknologji pasive në mirëmbajtjen e sigurisë së rrjetit kompjuterik, për faktin që IDS merret me “detektimin” e sulmit dhe jo “parandalimin” e tij. Për të tejkaluar këtë situatë të sigurisë pasive, në fillim të viteve 90-të u prezantuan sistemet për parandalimin e ndërhyrjeve (IPS). Andrew Plato (konsulent i NetworkICE) ishte ai që përdori për herë të parë termin Intrusion Prevention System (IPS).

Sot, kur disa nga ekspertët e sigurisë së rrjeteve kompjuterike e shohin IPS-në si zgjerim të IDS-së, shumica e pranojnë faktin që IPS me të vërtetë është zgjidhje proaktive e sigurisë. Në Figurën 1 është paraqitur interesimi në rritje për implementimin e pajisjeve IPS ose zgjidhjeve IPS për të siguruar hostet dhe infrastrukturat e rrjeteve kompjuterike.

Llojet e sistemeve IPS

Meqë prejardhja e sistemeve IPS është nga sistemet IDS, atëherë përmban ngjashmëri të shumta kur bëhet kategorizimi i llojeve të përdorshme të tyre. Në këtë mënyrë, IPS ndahet në dy lloje: 1. Sistemet IPS të bazuara në hoste (HIPS) – është teknologji e re që bazohet në agjentët e sigurisë të cilët instalohen nëpër serverë dhe stacione pune. Në bashkëpunim me kernellin e sistemit operativ dhe shërbimet, monitoron dhe kap trafikun e dyshimtë me qëllim të parandalimit të sulmit. Nëse një organizatë ka bërë implementim të duhur të sistemeve HIPS në hostet e perimetrit të rrjetit të brendshëm të saj, përfitimet janë si vijon:
• Parandalim i sulmit
• Asistencë në arnim
• Parandalim i përhapjes të sulmeve të brendshme
• Përforcim i politikës së sigurisë. Meqë asnjë teknologji nuk është ideale, e njëjta gjë vlen edhe për sistemet HIPS. Disa nga disavantazhet e saj janë:
• I ekspozohet ngacmimeve të përdoruesve
• Mungesë e sigurisë së plotë
• Mosparandalim i sulmeve që nuk kanë si objektiv hostet. Edhe pse sistemet HIPS janë dëshmuar të jenë zgjidhje e duhur e sigurisë kompjuterike, sërish jo të gjitha organizatat kanë mundësinë e implementimit të tij. Fakti që agjentët e sistemit HIPS duhet të instalohen në të gjithë serverët dhe stacionet e punës së organizatës- në ndërmarrje kjo arrin shifrën në mijëra të tilla- atëherë kostoja e implementimit të sistemit HIPS bëhet shumë e lartë. 2. Sistemet IPS të bazuara në rrjet (NIPS) – janë një zgjidhje alternative në raport me ato të sistemeve HIPS, të cilat kanë për synim vendosjen e sigurisë në infrastrukturën e rrjetit dhe jo në hoste.

Në përmbajtje janë kombinim i sistemeve standarde IDS, IPS dhe mureve mbrojtës të rrjetit, madje nganjëherë njihen si IDS të brendshëm ose Gateway IDS. Në përgjithësi monitorojnë trafikun që hyn dhe del nga rrjeti, respektivisht ekzaminojnë anomalitë e protokolleve, komandat që zakonisht nuk ekzekutohen në rrjet dhe shumë aktivitete të tjera që kanë për synim jofunksionalitetin e infrastrukturës së rrjetit. Nëse një organizatë ka bërë implementimin e duhur të sistemeve NIPS në infrastrukturën e perimetrit të rrjetit të brendshëm të saj, përfitimet janë si vijon:
• Normalizim i trafikut
• Përforcim i politikës së sigurisë Kur bëhet fjalë për të metat teknologjike, atëherë edhe sistemet NIPS kanë të tilla. Në vijim po përmendim disa nga disavantazhet e saj:
• Sistemet NIPS nuk janë të përkryera
• Ndikojnë në efektivitetin e rrjetit. Duke ditur tashmë fuqinë mbrojtëse të llojeve të sistemeve IPS si dhe të metat e tyre teknologjike, në praktikë kemi situata kur implementohen:
• Vetëm sistemet HIPS • Vetëm sistemet NIPS (zgjidhje që implementohet më shpesh), ose
• Në formë të kombinuar – sistemet HIPS dhe NIPS së bashku (zgjidhje shumë e shtrenjtë).

IPS përballë IDS

Kur bën krahasimin e sistemeve IPS me ato IDS, Beal thekson se “është si të krahasosh mollët me portokajtë”. Edhe pse të dyja këto teknologji janë teknologji që synojnë të vendosin sigurinë në rrjetet kompjuterike, sërish dallimet janë të dukshme. Po fillojmë si në vijim: Sipas përkufizimit: Përderisa IDS ekzaminon paketat, mbledh e dokumenton informatat dhe alarmon administratorin e rrjetit se diçka e çuditshme po ndodh në rrjet, në anën tjetër IPS përveç ekzaminimeve që i bën IDS-së, ndalon automatikisht trafikun që e vlerëson si të papërshtatshëm ose keqbërës. Mosha: Nëse merren për bazë periudhat kohore të paraqitjes së këtyre teknologjive të sigurisë, IDS mund të quhet vëlla i madh i IPS.

Qasja: Përderisa IDS bazohet më shumë në qasjen “detekto dhe pastaj merru me të”, çka e bën të jetë zgjidhje pasive e sigurisë, IPS preferon qasjen proaktive “parandalimi është më i mirë se shërimi”, duke qenë zgjidhje aktive e sigurisë. Besueshmëria: IDS duke qenë teknologji më e vjetër në moshë sesa IPS, tashmë ka arritur një besueshmëri të konsiderueshme në krahasim me IPS, që është teknologji më e re në moshë dhe më pak e njohur. Përfitimet: Në bazë të raporteve del që IPS dëshmon të ofrojë më shumë përfitime për organizatat sesa IDS falë tiparit intuitiv të IPS në vendosjen e sigurisë në rrjetet kompjuterike. Kostoja: Kur vjen puna tek implementimi, IDS vazhdon të mbetet teknologji më e lirë në krahasim me IPS-në, që vazhdon të varë mbi supet e veta një kosto të lartë implementimi.

Procesi i implementimit të IPS

Procesi i implementimit të sistemit IPS varet shumë nga lloji i zgjedhur për parandalimin e ndërhyrjeve. Në bazë të kësaj, procesi i implementimit të IPS është si vijon: Shpërndarja e pajisjeve IPS: Pavarësisht nga konfiguracioni i rrjetit tuaj, topologjia dhe modeli i trafikut, ju duhet të analizoni shpërndarjen e pajisjeve IPS nga dy perspektiva:
• Sistemet IPS të bazuara në hoste (HIPS) – kërkon instalimin e agjentëve të sistemit HIPS në secilin host të rrjetit tuaj kompjuterik.
• Sistemet IPS të bazuara në rrjet (NIPS) – kërkon shpërndarjen e NIPS gjithandej infrastrukturës fizike të rrjetit kompjuterik që të inspektojë trafikun e brendshëm dhe të jashtëm. Konfigurimi i pajisjeve IPS: Disa nga faktorët që duhen konsideruar janë:
• Akordimi i nënshkrimeve – kërkon akordimin e nënshkrimeve specifike të cilat do gjenerojnë pohues të pavërtetë në rrjetin tuaj.
• Reagim në ndodhi – kërkon konfigurimin e secilit nënshkrim që të gjenerojë një ose më shumë nga aksionet vijuese: moho, alarmo, ndalo ose dokumento.
• Përditësim i softuerit – kërkon aktivizimin e këtij tipari që softueri i IPS-së suaj të jetë i përditësuar në mënyrë që njëmend të jetë rrjeti juaj i sigurt.
• Dështimi i pajisjes – kërkon konfigurimin e kësaj veçorie që të dihet paraprakisht çfarë do të ndodhë nëse pajisja e IPS-së ka probleme. Monitorimi i aktiviteteve të IPS: Kur të planifikoni strategjinë e monitorimit, duhen pasur kujdes faktorët në vijim:
• Metoda e menaxhimit – zakonisht ka dy metoda menaxhimi: individuale dhe e centralizuar.
• Korrelacioni i ndodhisë – i referohet procesit të lidhjes reciproke të sulmeve dhe ndodhive të tjera që ngjajnë në pika të ndryshme në rrjetin tuaj, përfshi këtu edhe sulmet e shumëfishta që ndodhin në të njëjtën kohë.
• Personeli i sigurisë – përgjegjës për të ekzaminuar alarmet e shumta dhe ndodhi të tjera të gjeneruara nga IPS gjate procesimit të trafikut të rrjetit tuaj.
• Plani për reagim ndaj incidentit – në rast se rrjeti juaj është sulmuar, kërkohet përpilimi i një plani në të cilin do të specifikoni hapat e reagimit tuaj. Sigurimi i komunikimeve te IPS: në përgjithësi komunikimet e IPS bëjnë pjesë në dy kategori:
• Komunikimet e menaxhimit – ekzistojnë dy opsione për të realizuar komunikime të sigurta: menaxhimi jashtë-brezit dhe protokollet e sigurta.
• Komunikimet pajisje-me-pajisje – kërkojnë që pajisjet tuaja të IPS-së të komunikojnë me njëra-tjetrën ose me pajisjet e tjera të infrastrukturës së rrjetit. Po të shikosh të gjithë hapat që duhet të ndërmerren për të implementuar një zgjidhje të sigurt të rrjetit kompjuterik të bazuar në sistemet IPS, mbase mund të tingëllojë sikur “ka shumë për t’u bërë”. Por, po të krahasohen të gjitha këto aktivitete të konfigurimit me përfitimet që fiton organizata në rrafshin e sigurisë, atëherë “ia vlen barra qiranë”.

Konkluzioni

Duke marrë për bazë faktin që siguria sot është aktivitet parësor për çdo organizatë sa herë që kërkohet të realizohet një rrjet kompjuterik me shërbime të caktuara, atëherë mund të mbështetemi te sistemet IPS si një zgjidhje e mirë për vendosjen e sigurisë në një rrjet të tillë. Përderisa disa ekspertë të sigurisë pohojnë që epoka e sistemeve IDS është në mbarim dhe se këto tashmë po zëvendësohen nga sistemet IPS, të tjerët vlerësojnë se ardhmëria është e ndritur për të dy teknologjitë e sigurisë së rrjeteve kompjuterike, për faktin se praktikat kanë dëshmuar që të dyja teknologjitë, IDS dhe IPS, nuk bëjnë dot pa njëra-tjetrën. Ose sistemet IPS vetëm ose ne formatin hibrid, një gjë është e sigurt – në vitet që vijnë do ketë ekspansion të sistemeve IPS.

Lajmet e fundit>