Gaur egungo aro digitalean, sarearen segurtasuna enpresek eta norbanakoek aurre egin behar dioten arazo garrantzitsu bihurtu da. Sareko erasoen etengabeko bilakaerarekin, ohiko segurtasun neurriak ez dira egokiak bihurtu. Testuinguru honetan, Intrusio Detekzio Sistema (IDS) eta Intrusio Prebentzio Sistema (IPS) agertu dira The Times egunkariak eskatzen duen bezala, eta sarearen segurtasunaren arloko bi zaindari nagusi bihurtu dira. Antzekoak dirudite, baina oso desberdinak dira funtzionaltasunean eta aplikazioan. Artikulu honek IDS eta IPS arteko desberdintasunetan sakontzen du, eta sarearen segurtasunaren bi zaindari hauek argitzen ditu.
IDS: Sare Segurtasunaren Esploratzailea
1. IDS Intrusio Detekzio Sistemaren (IDS) oinarrizko kontzeptuakSareko trafikoa kontrolatzeko eta balizko jarduera gaiztoak edo urraketak detektatzeko diseinatutako sareko segurtasun gailu edo software aplikazio bat da. Sareko paketeak, erregistro fitxategiak eta bestelako informazioa aztertuz, IDSk trafiko anormala identifikatzen du eta administratzaileei abisatzen die dagokien neurriak har ditzaten. Pentsa ezazu IDS bat sareko mugimendu guztiak zaintzen dituen esploratzaile adi bat dela. Sarean portaera susmagarri bat dagoenean, IDS izango da lehen aldia detektatu eta abisua emango duena, baina ez du ekintza aktiborik hartuko. Bere lana "arazoak aurkitzea" da, ez "konpontzea".
2. IDS nola funtzionatzen duen IDS-k nola funtzionatzen duen batez ere teknika hauetan oinarritzen da:
Sinadura detekzioa:IDS-k sinadura-datu-base handi bat du, eraso ezagunen sinadurak dituena. IDS-k alerta bat igortzen du sareko trafikoak datu-baseko sinadura batekin bat egiten duenean. Hau poliziak susmagarriak identifikatzeko hatz-marken datu-base bat erabiltzea bezalakoa da, eraginkorra baina informazio ezagunean oinarrituta.
Anomalien detekzioa:IDSak sarearen ohiko portaera-ereduak ikasten ditu, eta ohiko eredutik aldentzen den trafikoa aurkitzen duenean, mehatxu potentzial gisa hartzen du. Adibidez, langile baten ordenagailuak bat-batean datu kopuru handia bidaltzen badu gauez, IDSak portaera anomaloa markatu dezake. Hau auzoko eguneroko jarduerak ezagutzen dituen eta anomaliak detektatzen direnean erne egongo den segurtasun-zaindari esperientziadun baten antzekoa da.
Protokoloaren azterketa:IDS-k sareko protokoloen analisi sakona egingo du, arau-hausteak edo protokoloen erabilera anormalak dauden detektatzeko. Adibidez, pakete jakin baten protokolo-formatua estandarrarekin bat ez badator, IDS-k eraso potentzial gisa har dezake.
3. Abantailak eta desabantailak
IDSaren abantailak:
Denbora errealeko jarraipena:IDS-k sareko trafikoa denbora errealean monitoriza dezake segurtasun-mehatxuak garaiz aurkitzeko. Zaindari logabe baten antzera, zaindu beti sarearen segurtasuna.
Malgutasuna:IDS sareko kokapen desberdinetan zabaldu daiteke, hala nola mugetan, barne sareetan, etab., babes maila anitz eskainiz. Kanpoko erasoa edo barne mehatxua izan, IDS-k detektatu dezake.
Gertaeren erregistroa:IDS-k sareko jarduera-erregistro zehatzak graba ditzake post mortem analisietarako eta auzitegi-analisietarako. Sareko xehetasun guztien erregistroa gordetzen duen eskribau leial baten antzekoa da.
IDSaren desabantailak:
Positibo faltsuen tasa handia:IDS sinaduren eta anomalien detekzioaren araberakoa denez, posible da trafiko normala jarduera gaiztotzat hartzea, eta horrek positibo faltsuak sor ditzake. Segurtasun-zaindari sentibera batek banatzailea lapur batekin nahas dezakeen bezala.
Ezin da proaktiboki defendatu:IDS-k alertak detektatu eta sor ditzake soilik, baina ezin du trafiko gaiztoa proaktiboki blokeatu. Administratzaileek eskuz esku hartzea ere beharrezkoa da arazo bat aurkitzen denean, eta horrek erantzun-denbora luzeak ekar ditzake.
Baliabideen erabilera:IDS-k sareko trafiko handia aztertu behar du, eta horrek sistemaren baliabide asko har ditzake, batez ere trafiko handiko ingurune batean.
IPS: Sarearen Segurtasunaren "Defendatzailea"
1. IPS Intrusio Prebentzio Sistemaren (IPS) oinarrizko kontzeptuaIDS oinarritzat hartuta garatutako sareko segurtasun gailu edo software aplikazio bat da. Ez ditu jarduera gaiztoak detektatu bakarrik, baita denbora errealean saihestu eta sarea erasoetatik babestu ere. IDS esploratzailea bada, IPS zaindari ausarta da. Ez du etsaia detektatu bakarrik, baita etsaiaren erasoa geldiarazteko ekimena hartu ere. IPSren helburua "arazoak aurkitzea eta konpontzea" da, sareko segurtasuna denbora errealeko esku-hartzearen bidez babesteko.
2. Nola funtzionatzen duen IPSak
IDSren detekzio-funtzioan oinarrituta, IPSk defentsa-mekanismo hau gehitzen du:
Trafiko blokeoa:IPS-k trafiko gaiztoa detektatzen duenean, trafiko hori berehala blokeatu dezake sarera sartzea eragozteko. Adibidez, ahultasun ezagun bat ustiatzen saiatzen ari den pakete bat aurkitzen bada, IPS-k baztertu egingo du.
Saioaren amaiera:IPSak host gaiztoaren arteko saioa amaitu eta erasotzailearen konexioa moztu dezake. Adibidez, IPSak IP helbide batean indar gordineko eraso bat egiten ari dela detektatzen badu, IP horrekiko komunikazioa eten egingo du besterik gabe.
Edukien iragazketa:IPS-k sareko trafikoan edukia iragazteko aukera ematen du kode edo datu gaiztoen transmisioa blokeatzeko. Adibidez, mezu elektroniko baten eranskin batek malwarea duela aurkitzen bada, IPS-k mezu elektroniko horren transmisioa blokeatuko du.
IPSak atezain baten antzera funtzionatzen du, ez ditu pertsona susmagarriak detektatzen bakarrik, baita alde egiten ere. Azkar erantzuten du eta mehatxuak zabaldu aurretik itzali ditzake.
3. IPSren abantailak eta desabantailak
IPSren abantailak:
Defentsa proaktiboa:IPS-k trafiko gaiztoa denbora errealean saihestu dezake eta sarearen segurtasuna eraginkortasunez babestu. Zaindari ondo prestatu baten antzekoa da, etsaiak hurbildu aurretik uxatzeko gai dena.
Erantzun automatikoa:IPS-ek automatikoki exekutatu ditzake aurrez definitutako defentsa-politikak, administratzaileen zama murriztuz. Adibidez, DDoS eraso bat detektatzen denean, IPS-ek automatikoki mugatu dezake lotutako trafikoa.
Babes sakona:IPSak suebakiekin, segurtasun-atebideekin eta beste gailu batzuekin funtziona dezake babes-maila sakonagoa eskaintzeko. Ez du sarearen muga babesten bakarrik, baita barneko aktibo kritikoak ere.
IPSaren desabantailak:
Blokeo faltsuaren arriskua:IPS-ek trafiko normala blokeatu dezake nahi gabe, sarearen funtzionamendu arruntean eraginez. Adibidez, trafiko legitimo bat gaizki sailkatzen bada gaizto gisa, zerbitzu-etenaldia eragin dezake.
Errendimenduaren eragina:IPS-k sareko trafikoaren denbora errealeko analisia eta prozesamendua behar ditu, eta horrek eragina izan dezake sarearen errendimenduan. Batez ere trafiko handiko inguruneetan, atzerapen handiagoak eragin ditzake.
Konfigurazio konplexua:IPS-en konfigurazioa eta mantentze-lanak nahiko konplexuak dira eta langile profesionalak behar dituzte kudeatzeko. Behar bezala konfiguratzen ez bada, defentsa-efektu eskasa edo blokeo faltsuaren arazoa areagotu dezake.
IDS eta IPS arteko aldea
IDS eta IPS izenaren arteko desberdintasun bakarra bada ere, funtzioan eta aplikazioan funtsezko desberdintasunak dituzte. Hona hemen IDS eta IPS arteko desberdintasun nagusiak:
1. Kokapen funtzionala
IDS: Batez ere sareko segurtasun-mehatxuak kontrolatu eta detektatzeko erabiltzen da, defentsa pasiboaren parte dena. Esploratzaile baten antzera jokatzen du, etsai bat ikusten duenean alarma bat jotzen du, baina erasotzeko ekimena hartu gabe.
IPS: Defentsa funtzio aktibo bat gehitu zaio IDSri, denbora errealean trafiko gaiztoa blokeatu dezakeena. Zaindari baten antzekoa da, etsaia detektatu ez ezik, kanpoan mantendu ere egin ditzake.
2. Erantzun estiloa
IDS: Alertak mehatxu bat detektatu ondoren igortzen dira, administratzailearen eskuzko esku-hartzea behar dutenak. Zaindari batek etsai bat ikusi eta bere nagusiei jakinarazten dien bezala da, argibideen zain.
IPS: Defentsa estrategiak automatikoki exekutatzen dira mehatxu bat detektatu ondoren, gizakiaren esku-hartzerik gabe. Etsai bat ikusi eta atzera botatzen duen zaindari baten antzekoa da.
3. Hedapen kokapenak
IDS: Normalean sarearen saihesbide batean ezartzen da eta ez du zuzenean eragiten sareko trafikoan. Bere eginkizuna behatzea eta grabatzea da, eta ez du ohiko komunikazioan eraginik izango.
IPS: Normalean sarearen lineako kokapenean zabalduta, sareko trafikoa zuzenean kudeatzen du. Trafikoaren denbora errealeko analisia eta esku-hartzea behar ditu, beraz, oso errendimendu handikoa da.
4. Alarma faltsuaren/blokeo faltsuaren arriskua
IDS: Positibo faltsuek ez dute zuzenean eragiten sareko eragiketetan, baina administratzaileei arazoak sor diezazkiekete. Zaindari sentikor baten antzera, alarmak maiz jo ditzakezu eta lan-karga handitu.
IPS: Blokeo faltsu batek zerbitzu normala eten dezake eta sarearen erabilgarritasunari eragin diezaioke. Oso oldarkorra den guardia baten antzekoa da, eta tropa lagunei min egin diezaieke.
5. Erabilera kasuak
IDS: Sareko jardueren analisi eta monitorizazio sakona behar duten egoeretarako egokia, hala nola segurtasun-auditoriak, gorabeheren erantzuna, etab. Adibidez, enpresa batek IDS bat erabil dezake langileen lineako portaera monitorizatzeko eta datu-urraketak detektatzeko.
IPS: Sarea denbora errealean erasoetatik babestu behar duten eszenatokietarako egokia da, hala nola mugako babesa, zerbitzu kritikoen babesa, etab. Adibidez, enpresa batek IPS erabil dezake kanpoko erasotzaileek bere sarera sartzea eragozteko.
IDS eta IPS-ren aplikazio praktikoa
IDS eta IPS arteko aldea hobeto ulertzeko, aplikazio praktiko honen eszenatokia ilustra dezakegu:
1. Enpresaren sarearen segurtasun babesa Enpresaren sarean, IDS barne sarean ezar daiteke langileen lineako portaera kontrolatzeko eta legez kanpoko sarbiderik edo datu-ihesik dagoen detektatzeko. Adibidez, langile baten ordenagailua webgune gaizto batera sartzen ari dela ikusten bada, IDS-k alerta bat piztuko du eta administratzaileari abisatuko dio ikertzeko.
IPS, berriz, sarearen mugan zabaldu daiteke kanpoko erasotzaileek enpresaren sarea inbaditzea saihesteko. Adibidez, IP helbide bat SQL injekzio eraso baten pean dagoela detektatzen bada, IPS-k zuzenean blokeatuko du IP trafikoa enpresaren datu-basearen segurtasuna babesteko.
2. Datu-zentroaren segurtasuna Datu-zentroetan, IDS erabil daiteke zerbitzarien arteko trafikoa kontrolatzeko, komunikazio anormalen edo malwarearen presentzia detektatzeko. Adibidez, zerbitzari batek datu susmagarri kopuru handia bidaltzen badu kanpoko mundura, IDS-k portaera anormala salatuko du eta administratzaileari abisatuko dio ikuskatzeko.
IPS, berriz, datu-zentroen sarreran ezar daiteke DDoS erasoak, SQL injekzioak eta bestelako trafiko gaiztoa blokeatzeko. Adibidez, DDoS eraso batek datu-zentro bat eraitsi nahi duela detektatzen badugu, IPS-k automatikoki mugatuko du lotutako trafikoa zerbitzuaren funtzionamendu normala bermatzeko.
3. Hodeiko segurtasuna Hodeiko ingurunean, IDS erabil daiteke hodeiko zerbitzuen erabilera kontrolatzeko eta baimenik gabeko sarbidea edo baliabideen erabilera okerra detektatzeko. Adibidez, erabiltzaile batek baimenik gabeko hodeiko baliabideetara sartzen saiatzen bada, IDS-k alerta bat piztuko du eta administratzaileari neurriak har ditzan abisatuko dio.
IPS, berriz, hodeiko sarearen ertzean zabaldu daiteke hodeiko zerbitzuak kanpoko erasoetatik babesteko. Adibidez, IP helbide bat detektatzen bada hodeiko zerbitzu bati indar gordineko eraso bat abiarazteko, IPSak zuzenean deskonektatuko du IP horretatik hodeiko zerbitzuaren segurtasuna babesteko.
IDS eta IPSren aplikazio kolaboratiboa
Praktikan, IDS eta IPS ez dira isolatuta existitzen, baina elkarrekin lan egin dezakete sarearen segurtasun babes zabalagoa eskaintzeko. Adibidez:
IDS IPSren osagarri gisa:IDS-k trafikoaren analisi sakonagoa eta gertaeren erregistroa eman ditzake IPS-ri mehatxuak hobeto identifikatzen eta blokeatzen laguntzeko. Adibidez, IDS-k ezkutuko eraso-ereduak detektatu ditzake epe luzeko monitorizazioaren bidez, eta informazio hori IPS-ri eman diezaioke bere defentsa-estrategia optimizatzeko.
IPS IDSren exekutatzaile gisa jokatzen du:IDS-k mehatxu bat detektatu ondoren, IPS-ri dagokion defentsa estrategia exekutatzeko eragin diezaioke erantzun automatiko bat lortzeko. Adibidez, IDS batek IP helbide bat modu gaiztoan eskaneatzen ari dela detektatzen badu, IPS-ri jakinarazi diezaioke IP horretatik zuzenean datorren trafikoa blokeatzeko.
IDS eta IPS konbinatuz, enpresek eta erakundeek sareko segurtasun-babes sistema sendoagoa eraiki dezakete sareko mehatxuei modu eraginkorrean aurre egiteko. IDS arazoa aurkitzeaz arduratzen da, IPS arazoa konpontzeaz, biak elkar osatzen dute, ez bata ez bestea ez da bazterezina.
Aurkitu egokiaSareko Paketeen Brokerrazure IDSarekin (Intrusio Detekzio Sistema) lan egiteko
Aurkitu egokiaLineako Bypass Tap etengailuazure IPSarekin (Intrusioen Prebentzio Sistema) lan egiteko
Argitaratze data: 2025eko apirilaren 23a
