Gaur egungo aro digitalean, sareko segurtasuna enpresek eta pertsonek aurre egin behar dioten arazo garrantzitsu bat bihurtu da. Sare-erasoen etengabeko bilakaerarekin, ohiko segurtasun-neurriak desegokiak bihurtu dira. Testuinguru horretan, Intrusion Detection System (IDS) eta Intrusion Prevention System (IPS) The Times-ek eskatzen duen moduan sortzen dira, eta sareko segurtasunaren alorreko bi zaindari nagusi bihurtzen dira. Antzekoak dirudite, baina funtzionalitatean eta aplikazioan oso desberdinak dira. Artikulu honek IDS eta IPSen arteko desberdintasunetan sakontzen du, eta sareko segurtasunaren bi zaindari hauek desmitifikatzen ditu.
IDS: The Scout of Network Security
1. IDS Intrusioa Detektatzeko Sistemaren (IDS) oinarrizko kontzeptuaksareko segurtasun-gailu edo software-aplikazio bat da, sareko trafikoa kontrolatzeko eta balizko jarduera kaltegarri edo urraketak detektatzeko diseinatua. Sare-paketeak, erregistro-fitxategiak eta bestelako informazioa aztertuz, IDS-k trafiko anormala identifikatzen du eta administratzaileei abisatzen die dagozkien neurriak har ditzaten. Pentsa IDS sareko mugimendu guztiak ikusten dituen bilatzaile adi gisa. Sarean portaera susmagarria dagoenean, IDS izango da abisua hautematen eta igortzen duen lehen aldia, baina ez du ekintza aktiborik hartuko. Bere lana "arazoak aurkitzea" da, ez "konpontzea".
2. IDS-k nola funtzionatzen duen IDS-k nola funtzionatzen duen teknika hauetan oinarritzen da batez ere:
Sinadura hautematea:IDS-k eraso ezagunen sinadurak dituzten sinaduren datu-base handi bat du. IDS-k alerta bat sortzen du sareko trafikoa datu-baseko sinadurarekin bat datorrenean. Poliziak susmagarriak identifikatzeko hatz-marken datu-base bat erabiltzea bezalakoa da, eraginkorra baina ezagutzen den informazioaren menpekoa.
Anomalia hautematea:IDS-k sarearen ohiko portaera-ereduak ikasten ditu, eta eredu arruntetik aldentzen den trafikoa aurkitzen duenean, mehatxu potentzial gisa hartzen du. Adibidez, langile baten ordenagailuak bat-batean datu kopuru handia bidaltzen badu gauean berandu, IDS-k portaera anormala markatu dezake. Hau esperientziadun segurtasun zaindari bat bezalakoa da, auzoko eguneroko jarduerak ezagutzen dituena eta erne egongo da anomaliak hautematen direnean.
Protokoloaren analisia:IDS-k sareko protokoloen azterketa sakona egingo du, urraketak edo protokoloen erabilera anormalak dauden detektatzeko. Adibidez, pakete jakin baten protokolo-formatua estandarrarekin bat ez badator, IDS-k balizko erasotzat har dezake.
3. Abantailak eta desabantailak
IDS abantailak:
Denbora errealeko jarraipena:IDS sareko trafikoa denbora errealean kontrolatu dezake segurtasun mehatxuak garaiz aurkitzeko. Lorik gabeko guardia bat bezala, zaindu beti sareko segurtasuna.
Malgutasuna:IDS sareko kokapen ezberdinetan heda daiteke, hala nola, ertzetan, barne sareetan, etab., babes-maila anitz emanez. Kanpoko eraso bat edo barne mehatxu bat den, IDS-k detektatu dezake.
Gertaeren erregistroa:IDS-k sareko jardueren erregistro zehatzak graba ditzake autopsiak egiteko eta forentseak egiteko. Sarean xehetasun guztien erregistroa gordetzen duen eskribau leiala bezalakoa da.
IDS desabantailak:
Positibo faltsuen tasa altua:IDS sinaduretan eta anomalien detekzioan oinarritzen denez, posible da trafiko normala gaizki baloratzea jarduera asmo txar gisa, eta positibo faltsuak sor ditzake. Segurtasun zaindari gehiegizko sentikorra bezala, entrega-gizona lapur batekin nahas dezakeena.
Ezin proaktiboki defendatu:IDS-k alertak detektatu eta sor ditzake soilik, baina ezin du modu proaktiboan blokeatu trafiko gaiztoa. Administratzaileek eskuz esku hartzea ere beharrezkoa da arazoren bat aurkitzen denean, eta horrek erantzun denbora luzeak sor ditzake.
Baliabideen erabilera:IDS-k sareko trafiko kopuru handia aztertu behar du, eta sistemaren baliabide asko okupa ditzake, batez ere trafiko handiko ingurune batean.
IPS: Sarearen Segurtasunaren "Defentsa".
1. IPS Intrusion Prevention System (IPS) oinarrizko kontzeptuaIDS-en oinarrituta garatutako sareko segurtasun-gailu edo software-aplikazio bat da. Jarduera gaiztoak detektatu ez ezik, denbora errealean saihestu eta sarea erasoetatik babestu ere egin dezake. IDS bilatzailea bada, IPS guardia ausarta da. Etsaia detektatu ez ezik, etsaiaren erasoa geldiarazteko ekimena ere har dezake. IPSren helburua "arazoak aurkitzea eta konpontzea" da sareko segurtasuna denbora errealeko esku-hartzearen bidez babesteko.
2. Nola funtzionatzen duen IPS
IDS-en detekzio-funtzioan oinarrituta, IPSek defentsa-mekanismo hau gehitzen du:
Trafikoa blokeatzea:IPS-k trafiko gaiztoa detektatzen duenean, berehala blokeatu dezake trafiko hori sarean sar ez dadin. Esate baterako, pakete bat ahultasun ezagun bat ustiatzen saiatzen aurkitzen bada, IPS-k besterik gabe utziko du.
Saioaren amaiera:IPS-k ostalari gaiztoen arteko saioa amaitu eta erasotzailearen konexioa moztu dezake. Esaterako, IPSak IP helbide batean indar gordineko eraso bat egiten ari dela hautematen badu, IP horrekin komunikazioa deskonektatuko du.
Edukiak iragaztea:IPSek sareko trafikoan edukia iragaztea egin dezake kode edo datu maltzurren transmisioa blokeatzeko. Adibidez, mezu elektronikoaren eranskin batek malwarea duela aurkitzen bada, IPS-k mezu elektroniko horren transmisioa blokeatuko du.
IPSek atezain baten moduan funtzionatzen du, susmagarriak diren pertsonak antzematen ez ezik, urruntzen ditu. Azkar erantzuten du eta hedatu aurretik mehatxuak itzal ditzake.
3. IPSen abantailak eta desabantailak
IPS abantailak:
Defentsa proaktiboa:IPS-k trafiko gaiztoa saihes dezake denbora errealean eta eraginkortasunez babestu sarearen segurtasuna. Ondo prestatutako zaindari bat bezalakoa da, etsaiak hurbildu aurretik uxatzeko gai dena.
Erantzun automatikoa:IPSek automatikoki exekutatu ditzake aurrez definitutako defentsa politikak, administratzaileen zama murriztuz. Adibidez, DDoS eraso bat detektatzen denean, IPS-k automatikoki muga dezake lotutako trafikoa.
Babes sakona:IPSek suebakiekin, segurtasun-atebideekin eta beste gailu batzuekin lan egin dezake babes maila sakonagoa emateko. Sarearen muga babesten ez ezik, barneko aktibo kritikoak ere babesten ditu.
IPSaren desabantailak:
Blokeo faltsuaren arriskua:IPS-k trafiko normala blokeatu dezake akatsez, sarearen funtzionamendu normalari eraginez. Esate baterako, trafiko legitimo bat gaizki sailkatuta badago, zerbitzua eten dezake.
Errendimenduaren eragina:IPS-k sareko trafikoa denbora errealean aztertzea eta prozesatzea eskatzen du, eta horrek nolabaiteko eragina izan dezake sarearen errendimenduan. Batez ere trafiko handiko ingurunean, atzerapena areagotzea ekar dezake.
Konfigurazio konplexua:IPSen konfigurazioa eta mantentze-lanak nahiko konplexuak dira eta kudeatzeko langile profesionalak behar dituzte. Behar bezala konfiguratuta ez badago, defentsa efektu eskasa ekar dezake edo blokeo faltsuaren arazoa areagotu.
IDS eta IPSen arteko aldea
IDS eta IPS izenean hitz-desberdintasun bakarra badute ere, funtzioan eta aplikazioan ezinbesteko desberdintasunak dituzte. Hona hemen IDS eta IPSen arteko desberdintasun nagusiak:
1. Posizionamendu funtzionala
IDS: Batez ere, defentsa pasiboari dagokion sareko segurtasun mehatxuak kontrolatzeko eta detektatzeko erabiltzen da. Esploratzaile baten antzera jokatzen du, etsaia ikusten duenean alarma joz, baina ez erasotzeko iniziatibarik hartzen.
IPS: IDS-i defentsa-funtzio aktibo bat gehitzen zaio, eta horrek trafiko gaiztoa blokeatu dezake denbora errealean. Zaindari bat bezalakoa da, etsaia detektatu ez ezik, kanpoan gorde dezake.
2. Erantzun estiloa
IDS: mehatxu bat detektatu ondoren alertak igortzen dira, eta administratzaileak eskuz esku hartu behar du. Centinela etsaia ikusi eta bere nagusiei jakinaraziko dien bezala da, argibideen zain.
IPS: Defentsa estrategiak automatikoki exekutatzen dira mehatxu bat giza esku-hartzerik gabe hauteman ondoren. Etsaia ikusi eta atzera botatzen duen guardia bat bezalakoa da.
3. Hedapen-kokapenak
IDS: normalean sareko saihesbide-kokapen batean hedatzen da eta ez du sareko trafikoari zuzenean eragiten. Bere eginkizuna behatzea eta grabatzea da, eta ez du ohiko komunikazioa oztopatuko.
IPS: normalean sareko sareko kokapenean zabalduta, sareko trafikoa zuzenean kudeatzen du. Denbora errealeko analisia eta trafikoaren esku-hartzea behar du, beraz, errendimendu handikoa da.
4. Alarma faltsu/bloke faltsuaren arriskua
IDS: positibo faltsuek ez dute zuzenean eragiten sareko eragiketetan, baina administratzaileak borrokan jar ditzakete. Sensibilitate handiegiko guardia batek bezala, maiz alarmak jo ditzakezu eta zure lan-karga areagotu dezakezu.
IPS: blokeo faltsuak zerbitzuaren etendura arrunta eragin dezake eta sarearen erabilgarritasuna eragin dezake. Oso oldarkorra den eta lagunarteko tropei kalte egin diezaiekeen guardia bat bezalakoa da.
5. Erabilera kasuak
IDS: sareko jardueren analisi eta monitorizazio sakona eskatzen duten agertokietarako egokia da, hala nola, segurtasun-ikuskaritza, gertakarien erantzuna, etab. Adibidez, enpresa batek IDS bat erabil dezake langileen lineako portaera kontrolatzeko eta datu-hausteak hautemateko.
IPS: Sarea denbora errealean erasoetatik babestu behar duten agertokietarako egokia da, esate baterako, muga-babesa, zerbitzu kritikoen babesa, etab. Adibidez, enpresa batek IPS erabil dezake kanpoko erasotzaileak bere sarean sartzea saihesteko.
IDS eta IPSen aplikazio praktikoa
IDS eta IPSen arteko aldea hobeto ulertzeko, aplikazio praktiko hau azal dezakegu:
1. Enpresa-sarearen segurtasun-babesa Enpresa-sarean, IDS barne-sarean heda daiteke langileen lineako portaera kontrolatzeko eta legez kanpoko sarbidea edo datu-ihesak dauden detektatzeko. Adibidez, langile baten ordenagailua webgune maltzur batean sartzen ari dela aurkitzen bada, IDS-k alerta bat piztuko du eta administratzaileari ohartaraziko dio iker dezan.
IPS, berriz, sarearen mugan zabaldu daiteke kanpoko erasotzaileek enpresa-sarea inbadi ez dezaten. Adibidez, IP helbide bat SQL injekzio erasopean dagoela hautematen bada, IPS-k zuzenean blokeatuko du IP trafikoa enpresa datu-basearen segurtasuna babesteko.
2. Datu-zentroaren segurtasuna Datu-zentroetan, IDS zerbitzarien arteko trafikoa kontrolatzeko erabil daiteke, komunikazio anormalak edo malwareak daudela detektatzeko. Esate baterako, zerbitzari batek datu susmagarri asko bidaltzen baditu kanpoko mundura, IDS-k portaera anormala markatuko du eta administratzaileari ohartaraziko dio ikuskatzeko.
IPS, berriz, datu-zentroen sarreran zabaldu daiteke DDoS erasoak, SQL injekzioa eta beste trafiko gaiztoak blokeatzeko. Adibidez, DDoS eraso bat datu-zentro bat erortzen saiatzen ari dela detektatzen badugu, IPS-k automatikoki mugatuko du lotutako trafikoa zerbitzuaren funtzionamendu normala bermatzeko.
3. Hodeiaren segurtasuna Hodeiko ingurunean, IDS erabil daiteke hodeiko zerbitzuen erabilera kontrolatzeko eta baliabideen baimenik gabeko sarbidea edo erabilera okerra dagoen detektatzeko. Adibidez, erabiltzaile bat baimenik gabeko hodeiko baliabideak sartzen saiatzen ari bada, IDS-k alerta bat piztuko du eta administratzaileari ohartaraziko dio neurriak hartzeko.
IPS, berriz, hodeiko sarearen ertzean heda daiteke hodeiko zerbitzuak kanpoko erasoetatik babesteko. Esate baterako, IP helbide bat hodeiko zerbitzu batean indar gordinaren erasoa abiarazteko detektatzen bada, IPS-a zuzenean deskonektatuko da IPtik, hodeiko zerbitzuaren segurtasuna babesteko.
IDS eta IPSen lankidetza-aplikazioa
Praktikan, IDS eta IPS ez daude isolatuta, baina elkarrekin lan egin dezakete sareko segurtasun-babes osoa eskaintzeko. Adibidez:
IDS IPSaren osagarri gisa:IDS-k trafikoaren azterketa sakonagoa eta gertaeren erregistroa eskain ditzake IPS-ri mehatxuak hobeto identifikatzen eta blokeatzen laguntzeko. Esaterako, IDS-ek ezkutuko eraso-ereduak detektatu ditzake epe luzeko monitorizazioaren bidez, eta, ondoren, informazio hori IPS-ra igorri bere defentsa estrategia optimizatzeko.
IPS IDSren betearazle gisa jarduten du:IDS-k mehatxu bat detektatu ondoren, IPS abiarazi dezake dagokion defentsa estrategia exekutatzeko erantzun automatizatu bat lortzeko. Adibidez, IDS batek IP helbide bat maltzurki eskaneatzen ari dela hautematen badu, IPSri jakinarazi diezaioke IP horretatik zuzenean trafikoa blokeatzeko.
IDS eta IPS konbinatuz, enpresek eta erakundeek sareko segurtasun babeserako sistema sendoagoa eraiki dezakete sareko hainbat mehatxu eraginkortasunez aurre egiteko. IDS arazoa aurkitzeaz arduratzen da, IPS arazoa konpontzeaz arduratzen da, biak elkarren osagarri dira, bata ez bestea ez da baztergarria.
Aurkitu egokiaSareko Pakete Brokerzure IDS (Intrusioa Detektatzeko Sistema) lan egiteko
Aurkitu egokiaInline Bypass Sakatu Etengailuazure IPSarekin (Intrusioen Prebentziorako Sistema) lan egiteko
Argitalpenaren ordua: 2025-04-23
