IPS – Intrusion Prevention System
En IPS är en nätverksenhet som inte bara tittar efter nätverks/system aktiviteter som är associerade med skadlig aktivitet utan en IPS blockerar även sådan trafik.
Så många säger att en IPS är en förbättrad och förnyad variant av en IDS. Och till stor del så stämmer detta. En IPS har gått ett steg längre och där har man satt enheten där den faktiskt kan bryta flödet av data. Och det är det en IPS är till för, den ska kunna detektera skadlig nätverkstrafik och sätta stopp för samma trafik. Enkelt sätt så kan man se en IPS som en avancerad brandvägg. När den ser trafik som triggar ett larm så stoppas även samma trafik. För att detta ska fungera så måste man så klart sätta IPS’en tex mellan den externa routern och brandväggen. Så ser IPS’en trafiken innan den kommer fram och kan blockera den om det skulle behövas.
Medans en IDS egentligen bara alarmerar och informerar personalen att någonting håller på att hända eller att någonting har hänt på nätet så blockerar aktivt en IPS samma trafik. Men för att en IPS verkligen ska ge ett bra skydd så måste den verkligen ha effektiva filter som gör att den bara blockerar när det verkligen är en True Positive, dvs att det verkligen är någonting skadligt som håller på att hända och att IPSen blockerar denna trafik. Skulle IPSen börjar blockera sådant som inte ska blockeras så ställer detta till problem och kan leda till neretid, produktionsstopp och mycket mycket mer.
Både IPS och IDS
Många kanske ställer sig frågan om man har en IPS, vad ska man då med en Intrusion Detection System till. Självklart så finns det olika fördelar med att ha en Intrusion Detection System jämfört en Intrusion Prevention System. En IDS kan oftast konfigureras till att se fler saker än vad en IPS skulle kunna se, finns oftast fler moduler att koppla till IDS’er som gör att man kan upptäcka förändringar i nätverkstrafiken, även användas till felsökning i nätverket. Och om man har extremt känsliga nät som verkligen inte får störas så kanske det inte är möjligt att sätta in en IPS som faktiskt kan bryta/hindra trafiken.
Många IPS leverantörer
Många IPS leverantörer blir det och hur vet man vilken man ska välja. Det första man bör ta och titta på är på hur ens budget ser ut och av vilka leverantörer man vill jobba samman med. IPS’er är som virusskydd oftast så är det stor skillnad på dom och även stor skillnad i hur mycket som dom upptäcker och faktiskt blockerar men även på hållbarhet, uppdaterings frekvens av filter/skydds listor mm. Går nästan att sammanlikna med ett Antivirusprogram. Och idag kanske en leverantör är den bästa och imorgon så kanske någonannan har gått om.
Hur som helst så finns det flertal externa kontrollföretag som testar olika IPS’er och ser vad dom leverar. Ett sådant är NSSLabs. Dom testar och utvärderar ett antal olika IPS’er kvartalsvis. Där testar dom hur mycket som IPS’erna fångade upp, hur mycket trafik som kunde skickas genom dom. Om det blev false positives och mycket mycket mer.
Men så här till en början så kan vi skriva ett par tillverkare som finns där ute som är värda en extra koll.
TippingPoint IPS
Tippingpoints IPSer har under många år varit bland de mest populära och ”säkraste” IPSer som finns på marknaden. TippingPoint har gång på gång kommit på toppplaceringar i Gartners och NSS Labs rapporter.
TippingPoint är även känt för deras Zero Day Initiative där dom genom detta ofast blir dom första som har ett skydd mot okända hot. Dvs innan en sårbarhet börjar användas så är det många gånger TippingPoint har ett skydd mycket pga deras Zero Day Initiative.
För att sätta in en TippingPoint IPS på nätet så krävs det egentligen bara att den sätts in, den behöver inte konfigureras med någon IP eller MAC-adress utan det är bara att köra in som vanligt och så ska den redan från början kunna filtrera bort potentiellt skadlig trafik från nätet. Vill man uppdatera en TippingPoint IPS med nya filter/vaccin så måste ett Admin interface konfigureras där man kan uppdatera den med nya filter.
Helt klart är TippingPoint IPSer värt att titta lite extra på. Finns flera återförsäljare i Sverige som säljer TippingPoint så ta kontakt med några utav dessa för att se hur dom kan hjälpa er.
Några svenska partners som jobbar med Tippingpoints IPS’er är.
Tippingpoint själva
Tippingpoint IPS övervakning och drift
Snort IPS
Många som är intresserade av IDS/IPS har någongång satt upp en Snort IDS sensor. Det är möjligt att bygga ut dessa så att snort sensorn även kan bli en IPS. Detta genom att låta den kommunicera med en freebsd/linux burk som har iptables/ipfilter implementerat och kan blockera trafiken.
Vi har aldrig använt en Snort sensor som en IPS i ett riktigt nätverk men i labbmiljön så har det fungerat relativt bra.
Vill man använda sig av Snort som IPS så bör man införskaffa Sourcefire applianceburken. Sourcefire har en applianceburk Sourcefire 3D 4500 Network IPS som är gjord till lite större nät men som bygger på Snort i grunden med IPS funktionalitet.
Juniper Network IPS
För er som har en Juniper miljö med deras routrar, brandväggar (Netscreen) och mycket annat så kan det tänkas att man även vill implementera deras IPS funktionalitet.Det är helt möjligt med deras highend IPS enheter.
IBM Proventia IPS
IBM köpte för något upp sedan ISS och implementerade deras IPS som IBM Proventia IPS. Även IBM Proventia är bra IPS system och även denna är någonting vi kan rekommendera.
Stonesoft Stonegate IPS
Ingen erfarenhet här av Stonesofts IPSer, men är det någon som har det så får ni gärna skriva en text om det så ska jag lägga upp det här.
Maila isåfall på info@natverksovervakning.se.
Rekommendation vid inköp av IPS
Om ni funderar på att införskaffa antingen en IPS eller IDS så är det alltid bra att kolla runt med ett par leverantörer och se vad som skulle passa just er organisation. Se till att få jämförelsepapper, whitepapers och annat som kan visa varför just deras produkt är bra. Vi kommer aldrig att rekommendera er att köpa en specifik produkt vi kan bara ge er förslag och sen får ni själva ta ställning till vad ni är intresserade av.