Tietoturvavalvonnan perusteet ja käsitteet

IDS/IPS järjestelmät

Helppo
20 min

Intrusion Detection System (IDS) ja Intrusion Prevention System (IPS) ovat tietoturvajärjestelmiä, jotka pyrkivät havaitsemaan ja torjumaan tietomurtoja ja muita turvallisuusuhkia verkkoympäristössä.

Intrusion Detection System (IDS)

Intrusion Detection System (IDS) on tietoturvajärjestelmä, joka valvoo verkkoliikennettä ja järjestelmän tapahtumia etsien merkkejä tai poikkeavuuksia, jotka saattavat viitata tietomurtoon tai tietoturvariskiin. IDS voi käyttää useita menetelmiä havaitakseen mahdollisia hyökkäyksiä, mukaan lukien:

  1. Allekirjoitus pohjainen analyysi: IDS vertaa verkkoliikennettä tai järjestelmätapahtumia tunnettuihin hyökkäysmalliin tai allekirjoituksiin. Jos se havaitsee vastaavuuden, se generoi hälytyksen.
  2. Poikkeavuuksien tarkkailu: IDS analysoi normaalia toimintaa ja etsii poikkeamia normaalista käyttäytymisestä. Poikkeavuudet voivat olla merkkejä mahdollisista hyökkäyksistä.
  3. Protokolla analyysi: IDS tarkkailee verkkoliikennettä ja järjestelmätapahtumia että nämä noudattavat verkkoprotokollastandardeja. Poikkeamat voivat osoittaa mahdollisia hyökkäyksiä, kuten haitallista verkkoliikennettä tai protokollan väärinkäyttöä.

Intrusion Prevention System (IPS)

Intrusion Prevention System (IPS) on aggressiivisempi variaatio IDS:stä, sillää se ei ainoastaan havaitse tietomurtoja ja tietoturvariskejä, vaan myös toimii aktiivisesti niiden torjumiseksi. IPS voi reagoida havaittuihin uhkiin useilla tavoilla:

  1. Estäminen: IPS voi estää pääsyn verkkoon tai tiettyihin resursseihin tunnistettujen hyökkäysten tai epäilyttävän toiminnan perusteella.
  2. Pakettien filtterointi: IPS voi analysoida ja suodattaa verkkoliikennettä tunnistettujen hyökkäysten tai sääntöjen mukaisesti.
  3. Yhteyksien katkaisu: IPS voi nollata tai katkaista epäilyttävät yhteydet automaattisesti.

IDS/IPS järjestelmiä

Snort

Snort on avoimen lähdekoodin IDS- / IPS-järjestelmä, joka käyttää allekirjoitus- ja anomalia-pohjaista havaitsemista. Se pystyy valvomaan verkkoliikennettä reaaliaikaisesti ja tunnistamaan tunnetut hyökkäysmallit tai poikkeavuudet normaalista verkkoliikenteestä. Snort on erittäin joustava ja skaalautuva järjestelmä, ja se tarjoaa laajan valikoiman konfiguroitavia ominaisuuksia. Snort voi toimia sekä itsenäisenä järjestelmänä, että osana laajempaa turvallisuusarkkitehtuuria.

https://www.snort.org/

Suricata

Suricata on toinen avoimen lähdekoodin IDS- ja IPS-järjestelmä, joka on kehitetty vastaamaan nykyaikaisiin tietoturva- ja verkkoliikenteen analyysitarpeisiin. Suricata pystyy suorittamaan reaaliaikaista verkkoliikenteen tarkkailua ja havaitsemaan erilaisia verkkohyökkäyksiä ja poikkeamia. Suricata käyttää monikerroksista havaitsemistekniikkaa, joka sisältää sekä signature-pohjaisen että anomaly-pohjaisen havaitsemisen. Se on erittäin skaalautuva ja tarjoaa rikkaan valikoiman ominaisuuksia, mukaan lukien tuki monille protokollille ja kyky suorittaa syvällistä pakettien analysointia. Suricata on suosittu valinta monissa organisaatioissa.

https://suricata.io/

hakatemia pro

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.

Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.