IPS

System zapobiegania włamaniom, który nie tylko wykrywa podejrzany ruch, ale też aktywnie go blokuje w czasie rzeczywistym.

IPS (Intrusion Prevention System) to system, który monitoruje ruch sieciowy w czasie rzeczywistym, rozpoznaje w nim wzorce ataków i — w przeciwieństwie do swojego biernego kuzyna IDS — sam podejmuje akcję: odrzuca pakiet, zrywa sesję albo dorzuca regułę na firewallu. Innymi słowy, nie tylko krzyczy „uwaga, ktoś skanuje porty”, ale faktycznie zamyka drzwi przed napastnikiem, zanim ten wejdzie do środka.

Kluczowa różnica jest w umiejscowieniu. IPS działa inline, czyli cały ruch fizycznie przez niego przepływa — siedzi w jednej linii między internetem a Twoją siecią. Dzięki temu może blokować w locie. IDS (Intrusion Detection System) słucha kopii ruchu z portu lustrzanego (SPAN/TAP) i co najwyżej wysyła alert. Ta sama logika wykrywania, inny tryb pracy i inne konsekwencje: jeśli IPS się pomyli, realnie ubije komuś połączenie.

Wykrywanie opiera się głównie na dwóch podejściach. Pierwsze to sygnatury — gotowe wzorce znanych ataków, np. konkretny ciąg bajtów charakterystyczny dla exploita. Drugie to analiza anomalii — system uczy się, jak wygląda normalny ruch, i reaguje na odchylenia. W praktyce nowoczesny IPS (często sprzedawany jako moduł NGFW, np. w Palo Alto, Fortinet FortiGate czy Cisco Firepower) łączy oba.

Przykład z praktyki

Najpopularniejszy open source to Suricata oraz Snort. Snort domyślnie działa jako IDS (tryb pasywny), ale przełączysz go w tryb blokujący — inline — uruchamiając z obsługą kolejki NFQUEUE, np.:

snort -Q --daq nfq -c /etc/snort/snort.conf

W regule różnica między „tylko zgłoś” a „zablokuj” sprowadza się do jednego słowa na początku: alert tcp any any -> $HOME_NET 22 tylko alarmuje, a drop tcp any any -> $HOME_NET 22 faktycznie odrzuca pakiet. To dlatego źle napisana reguła w trybie drop potrafi w sekundę odciąć pół firmy od SSH.

Częste błędy i mity

  • „IPS zastępuje firewall — nie. Firewall decyduje, czy ruch w ogóle ma prawo wejść; IPS bada zawartość ruchu, który już przeszedł. To warstwy uzupełniające się.
  • Ignorowanie false positives. Agresywny zestaw reguł w trybie blokującym potrafi wyciąć legalny ruch. Dlatego nowy IPS uruchamia się zwykle w trybie wykrywania (jak IDS), zbiera dane przez kilka dni i dopiero potem włącza blokowanie.
  • „Mam IPS, więc szyfrowany ruch też ogarnie”. Bez TLS inspekcji (deszyfracji) IPS widzi tylko metadane sesji HTTPS, nie jej treść — a większość ruchu to dziś HTTPS.

Pojęcia powiązane: IDS, firewall, NGFW (Next-Generation Firewall), DPI (Deep Packet Inspection), sygnatury, SIEM, false positive, NFQUEUE.