IPS — tarmoq trafficini real vaqt rejimida tahlil qilib, zararli yoki policy’ga zid packet va connectionlarni aniqlash hamda avtomatik to‘xtatishga mo‘ljallangan tizim. To‘liq nomi Intrusion Prevention System.
IPS ko‘pincha traffic yo‘lida inline joylashadi. Shu sababli u packetni faqat kuzatmaydi, balki drop, reset, block yoki boshqa enforcement amalini bajarishi mumkin.
Inline joylashuv
Traffic IPS orqali o‘tadi:
Client → IPS → Server
IPS:
- packetni qabul qiladi;
- protocolni tahlil qiladi;
- rule bilan solishtiradi;
- ruxsat beradi yoki bloklaydi;
- hodisani log qiladi.
Inline qurilma performance va availabilityga bevosita ta’sir qiladi.
Network IPS
Network IPS gateway, datacenter yoki segment orasida ishlaydi.
U ko‘p hostni bitta nuqtadan himoya qiladi.
Ko‘rinadigan traffic sensor joylashuviga bog‘liq.
East-west traffic boshqa yo‘ldan o‘tsa IPS uni ko‘rmasligi mumkin.
Host IPS
Host-based IPS endpoint yoki server ichida process, file, system call va network operationlarni nazorat qilishi mumkin.
U applicationga yaqin kontekstga ega.
Masalan, ma’lum processning system directoryga yozishini bloklashi mumkin.
EDR platformasidagi prevention funksiyalari HIPSga o‘xshash ishlashi mumkin.
Signature
IPS ma’lum exploit yoki protocol patternini signature orqali bloklaydi.
Signature quyidagilarni tekshirishi mumkin:
Rule target product va directionga mos bo‘lsa false positive kamayadi.
Protocol validation
IPS protocol specificationga zid packetlarni rad etishi mumkin.
Masalan:
- invalid flag;
- noto‘g‘ri length;
- ruxsat etilmagan command;
- malformed request;
- protocol tunneling.
Bu ma’lum CVE signature’siz ham xavfli trafficni cheklashi mumkin.
Anomaly prevention
Traffic baseline’dan keskin farq qilsa IPS rate yoki connectionni cheklashi mumkin.
Misollar:
Anomaly enforcement qonuniy burstni bloklamasligi uchun ehtiyotkor sozlanadi.
Bloklash usullari
IPS quyidagilarni bajarishi mumkin:
- packet drop;
- TCP reset;
- connection block;
- source IPni vaqtincha bloklash;
- session quarantine;
- rate limit;
- shubhali file’ni olib tashlash;
- virtual patch.
Amal platforma va protocolga bog‘liq.
Virtual patching
Application patchi darhol o‘rnatilmasa IPS exploit request patternini bloklashi mumkin.
Bu virtual patch deb ataladi.
Afzalligi — zaif hostga yetmasdan hujumni to‘xtatish.
Cheklovi:
- barcha exploit variantini qamramasligi;
- encrypted trafficni ko‘rmasligi;
- ichki bypass;
- false positive.
Fail-open
IPS ishlamay qolsa traffic davom etadi.
Afzalligi — availability saqlanadi.
Kamchiligi — security inspection yo‘qoladi.
Fail-open bypass hodisasi monitoring va alert talab qiladi.
Fail-closed
IPS ishlamay qolsa traffic to‘xtaydi.
Afzalligi — tekshirilmagan traffic o‘tmaydi.
Kamchiligi — IPS nosozligi butun service outage’iga olib kelishi mumkin.
Tanlov business va security talabiga bog‘liq.
High availability
Inline IPS redundant juftlik yoki clusterda ishlashi mumkin.
bilan muvofiqlashtiriladi.
Bir qurilma update qilinayotganda boshqasi trafficni davom ettiradi.
Performance
IPS:
- throughput;
- packets per second;
- concurrent session;
- latency;
- TLS inspection;
- rule soni
bo‘yicha capacityga ega.
Marketingdagi maksimal throughput barcha security funksiyalari yoqilgan holatga mos kelmasligi mumkin.
Real traffic bilan sinov muhim.
TLS inspection
Encrypted trafficni tahlil qilish uchun IPS TLS proxy vazifasini bajarishi mumkin.
Bu:
- certificate boshqaruvi;
- private key;
- privacy;
- performance;
- pinned application;
- bypass policy
masalalarini keltiradi.
Barcha trafficni decrypt qilish shart emas.
Rule tuning
IPS false positive bersa qonuniy service uziladi.
Tuning:
- alert-only rejimda sinash;
- asset vulnerability;
- source va destination;
- application;
- threshold;
- exception;
- staged enforcement
orqali bajariladi.
Rule exceptioni minimal scope’da bo‘ladi.
IPS va firewall
Firewall asosan address, port, protocol va connection state asosida trafficni boshqaradi.
IPS payload va application behaviorni chuqurroq tahlil qiladi.
Next-generation firewall ichida IPS funksiyasi mavjud bo‘lishi mumkin.
IPS va WAF
IPS turli network protocol va service’larni himoya qiladi.
WAF HTTP web application requestlariga ixtisoslashgan.
WAF parameter, cookie va web session kontekstini chuqurroq tushunishi mumkin.
Ikkalasi bir-birini to‘ldiradi.
Bypass rejimi
Maintenance yoki nosozlik vaqtida qurilma hardware yoki software bypass orqali trafficni inspection’siz o‘tkazishi mumkin. Bu availabilityni saqlaydi, ammo himoya vaqtincha yo‘qoladi. Bypass holati, davomiyligi va qaysi segmentga ta’sir qilgani monitoring tizimida ko‘rinadi.
Policy lifecycle
Yangi signature avval monitor yoki alert-only rejimida sinovdan o‘tishi mumkin. Qonuniy trafficga ta’siri tekshirilgach bloklash yoqiladi. Eski productga tegishli rule’lar asset inventory bilan bog‘lanadi. Rule update va rollback markaziy boshqaruv orqali bajariladi.
East-west traffic
Faqat internet perimetridagi IPS ichki service’lar orasidagi trafikni ko‘rmasligi mumkin. Datacenter va cloud segmentlari orasida qo‘shimcha inspection yoki microsegmentation ishlatiladi. Bitta ichki host compromise bo‘lsa lateral movement shu yo‘llardan o‘tadi.
Change control
Inline policy o‘zgarishi production trafficga bevosita ta’sir qiladi. Har katta rule change oldindan test, approval va rollback rejasiga ega bo‘ladi. Emergency block ham keyinchalik review qilinib, vaqtinchalik exceptionlar tozalanadi.
Exception muddati
Qonuniy application uchun berilgan bypass aniq source, destination va vaqt bilan cheklanadi. Muddati tugagach avtomatik olib tashlanadi.
Bog‘liq tushunchalar
Intrusion Prevention System, IDS, Inline security, Virtual patching, Signature detection, Protocol validation, Firewall, WAF, TLS inspection, Network security