Bosh sahifa Wiki IPS

IPS

IPS — tarmoq trafficini real vaqt rejimida tahlil qilib, zararli yoki policy’ga zid packet va connectionlarni aniqlash hamda avtomatik to‘xtatishga mo‘ljallangan tizim. To‘liq nomi Intrusion Prevention System.

IPS ko‘pincha traffic yo‘lida inline joylashadi. Shu sababli u packetni faqat kuzatmaydi, balki drop, reset, block yoki boshqa enforcement amalini bajarishi mumkin.

Inline joylashuv

Traffic IPS orqali o‘tadi:

Client → IPS → Server

IPS:

  • packetni qabul qiladi;
  • protocolni tahlil qiladi;
  • rule bilan solishtiradi;
  • ruxsat beradi yoki bloklaydi;
  • hodisani log qiladi.

Inline qurilma performance va availabilityga bevosita ta’sir qiladi.

Network IPS

Network IPS gateway, datacenter yoki segment orasida ishlaydi.

U ko‘p hostni bitta nuqtadan himoya qiladi.

Ko‘rinadigan traffic sensor joylashuviga bog‘liq.

East-west traffic boshqa yo‘ldan o‘tsa IPS uni ko‘rmasligi mumkin.

Host IPS

Host-based IPS endpoint yoki server ichida process, file, system call va network operationlarni nazorat qilishi mumkin.

U applicationga yaqin kontekstga ega.

Masalan, ma’lum processning system directoryga yozishini bloklashi mumkin.

EDR platformasidagi prevention funksiyalari HIPSga o‘xshash ishlashi mumkin.

Signature

IPS ma’lum exploit yoki protocol patternini signature orqali bloklaydi.

Signature quyidagilarni tekshirishi mumkin:

Rule target product va directionga mos bo‘lsa false positive kamayadi.

Protocol validation

IPS protocol specificationga zid packetlarni rad etishi mumkin.

Masalan:

  • invalid flag;
  • noto‘g‘ri length;
  • ruxsat etilmagan command;
  • malformed request;
  • protocol tunneling.

Bu ma’lum CVE signature’siz ham xavfli trafficni cheklashi mumkin.

Anomaly prevention

Traffic baseline’dan keskin farq qilsa IPS rate yoki connectionni cheklashi mumkin.

Misollar:

  • SYN flood;
  • port scan;
  • DNS anomaly;
  • juda katta request;
  • ko‘p login urinishlari.

Anomaly enforcement qonuniy burstni bloklamasligi uchun ehtiyotkor sozlanadi.

Bloklash usullari

IPS quyidagilarni bajarishi mumkin:

Amal platforma va protocolga bog‘liq.

Virtual patching

Application patchi darhol o‘rnatilmasa IPS exploit request patternini bloklashi mumkin.

Bu virtual patch deb ataladi.

Afzalligi — zaif hostga yetmasdan hujumni to‘xtatish.

Cheklovi:

  • barcha exploit variantini qamramasligi;
  • encrypted trafficni ko‘rmasligi;
  • ichki bypass;
  • false positive.

Fail-open

IPS ishlamay qolsa traffic davom etadi.

Afzalligi — availability saqlanadi.

Kamchiligi — security inspection yo‘qoladi.

Fail-open bypass hodisasi monitoring va alert talab qiladi.

Fail-closed

IPS ishlamay qolsa traffic to‘xtaydi.

Afzalligi — tekshirilmagan traffic o‘tmaydi.

Kamchiligi — IPS nosozligi butun service outage’iga olib kelishi mumkin.

Tanlov business va security talabiga bog‘liq.

High availability

Inline IPS redundant juftlik yoki clusterda ishlashi mumkin.

Failover:

bilan muvofiqlashtiriladi.

Bir qurilma update qilinayotganda boshqasi trafficni davom ettiradi.

Performance

IPS:

bo‘yicha capacityga ega.

Marketingdagi maksimal throughput barcha security funksiyalari yoqilgan holatga mos kelmasligi mumkin.

Real traffic bilan sinov muhim.

TLS inspection

Encrypted trafficni tahlil qilish uchun IPS TLS proxy vazifasini bajarishi mumkin.

Bu:

masalalarini keltiradi.

Barcha trafficni decrypt qilish shart emas.

Rule tuning

IPS false positive bersa qonuniy service uziladi.

Tuning:

  • alert-only rejimda sinash;
  • asset vulnerability;
  • source va destination;
  • application;
  • threshold;
  • exception;
  • staged enforcement

orqali bajariladi.

Rule exceptioni minimal scope’da bo‘ladi.

IPS va firewall

Firewall asosan address, port, protocol va connection state asosida trafficni boshqaradi.

IPS payload va application behaviorni chuqurroq tahlil qiladi.

Next-generation firewall ichida IPS funksiyasi mavjud bo‘lishi mumkin.

IPS va WAF

IPS turli network protocol va service’larni himoya qiladi.

WAF HTTP web application requestlariga ixtisoslashgan.

WAF parameter, cookie va web session kontekstini chuqurroq tushunishi mumkin.

Ikkalasi bir-birini to‘ldiradi.

Bypass rejimi

Maintenance yoki nosozlik vaqtida qurilma hardware yoki software bypass orqali trafficni inspection’siz o‘tkazishi mumkin. Bu availabilityni saqlaydi, ammo himoya vaqtincha yo‘qoladi. Bypass holati, davomiyligi va qaysi segmentga ta’sir qilgani monitoring tizimida ko‘rinadi.

Policy lifecycle

Yangi signature avval monitor yoki alert-only rejimida sinovdan o‘tishi mumkin. Qonuniy trafficga ta’siri tekshirilgach bloklash yoqiladi. Eski productga tegishli rule’lar asset inventory bilan bog‘lanadi. Rule update va rollback markaziy boshqaruv orqali bajariladi.

East-west traffic

Faqat internet perimetridagi IPS ichki service’lar orasidagi trafikni ko‘rmasligi mumkin. Datacenter va cloud segmentlari orasida qo‘shimcha inspection yoki microsegmentation ishlatiladi. Bitta ichki host compromise bo‘lsa lateral movement shu yo‘llardan o‘tadi.

Change control

Inline policy o‘zgarishi production trafficga bevosita ta’sir qiladi. Har katta rule change oldindan test, approval va rollback rejasiga ega bo‘ladi. Emergency block ham keyinchalik review qilinib, vaqtinchalik exceptionlar tozalanadi.

Exception muddati

Qonuniy application uchun berilgan bypass aniq source, destination va vaqt bilan cheklanadi. Muddati tugagach avtomatik olib tashlanadi.

Bog‘liq tushunchalar

Intrusion Prevention System, IDS, Inline security, Virtual patching, Signature detection, Protocol validation, Firewall, WAF, TLS inspection, Network security