intrusion prevention system
(IPS szócikkből átirányítva)
Főnév
intrusion prevention system (tsz. intrusion prevention systems)
- (informatika) Az Intrusion Prevention System (IPS) – magyarul behatolás-megelőző rendszer – egy olyan biztonsági technológia, amelynek feladata a számítógépes hálózatba vagy rendszerbe irányuló rosszindulatú forgalom valós idejű észlelése és megakadályozása. Az IPS nemcsak figyelmeztet a támadásra (mint az Intrusion Detection System, IDS), hanem automatikusan lépéseket tesz a támadás megállítására, például csomagok eldobásával, kapcsolatok megszakításával vagy szabályok frissítésével.
Az IPS az informatikai biztonság egyik kulcsfontosságú eleme, különösen vállalati környezetben, ahol az adatbiztonság, szolgáltatásbiztonság és hálózati integritás kiemelten fontos.
🔍 IPS működése: hogyan véd?
Az IPS a hálózati vagy rendszerforgalmat valós időben figyeli, elemzi, összehasonlítja egy ismert fenyegetésadatbázissal, és ha támadásra utaló jelet talál, azonnal beavatkozik.
Fő lépések:
- Forgalom elfogása (packet capture)
- Vizsgálat és elemzés (deep packet inspection, DPI)
- Támadás azonosítása (szignatúra, viselkedés, anomália)
- Reagálás:
- Csomag eldobása
- Csatlakozás bontása
- IP-cím tiltása
- Riasztás küldése SIEM-nek vagy adminnak
🧠 IPS vs IDS – a különbség
| Funkció | IDS | IPS |
|---|---|---|
| Funkció | Behatolás észlelése | Behatolás megelőzése |
| Beavatkozás | Nem aktív (passzív) | Aktív (forgalmat blokkol) |
| Elhelyezés | Hálózaton kívül, figyel | Hálózat „útvonalában” |
| Példa | Snort IDS, Suricata IDS | Snort IPS, Cisco Firepower IPS |
🛠️ IPS típusai
1. Network-based IPS (NIPS)
- A hálózat egy kulcsfontosságú pontjára telepítve.
- Teljes forgalmat vizsgál, jellemzően router vagy switch után.
- Jellemző eszközök: Cisco Firepower, Palo Alto NGFW + IPS
2. Host-based IPS (HIPS)
- Egy adott gépen vagy szerveren fut.
- A rendszerhívásokat, fájlhozzáféréseket, memóriát figyeli.
- Példa: Symantec, CrowdStrike, OSSEC
3. Wireless IPS
- Vezeték nélküli forgalmat figyel, védi a Wi-Fi hálózatokat.
- Képes azonosítani rogue AP-kat, jelszóbrute-force-t.
4. Network Behavior Analysis (NBA) IPS
- A hálózati viselkedést tanulmányozza, nem csak szignatúrákat.
- Megtalálja a szokatlan mintázatokat (anomáliák).
- Hatékony zero-day támadások ellen.
🧱 Módszerek a támadások azonosítására
📌 1. Szignatúra alapú (signature-based)
- Ismert támadások „ujjlenyomatait” tartalmazó adatbázis alapján dolgozik.
- Nagyon pontos, de nem védi a 0-day támadások ellen.
📌 2. Viselkedés alapú (behavior-based)
- A programok vagy felhasználók normál viselkedését figyeli.
- Eltérést (anomáliát) keres.
📌 3. Heurisztikus elemzés
- Támadásjelek kombinációja alapján dönt (pl. gyors portváltás + sok UDP).
🧩 IPS által megállítható támadások
| Támadástípus | Leírás |
|---|---|
| Port scan | Előszobája a célkeresésnek |
| Brute-force | Jelszótörési kísérlet |
| SQL injection | Adatbázis-parancs beillesztés |
| Cross-site scripting (XSS) | Böngészőszintű támadás |
| Buffer overflow | Memóriába túl sok adat írása |
| DDoS | Terheléses támadás (pl. SYN flood) |
| Malware kommunikáció | Botnet vagy C&C szerverrel való kapcsolat |
🔧 Integráció és elhelyezés
Az IPS leggyakrabban:
- Peremvédelmi eszközbe integráltan (Next-Generation Firewall – NGFW)
- Önálló appliance (pl. dedicated Cisco IPS)
- Felhőszolgáltatásként (Cloud IPS)
- Host-alapú agentként
Elhelyezés a hálózatban:
Internet ⇄ [Firewall] ⇄ [IPS] ⇄ [Router/Switch] ⇄ Belső hálózat
📊 IPS előnyei
- Valós idejű védelem
- Azonnal képes leállítani a támadást, még mielőtt kár keletkezne.
- Automatizált válasz
- Nincs szükség emberi beavatkozásra minden eseménynél.
- Jelentés és naplózás
- Részletes log minden támadásról.
- Komplex támadások kezelése
- Kombinálható más rendszerekkel: SIEM, EDR, NAC.
- Szabályozási megfelelés
- GDPR, ISO 27001, PCI-DSS – megkövetelik a támadásvédelemet.
⚠️ IPS kihívások
| Kihívás | Magyarázat |
|---|---|
| Hamis pozitív | Legit forgalom is támadásnak tűnhet → működés blokkolása |
| Sebesség / késleltetés | Nagy forgalomnál csomagvizsgálat lassíthatja a hálózatot |
| Szignatúra karbantartás | Folyamatos frissítés szükséges |
| Rejtett támadások | Titkosított (HTTPS) forgalom vizsgálata nehéz |
🧰 Népszerű IPS megoldások
| Gyártó | Termék |
|---|---|
| Cisco | Firepower IPS |
| Palo Alto | Threat Prevention (NGFW része) |
| Snort | Nyílt forráskódú IPS (Cisco támogatással) |
| Suricata | Komplex open-source IPS/IDS |
| Fortinet | FortiGate IPS |
| Check Point | ThreatCloud IPS |
🧠 IPS és a Zero Trust
A Zero Trust biztonsági modell szerint senkinek nem szabad automatikusan megbízni. Az IPS ebben segít:
- Folyamatosan figyeli a belső forgalmat is.
- Segít megelőzni a laterális mozgást.
- Blokkolja az ismeretlen és belső fenyegetéseket is.
✅ Összefoglalás
| Fogalom | Jelentés |
|---|---|
| IPS | Behatolás-megelőző rendszer, amely valós időben figyel és lép |
| Funkciója | Támadások észlelése és automatikus megelőzése |
| Módszerek | Szignatúra-alapú, viselkedés-alapú, heurisztikus |
| Elhelyezés | Hálózat közé, hostokon vagy NGFW-be integrálva |
| Előnyök | Gyors reakció, automatizálás, megfelelés |
| Kihívások | Hamis pozitív, teljesítmény, titkosított forgalom |
Az IPS a modern hálózatok “immunrendszere”, amely képes felismerni és megelőzni a digitális kórokozók támadásait, mielőtt azok kárt okoznának.
- intrusion prevention system - Szótár.net (en-hu)
- intrusion prevention system - Sztaki (en-hu)
- intrusion prevention system - Merriam–Webster
- intrusion prevention system - Cambridge
- intrusion prevention system - WordNet
- intrusion prevention system - Яндекс (en-ru)
- intrusion prevention system - Google (en-hu)
- intrusion prevention system - Wikidata
- intrusion prevention system - Wikipédia (angol)