Системы предотвращения вторжений (IDS/IPS): что это и как работает | Boodet.online

Администрирование

Системы предотвращения вторжений (IDS/IPS): что это и как работает | Boodet.online

Системы обнаружения и предотвращения вторжений. Как работают системы IDS/IPS? Архитектура IDS. Преимущества и недостатки систем. Как выбрать систему безопасности?

Поделиться
Запинить
Отправить

IDS/IPS — что это?

IDS/IPS-системы — важная часть сетевой инфраструктуры предприятия, необходимая для обнаружения внешних угроз и предотвращения атак на серверы. Сегодня специалисты компании Boodet.Online подробно расскажут о них, рассмотрят популярные виды и их особенности.

Системы обнаружения и предотвращения вторжений

IDS и IPS — это системы обнаружения и предотвращения вторжений соответственно. Они обеспечивают сетевой инфраструктуре значительно более надежную защиту от внешних воздействий, чем такие традиционные средства, как антивирусы или файерволы.

Архитектура и технологии

Основное назначение IDS/IPS — поиск угроз, который осуществляется на основе выполненного анализа трафика. При этом все последующие действия, направленные на недопущение проблем и несанкционированного доступа, полностью лежат на администраторе сетевой инфраструктуры.

Существуют разные системы, которые можно классифицировать на несколько типов.

Хостовая система

Так обозначаются системы, которые устанавливаются на хост и предназначены для его защиты. Сокращенно они называются HIDS. Такие системы умеют анализировать все пакеты для единственного устройства. Их работа основана на создании снимков, позволяющих сравнить текущее состояние файлов с предыдущим. Таким образом осуществляется выявление угроз.

HIDS преимущественно устанавливаются на критически важные устройства в сети, где редко меняется конфигурация.

Сетевая система

NIDS — система уровня сети, которая используется в наиболее значимых частях ИТ-инфраструктуры предприятия. Они способны проводить анализ трафика устройств, подключенных к сети.

Системы способны проводить глубокий анализ всех пакетов. NIDS выгодно отличается от firewall, так как последний умеет только фиксировать внешние атаки, тогда как сетевая система способна обнаружить как внешние, так и внутренние угрозы.

NIDS способны контролировать всю сеть организации, они могут работать автономно и не требуют использования дополнительных программных решений для защиты системы. При этом у них есть важный недостаток. NIDS контролируют сетевой трафик полностью, что задействует много ресурсов. Для нормального функционирования системы требуются ресурсы процессора и оперативной памяти.

В некоторых случаях это приводит к задержке в обмене информацией, а также к снижению скорости работы всей сети. А иногда система может не справиться со слишком большим объемом данных, что приведет к пропуску отдельных пакетов, а это сделает всю сеть уязвимой.

Виды IDS по механизму работы

По особенностям работы системы обнаружения и предотвращения вторжений IDS/IPS разделяют на два типа.

Сигнатурные IDS

Системы, которые во многом похожи на привычное антивирусное ПО. Они проводят анализ сигнатур и сопоставляют их с имеющейся и постоянно обновляющейся базой.

В этом кроется основной недостаток сигнатурных систем. В случае отсутствия доступа к базе сеть автоматически становится уязвимой для внешних угроз. Кроме того, если сигнатура атаки отсутствует в базе, она может пройти незамеченной для системы.

Системы используются для эффективного отслеживания шаблонов и состояний (сигнатур, хранящихся в базе, и действий в сети).

IDS на аномалиях

Данные IDS используют в работе машинное обучение, поэтому для их функциональности очень важно обеспечить этап обучения на протяжении недель или месяцев. В течение этого времени админы сети должны полностью отключать тревожные сигналы, чтобы система могла научиться работать.

После завершения периода обучения IDS на аномалиях проводит анализ работы сети и сравнивает полученные результаты с аналогичным прошедшим периодом. Любые выявленные аномалии будут зафиксированы системой.

Существует три типа аномалий:

  1. Статические. Выявляются, в процессе составления и сравнения штатной активности и текущей. Нередки случаи, когда система выявляет аномальный рост трафика. Например, если по будням трафик выше на 50%, но в какой-то момент он без причины вырастет на 150%, IDS это зафиксирует.

  2. Протоколов. Выявляются в ходе анализа коммуникационных протоколов и их связей с пользователями.

  3. Трафика. Системы выявляют любые проблемы, связанные с сетевым трафиком.

Какую систему выбрать?

Существует множество вариантов систем обнаружения вторжений IPS/IDS. Среди них можно выделить несколько наиболее популярных сегодня:

  1. Snort. Традиционная сетевая система, используемая с 1998 года. В настоящее время принадлежит компании Cisco. Отлично подходит для использования внутри компаний среднего и малого бизнеса. Главные преимущества — простота и функциональность.

  2. Suricata. Система, выпущенная в 2010 году. Несмотря на относительную молодость, имеет много достоинств. В ней нет избыточного кода, в Suricata используются самые современные технологии и разработки. По мнению пользователей, система отличается лучшим быстродействием и совместимостью с другими распространенными утилитами безопасности и анализа. Обнаружение вторжений IPS/IDS осуществляется по сигнатурам.

  3. McAfee Network Security Platform. Одно из самых надежных и дорогих решений на рынке, которое из-за высокой цены подходит только для очень крупного бизнеса. При этом система отличается высокой функциональностью, способна эффективно выявлять угрозы разных типов, предотвращать DDoS-атаки и другое. При этом у нее есть и другой недостаток, помимо цены — большой размер и потребление существенного объема ресурсов.

  4. Zeek (Bro). Бесплатная система информационной безопасности IPS/IDS с открытым кодом, которая может работать как в режиме поиска вторжений, так и на обнаружение сигнатур. Главный недостаток — сложные настройки и отсутствие графического интерфейса.

Поделиться
Запинить
Отправить

Возможно вам так же будет интересно:

Корпоративный мир жесток. Конкуренция высока, и вам придется пробиваться в высшую лигу. Это проблемы, к которым нужно приготовиться

Продолжаем искать бреши в стратегии гиганта

Современные подходы от гигантов продуктовой разработки