Что такое IPS/IDS и где применяется
IDS / IPS (Intrusion Detection and Prevention System) – это программные или аппаратные системы обнаружения и предотвращения вторжений, обеспечивающие сетевую и компьютерную безопасность. IDS – это пассивная система обнаружения, которая в режиме реального времени анализирует весь трафик и при необходимости сообщает о возможных угрозах. Она никак не модифицирует сетевые пакеты данных и не влияет на работу сетевой инфраструктуры, в то время как IPS способна предотвратить доставки пакетов подобно тому, как это делает брандмауэр.
IPS, являясь системой предотвращения вторжений, также нацелена на постоянный анализ трафика, вот только полномочий у этой службы больше – при необходимости она может отклонять получение пакетов, если системный анализ выявит угрозу. Причем для обнаружения угроз используется актуальная база данных сигнатур, так что её рекомендуется регулярно обновлять, чтобы система должным образом выполняла свои функции.
Технология и архитектура IDS
IDS способна лишь обнаружить угрозу и оповестить администратора об этом событии, а дальнейшие действия должен предпринимать уже он сам. Система обнаружения может работать:
- На уровне сети. Это будет Network Intrusion Detection System (NIDS).
- На уровне отдельно взятого хоста. В этом случае мы имеем дело с Host-based Intrusion Detection System (HIDS).
Рассмотрим подробнее каждую из них.
Технология NIDS
Предусматривает возможность установки системы в стратегически важных сетевых узлах с целью анализа входящего и исходящего трафика для всех устройств. NIDS демонстрирует крайне высокую эффективность, так как анализирует буквально каждый пакет данных, начиная с канального уровня и заканчивая уровней приложений. При этом, в отличие от стандартных фаерволов и межсетевых экранов, NIDS умеет обнаруживать и внутренние угрозы.
Недостатком технологии является «прожорливость» – система анализирует вообще весь трафик, а для этого ей требуется много вычислительных мощностей центрального процессора и оперативной памяти. По этой причине применение NIDS на уровне корпоративной сетевой инфраструктуры может приводить к ощутимым задержкам при обмене данными.
Хостовая система HIDS
Хостовые системы, в отличие от сетевых, устанавливаются «точечно» на каждый отдельно взятый хост в рамках сети, позволяя обеспечить выборочную защиту подверженных атаке узлов. HIDS тоже способна анализировать входящий и исходящий трафик, но делает это более локально, для одного устройства.
Установку HIDS рекомендуют осуществлять на критически важные машины в сети для предотвращения угроз. Данная технология потребляет ощутимо меньше ресурсов при работе, но требуется опыт и глубокое понимание специфики конкретной сетевой инфраструктуры, чтобы правильно выбрать целевые хосты для HIDS.
Какие бывают IDS по принципу действия
Вообще говоря, фундаментальным принципом всех подобных систем является выявление угроз в результате анализа входящего и исходящего трафика. Однако сам процесс анализа может отличаться. Выделяют три типа IDS по механизму анализа:
- Сигнатурные IDS. Система обнаружения вторжений, которая сильно напоминает привычный антивирус – она также анализирует трафик и сопоставляет полученные пакеты с базой данных сигнатур. Для обеспечения эффективности работы этой системы, базу данных сигнатур необходимо регулярно обновлять. Ключевым недостатком считается то, что, если база данных по каким-либо причинам окажется временно недоступной, то такая IDS не сможет обеспечить обнаружение угроз.
- IDS, основанные на аномалиях. В этом случае используется технология машинного обучения – система будет анализировать работу сети и сравнивать её с аналогичным периодом в прошлом. Аномалии могут быть статистическими, протокольными или на уровне трафика – всё это система обнаружения угроз способна выявлять и пресекать, при условии, что в прошлом машинному обучению уделялось достаточно времени и внимания.
- IDS на правилах. Администратор может вручную прописать сложные правила IDS, которые позволят выявлять угрозы по косвенным или прямым признакам. Настройка такой системы требует значительно больше времени и экспертности, но на практике позволяет получить крайне высокий уровень защиты.
Unified Threat Management (UTM)
UTM – универсальный пакет утилит, который содержит несколько мелких модулей защиты, от почтовых фильтров и прокси-серверов до VPN и IDS. По сути, это комплекс, гарантирующий многоуровневое отслеживание и ликвидацию угроз.
NGFW и DPI
Это уже межсетевой экран нового поколения, который стремительно набирает популярность в последние годы. NGFW представляет собой платформу сетевой безопасности, в составе которого, помимо самого межсетевого экрана, есть также традиционный брандмауэр с дополнительными возможностями фильтрации.
Что касается DPI, то это технология глубокого анализа пакетов, позволяющая перехватывать пакеты, содержащие угрозы.
Где установить защиту?
При разворачивании на сервере IPS или IDS встает вопрос, на каких узлах это делать наиболее целесообразно. Ответ на этот вопрос зависит от того, какой тип системы у вас. Если это PIDS, то его нет смысла устанавливать перед фаерволом, так как функции дублируются. А вот NGFW и вовсе универсальна, её можно ставить на любом уровне.
Имеет смысл ставить систему обнаружения вторжений на виртуальный хостинг перед фаерволом с внутренней стороны сети – в этом случае ПО будет анализировать только тот трафик, который пропустил фаервол. Соответственно, это снизит нагрузку на систему и повысит быстродействие сетевой инфраструктуры.
Частый сценарий развертывания IDS на внешнем рубеже сетевой защиты, после фаервола. В этом случае система будет отсекать весь лишний шум, поступающий от внешних сетей. И, кроме того, обеспечит защиту от картирования. При таком построении инфраструктуры система будет контролировать уровни сети с 4 по 7, а значит, будет относиться к сигнатурному типу, что сведет к минимуму вероятность ложных срабатываний.