Что такое IDS/IPS

В последние годы системы обнаружения и предотвращения вторжений стали практически неотъемлемым элементом защиты от сетевых атак. Их используют в дата-центрах и ЦОДах для выявления любого несанкционированного доступа в сеть и принятия соответствующих мер. Подобные инструменты могут сообщить о факте вторжения, оборвать соединение или произвести перенастройку сетевого экрана для блокировки любых вредоносных действий.

Многие компании по достоинству оценили использование IPS и IDS в сетевой инфраструктуре. Такие системы являются гарантией безопасности сети и могут предотвратить любые возможные атаки на серверы. Давайте разбираться, в чем заключаются основные особенности подобных решений, с какими сложностями можно столкнуться в процессе их эксплуатации и какую технологию стоит выбрать для ИТ-инфраструктуры организации.

Подробнее о технологиях

Для начала разберемся в общих особенностях систем. Intrusion Detection System – это специальный инструмент для обнаружения любых вторжений в сеть. IPS, или Intrusion Prevention System, – это технология, направленная на предотвращение вторжений. У пользователей часто возникает аналогия с антивирусами или файерволами. Если говорить простым языком, то IDS/IPS работают по тому же принципу, но в отличие от традиционных средств защиты, обеспечивают более высокий уровень безопасности.

Конечно, у систем есть и свои характерные особенности. Например, антивирус при работе анализирует файлы, а файервол – текущие соединения. В отличие от них, IDS и IPS занимаются изучением сетевого поведения и поступающих сведений. Такой анализ системы проводят различными способами – все зависит от типа обнаруживаемых событий, методики работы и т. д.

Помимо мониторинга и предотвращения вторжений, у технологий есть и несколько дополнительных функций:

• Запись информации. Все события не только анализируются, но и записываются. Полученные сведения хранятся локально, однако иногда отправляются в централизованную систему, занимающуюся сбором логов.
• Уведомление о текущих инцидентах. Системы рассылают так называемые alert-уведомления специалистам по безопасности. Для рассылки может использоваться консоль управления, e-mail или системный журнал. Нередко применяется программируемая реакция на подобные сообщения.
• Создание отчетов. Информация обо всех инцидентах собирается с целью создания статистических данных. Современные системы генерируют отчеты в автоматическом режиме, поэтому не требуют контроля со стороны оператора.

Однако при очевидных достоинствах, технология IPS не всегда может точно идентифицировать инцидент с системой безопасности, тем самым не обеспечивая 100% защиты системы. Именно поэтому дополнительно применяется IDS – как основная мера для поиска вторжений. Совместное использование технологий IPS и IDS позволяет не только определить, но и успешно блокировать поступающую угрозу. В таком случае функциональность систем несколько выше:

• Приложения блокируют атаку при помощи обрыва сессии или прекращения доступа к определенным файлам, приложениям и хостингам.
• Система изменяет содержание атаки, осуществляя удаление инфицированного файла или работая по типу прокси.
• Дополнительно технология изменяет текущую среду (например, меняет параметры конфигурации устройств и т. д.).

Строение IDS и варианты установки

Принцип работы ID-systems построен на определении конкретных угроз посредством анализа трафика. Технология только сообщает администратору об имеющихся инцидентах, последующие действия остаются на усмотрение специалиста.

В зависимости от места установки выделяют несколько разновидностей таких систем:

• NIDS – функционирует на уровне всей сети.
• HIDS – функционирует на уровне конкретного хоста.

NIDS может использоваться в критически важных областях системы. Такая технология анализирует весь входящий и исходящий трафик устройств. Анализируется трафик на всех уровнях, проверяются файлы и каждое вложение.

Многие сравнивают NIDS с межсетевым экраном (файерволом), однако у технологий есть принципиальные различия. Файервол фиксирует только атаки, которые поступают снаружи, тогда как NIDS анализирует и внутренние угрозы безопасности.

Недостаток подобной технологии заключается в высоком потреблении ресурсов. В результате может возникнуть дополнительная потребность в оперативной памяти и CPU. Нередко это провоцирует задержку при обмене файлами и снижение работоспособности всей сети.

Хостовая система – HIDS – является отличной альтернативой сетевой. Особенность инструмента заключается в том, что он устанавливается на отдельный хост и защищает только его. То есть для инфраструктуры из нескольких хостов потребуется устанавливать несколько систем. HIDS также проверяет и входящий, и исходящий трафик, но исключительно для одной машины. Система создает снапшоты каждого файла, то есть анализирует текущую версию, сличает с предыдущей и выявляет возможные риски. Чаще всего HIDS устанавливается на критически важных компонентах инфраструктуры.

Что касается других видов IDS по месту установки, то выделяют такую разновидность системы, как PIDS. Ее особенность – защита только границ сети и сигнализирование о любых нарушениях.

Также стоит упомянуть систему VMIDS. Она основана на методиках виртуализации. Ее плюс заключается в возможности использования без развертывания системы на физической машине – достаточно только виртуального хостинга.

Виды IDS по способу действия

Другая классификация Intrusion Detection Systems основана на методе действия. Конечно, все технологии работают по схожему принципу – анализ всего трафика и выявление возможных угроз. Но отличия заключаются в особенностях самого анализа. Выделяют следующие разновидности IDS:

• Сигнатурные. Эти системы очень схожи с антивирусами – во время работы они исследуют сигнатуры и сличают их с базой, которая регулярно обновляется и обеспечивает корректную работу инфраструктуры. Такой принцип действия имеет некоторые недостатки. Например, если база данных в какой-то момент недоступна, то вся система становится уязвимой. Начавшаяся в этот момент атака может остаться необнаруженной в дальнейшем. Если упрощать принцип работы сигнатурных систем, то они работают на отслеживании шаблонов. Шаблоны – это сигнатуры, которые всегда хранятся в базе. За правильную работы системы в этом случае принимается ее начальное состояние. Если это состояние изменяется и сигнатуры не соответствуют начальным, то значит, система подверглась атаке и заражению. При этом IDS не отслеживает конкретные действия, а только состояния.
• Базирующиеся на аномалиях. В этом случае принцип работы похож на сигнатурные IDS, но определение состояния имеет более обширный охват. Применяется машинное обучение, позволяющее в дальнейшем находить угрозы. Минус такой технологии заключается в наличии тестового периода. Система отслеживания угроз анализирует состояние сети в текущий момент и сравнивает его с предшествующим периодом. Выявляются статические аномалии, изменения протоколов и трафика. IDS составляет так называемый профиль штатной активности, включающий сведения об объеме трафика, используемых программах и т. д. Затем изначальный профиль сравнивается с текущим, а полученные данные анализируются. Например, для сайта характерно увеличение трафика в выходные дни на 50%. Если трафик в этот период возрастет на 200%, то система оценит эту аномалию как возможную угрозу безопасности и оповестит о ней. Выявление аномалий в этом случае происходит за счет использования коммуникационных протоколов, приложений и их связи с определенными пользователями. Технология, основанная на аномалиях, часто используется для выявления DoS-атак и любой подозрительной активности в сетевом трафике.
• Базирующиеся на правилах. IDS такого типа для обнаружения угроз применяют правила. По своей структуре они похожи на экспертные системы, то есть предполагают единую работу базы данных и выводов на основе правил. Инструменты анализируют конкретные факты и сопоставляют их с начальным состоянием сети. Угрозой считаются любые аномальные действия (например, использование определенных приложений конкретным пользователем и т. д.), которых быть не должно.

Где и как развернуть защиту

При использовании IDS или IPS систем необходимо решить вопрос, в каком месте сети инструмент будет установлен. Зависит это во многом и от используемой разновидности системы. Например, технологии типа PIDS устанавливаются непосредственно перед файерволом, тогда как другие – подходят для установки с внутренней стороны. Но нужно понимать, что в таком случае IDS будет анализировать только определенную часть трафика.

При установке IDS на внешней границе сети, сразу после файервола, будет фильтроваться лишний шум. В этом случае система сможет контролировать сигнатуры, что позволит предотвратить ложноположительные срабатывания.

Распространенным является использование нескольких копий в критически важных областях. Допустимо развертывание IDS и внутри сети, такой подход позволит сканировать подозрительную активность внутри инфраструктуры.

Проекты на рынке IDS/IPS

Intrusion Prevention Systems достаточно широко представлены на зарубежном рынке. Постепенно системы становятся известными и в нашей стране. Расскажем о популярных вендорах, которые можно использовать для защиты ИТ-инфраструктуры:

• Snort. Универсальная NIDS, появившаяся еще в конце 90-х годов. Изначально разрабатывалась как независимое программное обеспечение, но в 2008 году система была приобретена компанией Cisco. Snort активно используется в звене малого и среднего бизнеса. Отличительная особенность – это наличие сниффер-пакетов, возможность настройки правил и т. д. Инструмент достаточно простой и понятный в использовании, поэтому часто применяется при создании инфраструктуры на собственном оборудовании.
• McAfee Network Security Platform. IDS этой компании блокирует практически все возможные угрозы, предотвращает DDoS-атаки и доступ к вредоносным файлам. Однако программа отличается высокой стартовой стоимостью, поэтому ее использование целесообразно только для крупных организаций. В силу своей масштабности McAfee может несколько замедлять функционирование сети, поэтому чаще всего интегрируется с другими сервисами и приложениями.
• Suricata. Приложение с открытым кодом, появившееся на рынке более 10 лет назад. Плюс такого инструмента в том, что в нем еще нет огромного legacy-кода, также используются последние разработки, позволяющие увеличить скорость работы приложения. Suricata может совмещаться со стандартными приложениями и поддерживает большинство доступных модулей. Работает инструмент по принципу анализа сигнатур, лучше всего подходит для крупных компаний.
• Zeek. Эта IDS распространяется бесплатно и имеет открытый исходный код. Может работать в режиме выявления вредоносных сигнатур и в режиме поиска вторжений. Единственный минус инструмента – это достаточно сложное управление, так как оно происходит за счет функционала.

Выводы

В настоящее время активно развивается технология IPS, так как она является следующей «ступенью» эволюции IDS. Помимо обнаружения угроз, она может их блокировать, однако функционал систем пока еще далек от совершенства. Все чаще на рынке можно встретить гибридные инструменты – IDPS (Intrusion Detection and Prevention Systems). Они запрограммированы на обнаружение уязвимостей и выполнение стандартных действий (например, Pass или Alert).

Надеемся, что вы разобрались в разнице технологий и нашли подходящее решение для своей инфраструктуры. А если у вас возникли дополнительные вопросы, то специалисты Xelent всегда готовы ответить на них.

Аренда выделенного сервера в России

Аренда сервера и СХД необходимой производительности. Все оборудование размещается в собственном отказоустойчивом ЦОДе с зарезервированными системами энергоснабжения, охлаждения и каналами связи.

Виртуальный сервер (VDS/VPS) на базе Windows Server (Xelent)

Windows Server от Microsoft — самая популярная операционная система в мире для серверного оборудования. Она применяется для организации файловых каталогов, службы DNS, службы веб-приложений и т. д. Мы предлагаем нашим клиентам арендовать виртуальный server VDS/VPS на базе Windows Server.

Отказоустойчивое облако Xelent

Каждый элемент в отказоустойчивом облаке подключен к двум независимым линиям питания. Система АВР позволяет корректно переключать нагрузку между основным и резервным питанием.