IPS (Intrusion Prevention System) и IDS (Intrusion Detection System) представляют собой комплекс программных или аппаратных средств, предназначенный для выявления и предотвращения попыток несанкционированного вторжения в корпоративные сетевые ресурсы. Защита обеспечивается на более высоком уровне по сравнению с антивирусами и фаерволами, поскольку первые анализируют лишь файлы, а вторые — текущие соединения.
Основные возможности IPS/IDS
Рассмотрим, какие задачи решают инструменты класса IPS/IDS.
- Обнаружение вторжений — анализ сетевого поведения и трафика.
- Блокировка атак — сброс соединения и при необходимости, перенастройка сетевого экрана.
- Упреждающая аналитика — выявление аномалий в сети и предикативный анализ возможных угроз.
- Предотвращение DDOS-атак — возможность предотвращения некоторых видов распределенных атак на отказ в обслуживание.
- Запись информации: регистрация в локальном журнале всех событий.
- Уведомления безопасности — рассылка специалистам по безопасности специальных alert-уведомлений.
- Создание статистических отчетов — формирование отчетов на основе записанных данных.
Виды систем IPS/IDS и технологии их работы
IDS (система обнаружения вторжений)
Работает на сетевом уровне. Предназначена для анализа трафика в реальном времени и своевременного уведомления о потенциальных угрозах. При этом сетевые пакеты не меняет и никаких самостоятельных действий не предпринимает, оставляя их на усмотрение администратора. Таким образом IDS представляет собой пассивную систему мониторинга сети без функций блокировки. Ее назначение — обнаруживать сканирование портов, несанкционированный доступ, вредоносную активность и другие подобные аномалии.
IPS (система предотвращения вторжений)
В отличие от IDS, система IPS способна активно предотвращать угрозы, блокируя проанализированные пакеты или изменяя их содержимое. Для повышения безопасности может самостоятельно обрывать соединения, перенастраивать сетевой экран, блокировать подозрительные IP-адреса и т.д.
NIDS (Network Intrusion Detection System)
Берет под контроль весь входящий и исходящий сетевой трафик. Способна обнаруживать как внешние, так и внутренние угрозы, но при этом требует больших ресурсов, что может негативно сказаться на производительности сети.
HIDS (Host-based Intrusion Detection System)
Размещается на отдельном хосте и берет под защиту только его трафик. Выявляет угрозы, анализируя созданные снимки файлов и сравнивая их текущую версию с предыдущей. Отличное решение для машин с важными данными, хотя и ограниченное лишь одним устройством.
Значение IPS/IDS в кибербезопасности
Инструменты IPS/IDS играют важную роль в обеспечения безопасности дата-центров и корпоративных сетей. К их неоспоримым преимуществам относятся:
- выявление и блокировка опасного контента;
- удаление вредоносных пакетов;
- блокировка трафика с исходного адреса;
- отправление сигнала тревоги администратору;
- сбрасывание подозрительных соединений;/li>
- предотвращение проникновения угроз в систему.
Комплексное применение технологий IPS и IDS в состоянии успешно справиться как с определением входящей угрозы, так и с ее блокировкой.
Популярные решения IPS/IDS
- OSSEC — хостовая система IDS с открытым исходным кодом.
- Snort — проект с открытым исходным кодом, начавшийся как анализатор пакетов.
- Suricata — система IDS/IPS, используемая для сетевых функций.
- Security Onion — дистрибутив Linux, работающий как надежное решение безопасности.
- WinPatrol — популярное решение в области IDS/IPS для Windows-платформ.
Принятие решения о выборе, установке и развертывании систем IDS/IPS напрямую зависит от степени желаемой защиты, конфигурации сети и ее конкретных потребностей. Реализация возможна как на программном, так и на аппаратном уровне при помощи специализированного оборудования.
