Руководство по системам обнаружения и предупреждения вторжений (IDPS)

Что нужно знать про IDPS(СОПВ), чтобы предотвратить сетевую атаку извне.

 Предприятия, которые хотят защитить свои сети от внешних атак имеют целый ряд мощных инструментов. Межсетевые экраны, например, очень хорошо фильтруют сетевой трафик, а во многих случаях, анализ пакетов данных обеспечивает обнаружение деструктивных пакетов до того, как они смогут причинить какой-либо вред.

 Но большинство компаний, которые действительно серьезно относятся к поддержанию уровня безопасности своих сетей, также используют технологии, специально предназначенных для обнаружения потенциальных атак: IDPS (Intrusion Detection and Prevention Systems — Системы обнаружения и предупреждения вторжений).

 СОПВ технологии, которые используются в сочетании с брандмауэром — первая линия защиты сети — состоят из двух основных частей:

IDS (Intrusion Detection System) — СОВ (система обнаружения вторжений): СОВ анализирует входящий трафик, выявляя подозрительные типы активности. Если она обнаруживает подозрительный трафик, то происходит оповещение администратора сети, который может заблокировать любые события, аналогичные происходящим. В некоторых случаях СОВ также могут оповещать о заданных событиях другие системы в сети, предназначенные для ее защиты.

 IPS (Intrusion Prevention System) — СПВ (системы предупреждения вторжений): СПВ подобна СОВ, кроме того, что она предназначена для выполнения немедленных действий — например, блокировки конкретных IP-адресов или пользователей, — а не просто предупреждения системы и администратора сети. Некоторые СПВ также используют метод  поведенческого анализа для обнаружения и пресечения потенциально опасных пакетов данных. СОВ часто называют «активной» системой, в отличие от СПВ, которые, как правило, считаются «пассивными».

 Оба IDS и IPS технологии бывают различными по конфигурации, каждая из которых предназначена для защиты от конкретных вторжений. Вот некоторые из распространенных видов технологий в настоящее время:

Network Intrusion Detection and Prevention (Обнаружение и предупреждение вторжений на сетевом уровне). Это наиболее распространенное использование СОПВ технологии, призванной обеспечить защиту всей сети. Хотя в идеале было бы на очень большой сети использовать единый IDS или IPS на сетевом шлюзе, чтобы сканировать весь трафик. Такой подход позволяет  отсечь «вредный» трафик, но может понизить общую производительность сети. Поэтому, чтобы эффективно контролировать трафик и все сетевые устройства, это рекомендуется разместить СОПВ на различных стратегических точках внутри сети.

Host Intrusion Detection and Prevention (Обнаружение и предупреждение вторжений на уровне узла). При этом подходе сеть структурируется на отдельные критически важные узлы и устройства, расположенные в сети. Этот тип мониторов СОПВ анализирует как входящие, так и исходящие пакеты, — но только с помощью устройства, с которым он связан.

Signature-Based Intrusion and Prevention(Обнаружение и предупреждение вторжений с использованием сигнатур): Данный вид СОПВ полезен для выявления вирусов и других типов вредоносного ПО. Система сравнивает все пакеты, которые проходят через нее с базой данных известных угроз. Подобно борьбе с вредоносным кодом, СОПВ, анализирующие данные по базам сигнатур, хороши тогда, когда используют достаточно исходной информации, а это означает, что технология является уязвимой при отсутствии нужных сигнатур. С другой стороны, такие СОПВ весьма надежно защищают сеть от известных угроз, которые составляют большинство сетевых атак.

Anomaly-Based Intrusion and Prevention(Обнаружение и предупреждение вторжений на уровне обнаружения аномалий): Можно было бы описать этот вид СОПВ как «подозрительный». Это потому, что СОПВ, обнаруживающие аномальное поведение, всегда ищет что-нибудь отличное от нормального. Система постоянно изучает сетевой трафик и сравнивает его с обычным. Любое обнаруженное отклонение от «нормальных» показателей с точки зрения использования полосы пропускания, доступа к портам или устройствам, подключениям вызовет срабатывание СОПВ и будут приняты активные меры для обеспечения сетевой безопасности. Этот тип брандмауэра может быть особенно эффективным, помогая справиться с DDoS (распределенные атаки типа  «отказ в обслуживании») атаками, когда большое количество компьютеров, объединяются и атакуют сетевой сервис.

 Наиболее распространенные производители СОПВ  

 Производители предлагают СОПВ решения с различными возможностями, позволяющие найти продукт, который в наибольшей степени соответствует требованиям конкретного потребителя.

Наиболее крупные производители СОПВ:

  • Enterasys Networks Inc.;
  • Cisco Systems Inc.;
  • IBM Internet Security Systems;
  • Juniper Networks Inc. ;
  • Network Chemistry.

 Есть также бесплатные СОПВ:

  • Snort;
  • Bro;
  • Prelude Hybrid IDS;
  • OSSEC.

 По материалам

15 сентября 2008 17:37 | Статьи

3 комментария к “Руководство по системам обнаружения и предупреждения вторжений (IDPS)”

  1. Блог про IT безопасность » Blog Archive » 10 советов как сделать ваш брандмауэр действительно безопасным говорит:

    […] IDS иногда продаются в качестве автономных устройств, которые обнаруживают атаки на сеть или компьютер, но вы также можете настроить ваш брандмауэр, чтобы он работал как IDS. Главное внимательно изучить журнал брандмауэра на предмет сканирования портов, попытки взлома или каких-либо других подозрительных событий. Необходимо уделять особое внимание утечке трафика от DMZ, так как это первый признак подозрительных действий в сети. […]

  2. Кошелев говорит:

    спасибо, интересно.

  3. WARLOCK говорит:

    На Ваш сайт знакомый в аську ссылку кинул. Оказалось ,что не зря 🙂 Понравилось. Тепрь все время читать буду 🙂

Оставить коментарий