Предотвращение вторжений - Документация Ideco UTM - Компания «Айдеко. Как работает Система предотвращения вторжений (HIPS)

Новости 19.08.2019
Новости

В идеальном мире, в Вашу сеть заходят только те кто нужно - коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Но как только Вы приходите к решению что хотите открыть доступ к Вашей внутренней сети в режиме 24/7 Вам следует понимать что пользоваться этой «дверью» будут не только «хорошие парни». Обычно в ответ не такое утверждение можно услышать что-то типа «ну это не про нас, у нас маленькая компания», «да кому мы нужны», «что у нас ломать то, нечего».

И это не совсем верно. Даже если представить компанию, в которой на компьютерах нет ничего, кроме свежеустановленной ОС - это ресурсы. Ресурсы которые могут работать. И не только на Вас.

Поэтому даже в этом случае эти машины могут стать целью атакущих, например, для создания ботнета, майнинга биткоинов, крэкинга хэшей…

Еще существует вариант использования машин Вашей сети для проксирования запросов атакущих. Таким образом, их нелегальная деятельность ввяжет Вас в цепочку следования пакетов и как минимум добавит головной боли компании в случае разбирательств.

И тут возникает вопрос: а как отличить легальные действия от нелегальных?

Собственно, на этот вопрос и должна отвечать система обнаружения вторжений. С помощью нее Вы можете детектировать большинство well-known атак на свою сеть, и успеть остановить атакующих до того как они доберутся до чего-либо важного.

Обычно, на этом моменте рассуждений возникает мысль что то, что описано выше может выполнять обычный firewall. И это правильно, но не во всем.

Разница между функциями firewall и IDS на первый взгляд может быть не видна. Но IDS обычно умеет понимать контент пакетов, заголовки и содержание, флаги и опции, а не только порты и IP адреса. То есть IDS понимает контекст чего обычно не умеет firewall. Исходя из того, можно сказать что IDS выполняет функции Firewall, но более интеллектуально. Для обычного Firewall нетипична ситуация когда нужно, например, разрешать соединения на порт 22 (ssh), но блокировать только некоторые пакеты, в которых содержатся определенные сигнатуры.

Современные Firewall могут быть дополнены различными плагинами, которые могут делать похожие вещи, связанные с deep-inspection пакетов. Часто такие плагины предлагают сами вендоры IDS чтобы усилить связку Firewall — IDS.

В качестве абстракции, Вы можете представить себе IDS в качестве системы сигнализации Вашего дома или офиса. IDS будет мониторить периметр и даст Вам знать когда произойдет что-то непредусмотренное. Но при этом IDS никак не будет препятствовать проникновению.

И эта особенность приводит к тому что в чистом виде IDS, скорее всего, не то что Вы хотите от Вашей системы безопасности (скорее всего, Вы не захотите такую систему для охраны Вашего дома или офиса - в ней нет никаких замков).

Поэтому сейчас почти любая IDS это комбинация IDS и IPS (Intrusion Prevention System - Система предотвращения вторжений).

Далее, необходимо четко понимать чем отличаются IDS и VS (Vulnerability Scanner - Сканер уязвимостей). А отличаются они по принципу действия. Сканеры уязвомостей - это превентивная мера. Вы можете просканировать все свои ресурсы. Если сканер что-нибудь найдет, можно это исправить.

Но, после того момента как Вы провели сканирование и до следующего сканирования в инфраструктуре могут произойти изменения, и Ваше сканирование теряет смысл, так как больше не отражает реальное положение дел. Измениться могут такие вещи как конфигурации, настройки отдельных сервисов, новые пользователи, права существующих пользователей, добавиться новые ресурсы и сервисы в сети.

Отличие же IDS в том что они проводят детектирование в реальном времени, с текущей конфигурацией.

Важно понимать, что IDS, по факту, не знает ничего об уязвимостях в сервисах в сети. Ей это не нужно. Она детектирует атаки по своим правилам - по факту появления сигнатур в трафике в сети. Таким образом, если IDS будет содержать, например, сигнатуры для атак на Apache WebServer, а у Вас его нигде нету - IDS все равно детектирует пакеты с такими сигнатурами (возможно, кто-то пытается направить эксплоит от апача на nginx по незнанию, либо это делает автоматизированный toolkit).

Конечно же, такая атака на несуществующий сервис ни к чему не приведет, но с IDS Вы будете в курсе что такая активность имеет место.

Хорошим решением является объединение периодических сканирований уязвимостей и включенной IDS/IPS.

Методы детектирования вторжений. Программные и аппаратные решения.

Сегодня много вендоров предлагают свои решения IDS/IPS. И все они реализуют свои продукты по разному.

Разные подходы обусловлены разными подходами к категоризации событий безопасности, атак и вторжений.

Первое, что надо учитывать - это масштаб: будет ли IDS/IPS работать только с трафиков конкретного хоста, или же она будет исследовать трафик целой сети.

Второе, это то как изначально позиционируется продукт: это может программное решение, а может быть аппаратное.

Давайте посмотрим на, так называемые, Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS является, как раз, примером программной реализации продукта и устанавливается на одну машину. Таким образом, система такого типа «видит» только информацию, доступную данной машине и, соответственно, детектирует атаки только затрагивающие эту машину. Преимущество систем такого типа в том, что будучи на машине, они видят всю ее внутреннюю структуру и могут контролировать и проверять намного больше объектов. Не только внешний трафик.

Такие системы обычно следят за лог-файлами, пытаются выявить аномалии в потоках событий, хранят контрольные суммы критичных файлов конфигураций и периодически сравнивают не изменил ли кто-то эти файлы.

А теперь давайте сравним такие системы с network-based системами (NIDS) о которых мы говорили в самом начале.

Для работы NIDS необходим, по сути, только сетевой интерфейс, с которого NIDS сможет получать трафик.

Далее все что делает NIDS - это сравнивает трафик с заранее заданными паттернами (сигнатурами) атак, и как только что-то попадает под сигнатуру атаки, Вы получаете уведомление о попытке вторжения. NIDS также способны детектировать DoS и некоторые другие типы атак, которые HIDS просто не может видеть.

Можно подойти к сравнению и с другой стороны:

Если Вы выбираете IDS/IPS реализованную как программное решение, то получаете контроль над тем на какое «железо» Вы будете ее устанавливать. И, в случае, если «железо» уже есть, Вы можете сэкономить.

Также в программной реализации существуют и бесплатные варианты IDS/IPS. Конечно, надо понимать, что используя бесплатные системы Вы не получаете такого же саппорта, скорости обновлений и решения проблем, как с платными вариантами. Но это хороший вариант для начала. В ними Вы можете понять что Вам действительно нужно от таких систем, увидите чего не хватает, что ненужно, выявите проблемы, и будете знать что спросить у вендоров платных систем в самом начале.

Если же Вы выбираете hardware решение, то получаете коробку, уже практически готовую к использованию. Плюсы от такой реализации очевидны — «железо» выбирает вендор, и он должен гарантировать что на этом железе его решение работает с заявленными характеристиками(не тормозит, не виснет). Обычно внутри находится некая разновидность Linux дистрибутива с уже установленным ПО. Такие дистрибутивы обычно сильно урезаны чтобы обеспечивать быструю скорость работы, оставляются только необходимые пакеты и утилиты (заодно решается проблема размера комплекта на диске - чем меньше тем меньше нужен HDD - тем меньше себестоимость - тем больше прибыль!).

Программные же решения часто очень требовательны к вычислительными ресурсам.

Отчасти из-за того в «коробке» работает только IDS/IPS, а на серверах с программными IDS/IPS обычно запущено всегда очень много дополнительных вещей.

В статье рассматриваются популярные IPS-решения в контексте мирового и российского рынков. Дается определение базовой терминологии, история возникновения и развития IPS-решений, а также рассматривается общая проблематка и сфера применения IPS-решений. Также приводится сводная информация о функциональных возможностях наиболее популярных IPS-решений от различных производителей.

Что такое IPS?

Прежде всего, дадим определение. Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства, предназначенные для обнаружения и/или предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

IDS/IPS-системы используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например: попытки использования уязвимостей программного обеспечения; попытки повешения привилегий; несанкционированный доступ к конфиденциальным данным; активность вредоносных программ и т.д.

Использование IPS-систем преследует несколько целей:

  • Обнаружить вторжение или сетевую атаку и предотвратить их;
  • Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития;
  • Выполнить документирование существующих угроз;
  • Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
  • Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;
  • Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

В целом, IPS аналогичны IDS. Главное же отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

IDS, в свою очередь, обычно состоит из:

  • системы сбора событий;
  • системы анализа собранных событий;
  • хранилища, в котором накапливаются собранные события и результаты их анализа;
  • базы данных об уязвимостях (этот параметр является ключевым, так как чем больше база у производителя, тем больше угроз способна выявлять система);
  • консоли управления, которая позволяет настраивать все системы, осуществлять мониторинг состояния защищаемой сети, просматривать выявленные нарушения и подозрительные действия.

По способам мониторинга IPS-системы можно разделить на две большие группы: NIPS (Network Intrusion Prevention System) и HIPS (Host Intrusion Prevention System). Первая группа ориентирована на сетевой уровень и корпоративный сектор, в то время как представители второй имеют дело с информацией, собранной внутри единственного компьютера, а следовательно могут использоваться на персональных компьютерах. Сегодня HIPS часто входят в состав антивирусных продуктов, поэтому, в контексте данной статьи, эти системы мы рассматривать не будем.

Среди NIPS и HIPS также выделяют:

  • Protocol-based IPS, PIPS. Представляет собой систему (либо агент), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.
  • Application Protocol-based IPS, APIPS. Представляет собой систему (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, отслеживание содержимого SQL-команд.

Что касается форм-фактора, IPS-системы могут быть представлены как в виде отдельного «железного» решения, так и в виде виртуальной машины или софта.

Развитие технологии. Проблемы IPS.

Системы предотвращения вторжений появились на стыке двух технологий: межсетевых экранов (firewall) и систем обнаружения вторжений (IDS). Первые умели пропускать трафик через себя, но анализировали лишь заголовки IP-пакетов. Вторые же, напротив, «умели» всё то, чего были лишены межсетевые экраны, то есть анализировали трафик, но не могли как-либо влиять на ситуацию, так как устанавливались параллельно и трафик через себя не пропускали. Взяв лучшее от каждой технологии, появились IPS-системы.

Становление современных IPS-систем, шло через четыре направления. Так сказать, от частного к общему.

Первое направление – развитие IDS в inline-IDS. Другими словами, необходимо было встроить IDS-систему в сеть не параллельно, а последовательно. Решение оказалось простым и эффективным: IDS поместили между защищаемыми и незащищаемыми ресурсами. Из этого направления, вероятнее всего, развились программные варианты IPS

Второе направление становления IPS не менее логичное: эволюция межсетевых экранов. Как вы понимаете, им не хватало глубины анализа пропускаемого через себя трафика. Добавление функционала глубокого проникновения в тело данных и понимания передаваемых протоколов позволило стать межсетевым экранам настоящими IPS-системами. Из этого направления, вероятнее всего, развились аппаратные IPS.

Третьим «источником» стали антивирусы. От борьбы с «червями», «троянами» и прочими вредоносными программами до IPS-систем оказалось совсем недалеко. Из этого направления, вероятнее всего, развились HIPS.

Наконец, четвёртым направлением стало создание IPS-систем «с нуля». Здесь, собственно, и добавить нечего.

Что же касается проблем, у IPS, как и у любых других решений, они были. Основных проблем выделяли три:

  1. большое количество ложных срабатываний;
  2. автоматизация реагирования;
  3. большое число управленческих задач.

С развитием систем, эти проблемы успешно решались. Так, к примеру, для снижения процента ложных срабатываний начали применять системы корреляции событий, которые «выставляли приоритеты» для событий и помогали IPS-системе эффективнее выполнять свои задачи.

Всё это привело к появлению IPS-систем следующего поколения (Next Generation IPS – NGIPS). NGIPS должна обладать следующими минимальными функциями:

  • Работать в режиме реального времени без воздействия (или с минимальным воздействием) на сетевую активность компании;
  • Выступать в качестве единой платформы, объединяющей в себе как все преимущества предыдущего поколения IPS, так и новые возможности: контроль и мониторинг приложений; использование информации из сторонних источников (базы уязвимостей, геолокационные данные и т.д.); анализ содержимого файлов.

Рисунок 1. Функциональная схема эволюционных этапов IPS-систем

Мировой и российский рынок IPS. Основные игроки, различия.

Говоря о мировом рынке IPS-систем, эксперты часто ссылаются на отчёты Gartner, и в первую очередь на «волшебный квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2012). На 2012 год ситуация была такова:

Рисунок 2. Распределение основных игроков рынка IPS-систем в мире. Информация Gartner, июль 2012

Прослеживались явные лидеры в лице McAfee, Sourcefire и HP, к которым очень стремилась всем известная Cisco. Однако лето 2013 внесло свои коррективы. Вначале мая по различным тематическим блогам и форумам пронеслась волна обсуждений, поднятая анонсом сделки между McAfee и Stonesoft. Американцы собирались купить финского «визионера», громко заявившего о себе несколько лет назад, открыв новый вид атак AET (Advanced Evasion Techniques).

Тем не менее, на этом сюрпризы не закончились и, буквально спустя пару месяцев, корпорация Cisco объявила о заключении соглашения с Sourcefire и покупке этой компании за рекордные $2.7 млрд. Причины были более чем весомые. Sourcefire известна своей поддержкой двух разработок с открытым кодом: механизма обнаружения и предотвращения вторжений Snort и антивируса ClamAV. При этом технология Snort стала стандартом де-факто для систем предупреждения и обнаружения вторжений. Суть же в том, что на российском рынке Cisco Systems является основным поставщиком решений по сетевой безопасности. Она одной из первых пришла на российский рынок, ее сетевое оборудование стоит практически в каждой организации, соответственно, нет ничего необычного в том, что решения по сетевой безопасности также заказывают у этой компании.

Кроме того, Cisco Systems ведет очень грамотную деятельность по продвижению своей линейки безопасности на российском рынке. И в настоящий момент ни одна компания не может сравниться с Cisco Systems по уровню работы с рынком, как в маркетинговом плане, так и в плане работы с партнерами, госорганизациями, регуляторами и пр. Отдельно стоит отметить, что данная компания уделяет очень большое внимание вопросам сертификации по российским требованиям, тратя на них намного больше, чем другие западные производители, что также способствует сохранению лидирующего положения на российском рынке. Выводы, как говорится, делайте сами.

И, если с мировым рынком IPS-систем всё более-мене понятно, – в скором времени произойдёт «перетасовка» лидеров – то с российским рынком не всё так просто и прозрачно. Как уже было отмечено выше, отечественный рынок имеет свою специфику. Во-первых, большую роль играет сертификация. Во-вторых, если процитировать Михаила Романова , являющегося одним из авторов глобального исследования «Рынок информационной безопасности Российской Федерации», то «конкурентоспособные IPS-решения российского производства фактически отсутствуют. Автору известны только три российских решения данного типа: «Аргус», «Форпост» и «РУЧЕЙ-М» (не позиционируется как IPS). Найти «Аргус» или «РУЧЕЙ-М» в Интернете и купить не представляется возможным. Решение «Форпост» производства компании РНТ, позиционируется как сертифицированное решение, полностью основанное на коде SNORT (и этого разработчики не скрывают). Разработчик не предоставляет свое решение на тестирование, продукт никак не продвигается на рынке, то есть создается впечатление, что РНТ продвигает его только в собственные проекты. Соответственно, увидеть эффективность этого решения не представляется возможным».

К упомянутым трём системам можно также отнести комплекс «РУБИКОН», который позиционируется компанией «Эшелон» не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений. К сожалению, информации по нему не так много .

Последнее решение от российского производителя, которое удалось найти – IPS-система (входит в UTM-устройство ALTELL NEO), представляющая собой, по их словам, «доработанную» открытую технологию Surricata, которая использует актуальные базы сигнатур из открытых источников (National Vulnerability Database и Bugtrax). Всё это вызывает больше вопросов, чем понимания.

Тем не менее, исходя из предложений интеграторов, можно продолжить список предлагаемых на российском рынке IPS-систем и дать краткое описание для каждого из решений:

Cisco IPS (сертифицирован ФСТЭК)

Являясь частью Cisco Secure Borderless Network, Cisco IPSпредоставляет следующие возможности:

  • Предотвращение вторжения более 30000 известных эксплоитов;
  • Автоматическое обновление сигнатур с глобального сайта Cisco Global Correlation для динамического распознавания и предотвращения вторжений атак со стороны Internet;
  • Передовые исследования и опыт Cisco Security Intelligence Operations;
  • Взаимодействие с другими сетевыми компонентами для предотвращения вторжений;
  • Поддержка широкого спектра вариантов развертывания в режиме, близком к реальному времени.

Всё это позволяет защитить сеть от таких атак, как:

  • Прямые атаки (directed attacks);
  • Черви, вирусы (worms);
  • Ботнет сети (botnets);
  • Вредоносные программы (malware);
  • Заражённые приложения (application abuse).

Sourcefire IPS, Adaptive IPS и Enterprise Threat Management

Среди главных преимуществ выделяют:

  • Разработка систем на основе SNORT;
  • Гибкие правила;
  • Интеграция с MSSP;
  • Технология пассивной прослушки (нулевое влияние на сеть);
  • Работа в реальном масштабе времени;
  • Поведенческое обнаружение аномалий в сети (NBA);
  • Персонализация событий.

McAfee Network Security Platform (ранее, IntruShield Network Intrusion Prevention System) (сертифицирован ФСТЭК)

Преимущества решения:

  • Интеллектуальное управление безопасностью

Решение позволяет сократить число специалистов и затраты времени, необходимые для мониторинга и расследования событий безопасности, и одновременно упрощает управление сложными масштабными развертываниями. Благодаря направляемому детальному анализу метод последовательного раскрытия обеспечивает нужную информацию именно тогда и там, где она нужна, а иерархическое управление обеспечивает масштабирование.

  • Высокий уровень защиты от угроз

Защита от угроз обеспечивается благодаря ядру сигнатур на основе анализа уязвимостей, которое преобразовано в платформу нового поколения путем интеграции самой современной технологии анализа поведения и сопоставления множества событий. «Малоконтактные» средства защиты на основе сигнатур позволяют удерживать операционные затраты на низком уровне и эффективно защищают от известных угроз, а передовая технология анализа поведения и сопоставления событий обеспечивают защиту от угроз следующего поколения и «нулевого дня».

  • Использование глобальной системы защиты от вредоносных программ
  • Инфраструктура Security Connected

Решение улучшает уровень сетевой безопасности, способствует оптимизации системы сетевой безопасности, наращивая ее экономическую эффективность. Кроме того, решение позволяет согласовывать сетевую безопасность с бизнес-программами для достижения стратегических целей.

  • Быстродействие и масштабируемость
  • Сбор информации и контроль. Получение информации о действиях пользователей и устройствах, которая прямо интегрируется в процесс контроля и анализа

Stonesoft StoneGate IPS (сертифицирован ФСТЭК)

В основе работы StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур (виртуальное профилирование).

Особенностью Stonesoft IPS является наличие встроенной системы анализа событий безопасности, которая значительно уменьшает трафик, передаваемый от IPS до системы управления, и количество ложных срабатываний. Первоначальный анализ событий производится сенсором Stonesoft IPS, затем информация от нескольких сенсоров передается на анализатор, который осуществляет корреляцию событий. Таким образом, несколько событий могут указывать на распределенную во времени атаку или на сетевого червя - когда решение о вредоносной активности принимается на основании нескольких событий из «общей картины», а не по каждому отдельному случаю.

Ключевые возможности StoneGate IPS:

  • обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
  • применение фирменной технологии АЕТ (Advanced Evasion Techniques) - технологии защиты от динамических техник обхода;
  • обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
  • возможность обработки фрагментированного сетевого трафика;
  • возможность контроля нескольких сетей с разными скоростями;
  • декодирование протоколов для точного определения специфических атак, в том числе и внутри SSL соединений;
  • возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур из Open Source баз);
  • блокировка или завершение нежелательных сетевых соединений;
  • анализ «историй» событий безопасности;
  • анализ протоколов на соответствие RFC;
  • встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний;
  • создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;
  • дополнительная функциональность прозрачного межсетевого экрана Transparent Access Control, что позволяет в отдельных случаях отказаться от использования МЭ без какого-либо снижения эффективности защиты;
  • анализ GRE туннелей, любых комбинаций инкапсуляции IP v6, IPv4;
  • централизованное управление и мониторинг, простая в использовании и одновременно гибкая в настройке система генерации отчетов.

Детектор атак АПКШ «Континент» (Код Безопасности) (сертифицирован ФСТЭК и ФСБ)

Детектор атак «Континент» предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP. Детектор атак «Континент» реализует функции системы обнаружения вторжений (СОВ) и обеспечивает разбор и анализ трафика с целью выявления компьютерных атак, направленных на информационные ресурсы и сервисы.

Основные возможности детектора атак «Континент»:

  • Централизованное управление и контроль функционирования при помощи центра управления системой «Континент».
  • Сочетание сигнатурных и эвристических методов обнаружения атак.
  • Оперативное реагирование на выявленные вторжения.
  • Оповещение ЦУС о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени.
  • Выявление и регистрация информации об атаках.
  • Анализ собранной информации.

IBM Proventia Network Intrusion Prevention System (сертифицирован ФСТЭК)

Система предотвращения атак Proventia Network IPS предназначена для блокирования сетевых атак и аудита работы сети. Благодаря запатентованной технологии анализа протоколов решение IBM Internet Security Systems обеспечивает превентивную защиту – своевременную защиту корпоративной сети от широкого спектра угроз. Превентивность защиты основана на круглосуточном отслеживании угроз в центре обеспечения безопасности GTOC (gtoc.iss.net) и собственных исследованиях и поисках уязвимостей аналитиками и разработчиками группы X-Force.

Основные возможности Proventia Network IPS:

  • Разбирает 218 различных протоколов включая протоколы уровня приложений и форматы данных;
  • Более 3000 алгоритмов используется при анализе трафика для защиты от уязвимостей;
  • Технология Virtual Patch – защита компьютеров пока не установлены обновления;
  • Режим пассивного мониторинга и два режима установки на канал;
  • Поддержка нескольких зон безопасности одним устройством, включая зоны VLAN;
  • Наличие встроенных и внешних bypass модулей для непрерывной передачи данных через устройство в случае системной ошибки или отключения энергоснабжения;
  • Множество способов реагирования на события, включая логирование пакетов атаки;
  • Контроль утечек информации в данных и в офисных документах передаваемых по пиринговым сетям, службам мгновенных сообщений, веб почте и другим протоколам;
  • Детализированная настройка политик;
  • Запись трафика атаки;
  • Поддержка пользовательских сигнатур;
  • Возможность блокирования новых угроз на основании рекомендаций экспертов X-Force.

Check Point IPS (сертифицирован для межсетевых экранов и для UTM)

Программный блейд Check Point IPS предоставляет исключительные возможности предотвращения вторжений на многогигабитных скоростях. Для достижения высокого уровня сетевой защиты многоуровневый механизм IPS Threat Detection Engine использует множество различных методов обнаружения и анализа, в том числе: использование сигнатур уязвимостей и попыток их использования, выявление аномалий, анализ протоколов. Механизм IPS способен быстро фильтровать входящий трафик без необходимости проведения глубокого анализа трафика, благодаря чему на наличие атак анализируются лишь соответствующие сегменты трафика, что ведет к понижению расходов и повышению точности.

В решении IPS применяются высокоуровневые средства динамического управления компании Check Point, что позволяет графически отображать только значимую информацию, легко и удобно изолировать данные, требующие дальнейших действий со стороны администратора, а также соответствовать нормативным требованиям и стандартам отчетности. Кроме того, решения Check Point IPS - как программный блейд IPS, так и аппаратное устройство Check Point IPS-1 - управляются с помощью единой консоли управления SmartDashboard IPS, что обеспечивает унифицированное управление средствами IPS.

Ключевые преимущества:

  • Полноценные средства защиты IPS – Весь функционал IPS, встроенный в используемый межсетевой экран;
  • Лидерство в отрасли по показателям производительности – Многогигабитная производительность системы IPS и межсетевого экрана;
  • Динамическое управление – Весь набор средств управления, включая представления событий безопасности в режиме реального времени и автоматизированный процесс защиты;
  • Защита между релизами патчей – Повышение уровня защиты в случаях задержки выпуска патчей.

Trend Micro Threat Management System (основано на Smart Protection Network)

Trend Micro Threat Management System - решение для анализа и контроля сети, предоставляющее уникальные возможности в области обнаружения малозаметных вторжений, а также автоматизирующее устранение угроз. Это надежное решение, которое основано на Trend Micro Smart Protection Network (наборе модулей для обнаружения и анализа угроз), а также актуальной информации, полученной исследователями угроз из Trend Micro, обеспечивает наиболее эффективные и современные возможности предотвращения угроз.

Основные преимущества:

  • Более быстрая реакция на возможную потерю данных благодаря раннему обнаружению новых и известных вредоносных программ;
  • Снижение расходов на сдерживание угроз и устранение ущерба, а также сокращение времени простоя благодаря индивидуальному подходу к автоматизированному устранению новых угроз безопасности;
  • Проактивное планирование инфраструктуры безопасности и управление ею благодаря накопленным знаниям о слабых местах сетей и основных причинах угроз;
  • Экономия пропускной способности и ресурсов сети благодаря выявлению приложений и служб, нарушающих функционирование сети;
  • Упрощенное управление угрозами и информацией о нарушениях системы безопасности благодаря удобному централизованному порталу управления;
  • Невмешательствов работу существующих служб благодаря гибкой системе развертывания вне полосы пропускания.

Palo Alto Networks IPS

Компания Palo Alto Networks™ является лидером на рынке сетевой безопасности и создателем межсетевых экранов нового поколения. Полная визуализация и контроль всех приложений и контента в сети по пользователю, а не по IP адресу или порту на скоростях до 20Gbps без потери производительности, является основным преимуществом среди конкурентных решений.

Межсетевые экраны Palo Alto Networks, основанные на запатентованной технологии App-ID™, точно идентифицируют и контролируют приложения – вне зависимости от порта, протокола, поведения или шифрования – и сканируют содержимое для предотвращения угроз и утечки данных.

Основная идея межсетевых экранов нового поколения, по сравнению с традиционными подходами, в том числе и UTM решениями, заключается в упрощении инфраструктуры сетевой безопасности, устраняет необходимость в различных автономных устройствах безопасности, а также обеспечивает ускорение трафика за счет однопроходного сканирования. Платформа Palo Alto Networks решает широкий спектр требований сетевой безопасности, необходимых различному типу заказчиков: от центра обработки данных до корпоративного периметра с условными логическими границами, включающие в себя филиалы и мобильные устройства.

Межсетевые экраны нового поколения Palo Alto Networks дают возможность идентифицировать и контролировать приложения, пользователей и контент – а не просто порты, IP адреса и пакеты – используя три уникальных технологии идентификации: App-ID, User-ID и Content-ID. Эти технологии идентификации позволяют создавать политики безопасности, разрешающие конкретные приложения, необходимые бизнесу, вместо того, чтобы следовать распространенной концепции – «все или ничего», которую предлагают традиционные межсетевые экраны, основанные на блокировке портов.

HP TippingPoint Intrusion Prevention System

TippingPoint - лучшая в отрасли система предотвращения вторжений (Intrusion Prevention System, IPS), не имеющая себе равных по таким показателям, как обеспечиваемый уровень безопасности, производительность, степень готовности и простота использования. TippingPoint - единственная IPS-система, получившая награду Gold Award организации NSS Group и сертификат Common Criteria - фактически является эталоном в области сетевых средств для предотвращения вторжений.

Основополагающая технология в продуктах TippingPoint - механизм подавления угроз Threat Suppression Engine (TSE), реализованный на базе специализированных интегральных микросхем (ASIC). Благодаря сочетанию заказных ASIC, объединительной панели с пропускной способностью 20 Гбит/c и высокопроизводительных сетевых процессоров механизм TSE обеспечивает полный анализ потока пакетов на уровнях 2-7; при этом задержка прохождения потока через IPS-систему составляет менее 150 мкс вне зависимости от количества примененных фильтров. Таким образом осуществляется непрерывная очистка внутрисетевого и интернет-трафика и безошибочное выявление таких угроз, как черви, вирусы, троянские программы, смешанные угрозы, фишинг, угрозы через VoIP, атаки DoS и DDoS, обход систем защиты, “заходящие черви” (Walk-in-Worms), нелегальное использование пропускной способности канала, прежде чем будет нанесен реальный вред. Кроме того, архитектура TSE классифицирует трафик, что позволяет предоставить наивысший приоритет ответственным приложениям.

TippingPoint обеспечивает также текущую защиту от угроз, обусловленными вновь выявленными уязвимостями. Анализируя такие уязвимости для института SANS, специалисты компании TippingPoint, которые являются основными авторами информационного бюллетеня , публикующего наиболее актуальные сведения о новых и существующих уязвимых местах в системе безопасности сети, одновременно разрабатывают фильтры защиты от атак, ориентированных на данные уязвимости, и включают их в состав очередного выпуска Digital Vaccine («цифровая вакцина»). Вакцины создаются для нейтрализации не только конкретных атак, но и их возможных вариаций, что обеспечивает защиту от угроз типа Zero-Day.

«Цифровая вакцина» доставляется заказчикам еженедельно, а в случае выявления критических уязвимостей - немедленно. Устанавливаться она может автоматически без участия пользователя, что упрощает для пользователей процедуру обновления системы безопасности.

На сегодняшний день флагманским продуктом компании является HP TippingPoin Next-Generation Intrusion Prevention System, позволяющая наиболее эффективно контролировать все уровни сетевой активности компании за счёт:

  • Собственных баз данных Application DV и Reputation DV
  • Принятия решения на основании множества факторов, объединённых системой HP TippingPoin Security Management System;
  • Лёгкой интеграции с другими сервисами HP DVLabs

Выводы

Рынок IPS-систем нельзя назвать спокойным. 2013 год принёс две важные сделки, способные внести серьёзные коррективы, как в российском, так и в мировом масштабе. Речь идёт о противостоянии двух «тандемов»: Cisco+Sourcefire против McAfee+Stonesoft. С одной стороны, Cisco удерживает стабильное первое место на рынке по количеству сертифицированных решений, а поглощение такой известной компании, как Sourcefire должно лишь укрепить заслуженное первое место. В то же время, поглощение Stonesoft, по сути, открывает для McAfee отличные возможности экспансии российского рынка, т.к. именно Stonesoft была первой зарубежной компанией, сумевшей получить на свои решения сертификат ФСБ (этот сертификат даёт гораздо больше возможностей, чем сертификат ФСТЭК).

К сожалению, отечественные производители пока не радуют бизнес, предпочитая развивать активность в сфере госзаказа. Такое положение вещей вряд ли положительно скажется на развитии этих решений, так как давно известно, что без конкуренции продукт развивается гораздо менее эффективно и, в конечном счёте, деградирует.

Обнаружения вторжений - это программные или аппаратные средства обнаружения атак и вредоносных действий. Они помогают сетям и компьютерным системам давать им надлежащий отпор. Для достижения этой цели IDS производит сбор информации с многочисленных системных или сетевых источников. Затем система IDS анализирует ее на предмет наличия атак. В данной статье будет предпринята попытка ответить на вопрос: "IDS - что это такое и для чего она нужна?"

Для чего нужны системы обнаружения вторжения (IDS)

Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров и антивирусов для отражения всех этих атак оказывается явно недостаточно, поскольку они лишь способны защитить «парадный вход» компьютерных систем и сетей. Разные подростки, возомнившие себя хакерами, беспрерывно рыщут по интернету в поисках щелей в системах безопасности.

Благодаря всемирной паутине в их распоряжении очень много совершенно бесплатного вредоносного софта - всяких слеммеров, слепперов и тому подобных вредных программ. Услугами же профессиональных взломщиков пользуются конкурирующие компании для нейтрализации друг друга. Так что системы, которые обнаруживают вторжение (intrusion detection systems), - насущная необходимость. Неудивительно, что с каждым днем они все более широко используются.

Элементы IDS

К элементам IDS относятся:

  • детекторная подсистема, цель которой - накопление событий сети или компьютерной системы;
  • подсистема анализа, которая обнаруживает кибер-атаки и сомнительную активность;
  • хранилище для накопления информации про события, а также результаты анализа кибер-атак и несанкционированных действий;
  • консоль управления, при помощи которой можно задавать параметры IDS, следить за состоянием сети (или компьютерной системы), иметь доступ к информации про обнаруженные подсистемой анализа атаки и неправомерные действия.

Кстати, многие могут спросить: "Как переводится IDS?" Перевод с английского звучит как "система, которая застает на горячем незваных гостей".

Основные задачи, которые решают системы обнаружения вторжений

Система обнаружения вторжений имеет две основные задачи: анализ и адекватная реакция, основанная на результатах этого анализа. Для выполнения этих задач система IDS осуществляет следующие действия:

  • мониторит и анализирует активность пользователей;
  • занимается аудитом конфигурации системы и ее слабых мест;
  • проверяет целостность важнейших системных файлов, а также файлов данных;
  • проводит статистический анализ состояний системы, основанный на сравнении с теми состояниями, которые имели место во время уже известных атак;
  • осуществляет аудит операционной системы.

Что может обеспечить система обнаружения вторжений и что ей не под силу

С ее помощью можно добиться следующего:

  • улучшить параметры целостности ;
  • проследить активность пользователя от момента его вхождения в систему и до момента нанесения ей вреда или произведения каких-либо несанкционированных действий;
  • распознать и оповестить про изменение или удаление данных;
  • автоматизировать задачи мониторинга интернета с целью поиска самых последних атак;
  • выявить ошибки в конфигурации системы;
  • обнаружить начало атаки и оповестить об этом.

Система IDS это сделать не может:

  • восполнить недостатки в сетевых протоколах;
  • сыграть компенсаторную роль в случае наличия слабых механизмов идентификации и аутентификации в сетях или компьютерных системах, которые она мониторит;
  • также следует заметить, что IDS не всегда справляется с проблемами, связанными с атаками на пакетном уровне (packet-level).

IPS (intrusion prevention system) - продолжение IDS

IPS расшифровывается как "предотвращение вторжения в систему". Это расширенные, более функциональные разновидности IDS. IPS IDS системы реактивны (в отличие от обычной). Это означает, что они могут не только выявлять, записывать и оповещать об атаке, но также и выполнять защитные функции. Эти функции включают сброс соединений и блокировку поступающих пакетов трафика. Еще одной отличительной чертой IPS является то, что они работают в режиме онлайн и могут автоматически заблокировать атаки.

Подвиды IDS по способу мониторинга

NIDS (то есть IDS, которые мониторят всю сеть (network)) занимаются анализом трафика всей подсети и управляются централизованно. Правильным расположением нескольких NIDS можно добиться мониторинга довольно большой по размеру сети.

Они работают в неразборчивом режиме (то есть проверяют все поступающие пакеты, а не делают это выборочно), сравнивая трафик подсети с известными атаками со своей библиотеки. Когда атака идентифицирована или же обнаружена несанкционированная активность, администратору посылается сигнал тревоги. Однако следует упомянуть, что в большой сети с большим трафиком NIDS иногда не справляются с проверкой всех информационных пакетов. Поэтому существует вероятность того, что во время «часа пик» они не смогут распознать атаку.

NIDS (network-based IDS) - это те системы, которые легко встраивать в новые топологии сети, поскольку особого влияния на их функционирование они не оказывают, являясь пассивными. Они лишь фиксируют, записывают и оповещают, в отличие от реактивного типа систем IPS, о которых речь шла выше. Однако нужно также сказать о network-based IDS, что это системы, которые не могут производить анализ информации, подвергнутой шифрованию. Это существенный недостаток, поскольку из-за все более широкого внедрения виртуальных частных сетей (VPN) шифрованная информация все чаще используется киберпреступниками для атак.

Также NIDS не могут определить, что случилось в результате атаки, нанесла она вред или нет. Все, что им под силу, - это зафиксировать ее начало. Поэтому администратор вынужден самостоятельно перепроверять каждый случай атаки, чтобы удостовериться в том, что атакующие добились своего. Еще одной существенной проблемой является то, что NIDS с трудом фиксирует атаки при помощи фрагментированных пакетов. Они особенно опасны, поскольку могут нарушить нормальную работу NIDS. Что это может означать для всей сети или компьютерной системы, объяснять не нужно.

HIDS (host intrusion detection system)

HIDS (IDS, мониторящие хост (host)) обслуживают лишь конкретный компьютер. Это, естественно, обеспечивает намного более высокую эффективность. HIDS анализируют два типа информации: системные логи и результаты аудита операционной системы. Они делают снимок системных файлов и сравнивают его с более ранним снимком. Если критично важные для системы файлы были изменены или удалены, то тогда администратору посылается сигнал тревоги.

Существенным преимуществом HIDS является способность выполнять свою работу в ситуации, когда сетевой трафик поддается шифровке. Такое возможно благодаря тому, что находящиеся на хосте (host-based) источники информации можно создавать перед тем, как данные поддаются шифрованию, или после их расшифровки на хосте назначения.

К недостаткам данной системы можно отнести возможность ее блокирования или даже запрещения при помощи определенных типов DoS-атак. Проблема здесь в том, что сенсоры и некоторые средства анализа HIDS находятся на хосте, который подвергается атаке, то есть их тоже атакуют. Тот факт, что HIDS пользуются ресурсами хостов, работу которых они мониторят, тоже сложно назвать плюсом, поскольку это, естественно, уменьшает их производительность.

Подвиды IDS по методам выявления атак

Метод аномалий, метод анализа сигнатур и метод политик - такие подвиды по методам выявления атак имеет система IDS.

Метод анализа сигнатур

В этом случае пакеты данных проверяются на наличие сигнатур атаки. Сигнатура атаки - это соответствие события одному из образцов, описывающих известную атаку. Этот метод достаточно эффективен, поскольку при его использовании сообщения о ложных атаках достаточно редки.

Метод аномалий

При его помощи обнаруживаются неправомерные действия в сети и на хостах. На основании истории нормальной работы хоста и сети создаются специальные профили с данными про это. Потом в игру вступают специальные детекторы, которые анализируют события. При помощи различных алгоритмов они производят анализ этих событий, сравнивая их с «нормой» в профилях. Отсутствие надобности накапливать огромное количество сигнатур атак - несомненный плюс этого метода. Однако немалое количество ложных сигналов про атаки при нетипичных, но вполне законных событиях в сети - это несомненный его минус.

Метод политик

Еще одним методом выявления атак является метод политик. Суть его - в создании правил сетевой безопасности, в которых, к примеру, может указываться принцип взаимодействия сетей между собой и используемые при этом протоколы. Этот метод перспективен, однако сложность заключается в достаточно непростом процессе создания базы политик.

ID Systems обеспечит надежной защитой ваши сети и компьютерные системы

Группа компаний ID Systems на сегодняшний день является одним из лидеров рынка в области создания систем безопасности для компьютерных сетей. Она обеспечит вас надежной защитой от кибер-злодеев. С системами защиты ID Systems вы сможете не переживать за важные для вас данные. Благодаря этому вы сможете больше наслаждаться жизнью, поскольку у вас на душе будет меньше тревог.

ID Systems - отзывы сотрудников

Прекрасный коллектив, а главное, конечно, - это правильное отношение руководства компании к своим сотрудникам. У всех (даже неоперившихся новичков) есть возможность профессионального роста. Правда, для этого, естественно, нужно проявить себя, и тогда все получится.

В коллективе здоровая атмосфера. Новичков всегда всему обучат и все покажут. Никакой нездоровой конкуренции не ощущается. Сотрудники, которые работают в компании уже многие годы, с радостью делятся всеми техническими тонкостями. Они доброжелательно, даже без тени снисходительности отвечают на самые глупые вопросы неопытных работников. В общем, от работы в ID Systems одни приятные эмоции.

Отношение руководства приятно радует. Также радует то, что здесь, очевидно, умеют работать с кадрами, потому что коллектив действительно высокопрофессиональный подобрался. Мнение сотрудников практически однозначно: они чувствуют себя на работе как дома.

IDS/IPS системы - это уникальные инструменты, созданные для защиты сетей от неавторизованного доступа. Они представляют собой аппаратные или компьютерные средства, которые способны оперативно обнаруживать и эффективно предотвращать вторжения. Среди мер, которые принимаются для достижения ключевых целей IDS/IPS, можно выделить информирование специалистов по информационной безопасности о фактах попыток хакерских атак и внедрения вредоносных программ, обрыв соединения со злоумышленниками и перенастройку сетевого экрана для блокирования доступа к корпоративным данным.

Для чего применяют системы обнаружения вторжения в сеть

Кибер-атаки - одна из основных проблем, с которыми сталкиваются субъекты, владеющие информационными ресурсами. Даже известные антивирусные программы и брандмауэры - это средства, которые эффективны лишь для защиты очевидных мест доступа к сетям. Однако злоумышленники способны находить пути обхода и уязвимые сервисы даже в самых совершенных системах безопасности. При такой опасности неудивительно, что зарубежные и российские UTM-решения получают все более широкую популярность среди организаций, желающих исключить возможность вторжения и распространения вредоносного ПО (червей, троянов и компьютерных вирусов). Многие компании принимают решение купить сертифицированный межсетевой экран или другой инструмент для комплексной защиты информации.

Особенности систем обнаружения вторжений

Все существующие сегодня системы обнаружения и предотвращения вторжений объединены несколькими общими свойствами, функциями и задачами, которые с их помощью решают специалисты по информационной безопасности. Такие инструменты по факту осуществляют беспрерывный анализ эксплуатации определенных ресурсов и выявляют любые признаки нетипичных событий.

Организация безопасности корпоративных сетей может подчиняться нескольким технологиям, которые отличаются типами выявляемых инцидентов и методами, применяемыми для обнаружения таких событий. Помимо функций постоянного мониторинга и анализа происходящего, все IDS системы выполняют следующие функции:

  • сбор и запись информации;
  • оповещения администраторам администраторов сетей о произошедших изменениях (alert);
  • создание отчетов для суммирования логов.

Технология IPS в свою очередь дополняет выше описанную, так как способна не только определить угрозу и ее источник, но и осуществить их блокировку. Это говорит и о расширенном функционале подобного решения. Оно способно осуществлять следующие действия:

  • обрывать вредоносные сессии и предотвращать доступ к важнейшим ресурсам;
  • менять конфигурацию «подзащитной» среды;
  • производить действия над инструментами атаки (например, удалять зараженные файлы).

Стоит отметить, что UTM межсетевой экран и любые современные системы обнаружения и предотвращения вторжений представляют собой оптимальную комбинацию технологий IDS иИ IPS.

Как происходит обнаружение вредоносных атак

Технологии IPS используют методы, основанные на сигнатурах - шаблонах, с которыми связывают соответствующие инциденты. В качестве сигнатур могут выступать соединения, входящие электронные письма, логи операционной системы и т.п. Такой способ детекции крайне эффективен при работе с известными угрозами, но очень слаб при атаках, не имеющих сигнатур.

Еще один метод обнаружения несанкционированного доступа, называемый HIPS, заключается в статистическом сравнении уровня активности происходящих событий с нормальным, значения которого были получены во время так называемого «обучающего периода». Данный способ может дополнять сигнатурную фильтрацию и блокировать хакерские атаки, которые смогли ее обойти.

Резюмируя функции и принципы работы IDS и IPS систем предотвращения вторжений, можно сказать, что они решают две крупные задачи:

  • анализ компонентов информационных сетей;
  • адекватное реагирование на результаты данного анализа.

Детекторы атак Suricata

Одним из решений IPS предотвращения вторжений являются детекторы атак, которые предназначены для своевременного выявления множества вредоносных угроз. В Интернет Контроль Сервере они реализованы в виде системы Suricata - продвинутого, многозадочного многозадачного и очень производительного инструмента, разработанного для превентивной защиты сетей, а также сбора и хранения информации о любых поступающих сигналах. Работа детектора атак основана на анализе сигнатур и эвристике, а удобство его обусловлено наличием открытого доступа к исходному коду. Такой подход позволяет настраивать параметры работы системы для решения индивидуальных задач.

К редактируемым параметрам Suricata относятся правила, которым будет подчиняться анализ трафика, фильтры, ограничивающие вывод предупреждения администраторам, диапазоны адресов разных серверов, активные порты и сети.

Таким образом, Suricata как IPS-решение - это довольно гибкий инструмент, функционирование которого подлежит изменениям в зависимости от характера атаки, что делает его максимально эффективным.

В ИКС фиксируется и хранится информация о подозрительной активности, блокируются ботнеты, DOS-атаки, а также TOR, анонимайзеры, P2P и торрент-клиенты.

При входе в модуль отображается его состояние, кнопка «Выключить» (или «Включить», если модуль выключен) и последние сообщения в журнале.

Настройки

Во вкладке настроек можно редактировать параметры работы детектора атак. Здесь можно указать внутренние, внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься. По умолчанию, анализируется трафик на внешних интерфейсах.

Правила

Детектору атак можно подключать правила, с помощью которых он будет анализировать трафик. На данной вкладке можно посмотреть наличие и содержимое того или иного файла с правилами, а также включить или выключить его действие (с помощью флажков справа). В правом верхнем углу распологается поиск по названию или по количеству правил в файле.

Фильтры

Для того, чтобы настроить ограничения в выводе предупреждений детектором атак, необходимо перейти на вкладку «Фильтры». Здесь можно добавить следующие ограничения:

  • фильтр по количеству сообщений,
  • фильтр сообщений по частоте появления,
  • фильтр смешанного типа,
  • запрет на сообщения определённого типа;

При настройке необходимо помнить, что поле «Id правила» в различных фильтрах должно быть различным.

Тип организации

Выберите тип организации Образовательное учреждение Бюджетное учреждение Коммерческая организация

Цены НЕ РАСПРОСТРАНЯЮТСЯ на частные негосударственные учреждения и учреждения послевузовского профессионального образования

Редакции ИКС

Не требуется ИКС Стандарт ИКС ФСТЭК

Для расчета стоимости ФСТЭК обратитесь в отдел продаж

Тип поставки

ИКС ИКС + SkyDNS ИКС + Kaspersky Web Filtering

Тип лицензии

Новая лицензия Лицензия на обновления

Лицензия на обновления Премиум Расширение лицензии

Современные системы защиты информации состоят из множества компонентов, обеспечивающих комплексные меры защиты на всех этапах обработки и хранения информации. Один из важнейших элементов систем защиты - системы предотвращения вторжений (Intrusion Prevention Systems, IPS).

Системы IPS предназначены для обнаружения и блокирования атак в сети и проводят полное сканирование трафика, проходящего через контролируемые точки сети. При обнаружении вредоносного трафика поток блокируется, что препятствует дальнейшему развитию атаки. Для поиска атак системы используют разнообразные алгоритмы и базы сигнатур, которые могут содержать несколько тысяч определений атак, что позволяет блокировать большинство известных видов атак и их комбинаций.

Для увеличения эффективности системы IPS необходимо выбрать точки контроля трафика, в которых атаки будут блокироваться, что предотвратит распространение нежелательного трафика на другие участки сети. Как правило, в каждой организации точки контроля выбираются в зависимости как от бизнес-задач, так и от множества других факторов.

В настоящее время производители оборудования реализуют два метода размещения: метод подключения устройства в разрыв сети и метод перенаправления потоков информации. Оба имеют свои преимущества и недостатки, которые необходимо учитывать при проектировании системы защиты.

Метод подключения в разрыв сети обеспечивает полный контроль всего трафика, проходящего через контролируемую точку, что не позволяет «пройти незаметно». Но при этом появляется единая точка отказа, и для ее устранения необходимо поддерживать избыточность. Другой недостаток этого метода в том, что при таком подключении вносятся задержки в весь трафик, проходящий через устройство, что требует устройств, способных работать на скорости канала передачи данных.

Метод перенаправления предполагает установку сенсора (или нескольких сенсоров) для поиска подозрительного трафика в потоке данных. Проверяемый поток направляется на сенсор с зеркальных портов коммутатора или дублируется другими доступными средствами. При обнаружении подозрительного трафика маршрут изменяется и поток трафика перенаправляется на устройство, проводящее полную проверку, которое в итоге и принимает решение о блокировке или пропуске трафика. В случае решения о пропуске трафик возвращается на прежний маршрут. При выходе из строя сенсора или устройства IPS передача данных по сети не прерывается; кроме того, в «нормальный» трафик не вносится задержек. Однако при таком методе атаки, реализуемые одним сетевым пакетом, могут оказаться успешными даже в случае обнаружения этого пакета. Еще один недостаток - жесткие требования к сетевому оборудованию, с которым будет происходить взаимодействие.

Устройства IPS размещаются в соответствующих точках в соответствии с выбранной моделью. Как правило, такие точки находятся на границе сетей или представляют собой пограничные точки доступа к сетям провайдеров. В последнее время в результате совершенствования систем IPS и усиления внутренних угроз появилась тенденция к размещению устройств внутри сетей - для более полного контроля трафика между отделами, серверами и подсетями компаний. В результате заметно повысились требования к надежности и корректности срабатывания, а также к производительности устройств.

При этом традиционные проблемы с устранением единой точки отказа по прежнему решаются традиционным же способом - за счет дублирования оборудования и компонентов, что в принципе соответствует общим тенденциям в развитии оборудования для критических задач. Рассмотрим подробнее проблемы надежности срабатывания и производительности устройств.

Начнем с производительности. Данная проблема традиционно решается двумя способами: это либо усиление мощности процессора и параллельная обработка, либо создание специализированных микросхем, выполняющих требуемые операции аппаратно. Второй способ достаточно дорог из-за применения сложных и «ветвистых» процедур проверки пакетов, что, в свою очередь, сильно усложняет микросхемы и увеличивает их стоимость. Производители систем IPS используют различные комбинации этих способов, а также традиционные методы кластеризации устройств с распределением нагрузки, что позволяет создавать устройства с необходимыми параметрами скорости работы.

А теперь поговорим о самой сложной проблеме, которая преследует устройства IPS, – проблеме ложных срабатываний. Та же проблема актуальна и для систем обнаружения вторжений (Intrusion Detection System, IDS), но им, в отличие от IPS, не требуется особая аккуратность в работе, поскольку данные системы отвечают только за обнаружение и информирование. С системами IPS все гораздо сложнее – при ложном срабатывании (как и при реальной угрозе) трафик блокируется, что может нанести существенный вред организации.

Практически у всех производителей систем IPS существуют «фирменные» алгоритмы, которые сводят к минимуму количество ошибочных срабатываний за счет тщательного тестирования оборудования и обновлений, что обеспечивает достаточно надежную работу сети.

Кроме всего прочего, у разных производителей алгоритмы отличаются по специализации и имеют разную эффективность при обнаружении и блокировании разных типов атак, что усложняет создание решений для защиты.

Если задачу интеграции IPS и других систем безопасности при создании комплексных систем защиты решить все еще сложно, то задачи централизованного управления системами IPS одного производителя решаются средствами, которые предоставляют производители, что позволяет снизить расходы на управление системами, а также централизованно применять политики безопасности.

Таким образом, системы IPS выступают как эффективный элемент систем комплексной безопасности, но их внедрение и поддержка представляют собой весьма непростую задачу, требующую от специалистов высокой квалификации, что практически исключает самостоятельное создание эффективного решения на их основе.



Рекомендуем почитать