1. Сетевые протоколы.

IPv4 Internet Protocol version 4

IPv6 Internet Protocol version 6
IPsec Internet Protocol Security
TCP Transmission Control Protocol
UDP User Datagram Protocol
NFS — сетевая файловая система
DNS — система доменных имён
DHCP, Dynamic Host Configuration Protocol
FTP — протокол передачи файлов
HTTP, Hypertext Transfer Protocol
XMPP — протокол мгновенного обмена сообщениями
SSH, Secure Shell
SMTP, Simple Mail Transfer Protocol
Telnet — протокол удаленного доступа к терминалу
2. Уровни модели OSI.

1) Физический уровень (Physical Layer): определяет метод передачи данных,

какая среда используется (передача электрических сигналов, световых
импульсов или радиоэфир), уровень напряжения, метод кодирования двоичных
сигналов.

2) Канальный уровень (Data Link Layer): он берет на себя задачу адресации в

пределах локальной сети, обнаруживает ошибки, проверяет целостность
данных. Если слышали про MAC-адреса и протокол «Ethernet», то они
располагаются на этом уровне.

3) Сетевой уровень (Network Layer): этот уровень берет на себя объединения

участков сети и выбор оптимального пути (т.е. маршрутизация). Каждое
сетевое устройство должно иметь уникальный сетевой адрес в сети. Думаю,
многие слышали про протоколы IPv4 и IPv6. Эти протоколы работают на
данном уровне.
4) Транспортный уровень (Transport Layer): Этот уровень берет на себя
функцию транспорта. К примеру, когда вы скачиваете файл с Интернета, файл в
виде сегментов отправляется на Ваш компьютер. Также здесь вводятся понятия
портов, которые нужны для указания назначения к конкретной службе. На этом
уровне работают протоколы TCP (с установлением соединения) и UDP (без
установления соединения).

5) Сеансовый уровень (Session Layer): Роль этого уровня в установлении,

управлении и разрыве соединения между двумя хостами. К примеру, когда
открываете страницу на веб-сервере, то Вы не единственный посетитель на
нем. И вот для того, чтобы поддерживать сеансы со всеми пользователями,
нужен сеансовый уровень.

6) Уровень представления (Presentation Layer): Он структурирует

информацию в читабельный вид для прикладного уровня. Например, многие
компьютеры используют таблицу кодировки ASCII для вывода текстовой
информации или формат jpeg для вывода графического изображения.

7) Прикладной уровень (Application Layer): наверное, это самый понятный для

всех уровень. Как раз на этом уроне работают привычные для нас приложения
— e-mail, браузеры по протоколу HTTP, FTP и остальное.
Самое главное помнить, что нельзя перескакивать с уровня на уровень
(Например, с прикладного на канальный, или с физического на транспортный).
Весь путь должен проходить строго с верхнего на нижний и с нижнего на
верхний. Такие процессы получили название инкапсуляция (с верхнего на
нижний) и деинкапсуляция (с нижнего на верхний). Также стоит упомянуть,
что на каждом уровне передаваемая информация называется по-разному.
На прикладном, представления и сеансовым уровнях, передаваемая
информация обозначается как PDU (Protocol Data Units). На русском еще
называют блоки данных, хотя в моем круге их называют просто данные).

Информацию транспортного уровня называют сегментами. Хотя понятие

сегменты, применимо только для протокола TCP. Для протокола UDP
используется понятие — датаграмма. Но, как правило, на это различие
закрывают глаза.
На сетевом уровне называют IP пакеты или просто пакеты.

И на канальном уровне — кадры. С одной стороны, это все терминология и она

не играет важной роли в том, как вы будете называть передаваемые данные, но
для экзамена эти понятия лучше знать. Итак, приведу свой любимый пример,
который помог мне, в мое время, разобраться с процессом инкапсуляции и
деинкапусуляции:

1) Представим ситуацию, что вы сидите у себя дома за компьютером, а в

соседней комнате у вас свой локальный веб-сервер. И вот вам понадобилось
скачать файл с него. Вы набираете адрес страницы вашего сайта. Сейчас вы
используете протокол HTTP, которые работает на прикладном уровне. Данные
упаковываются и спускаются на уровень ниже.

2) Полученные данные прибегают на уровень представления. Здесь эти данные

структурируются и приводятся в формат, который сможет быть прочитан на
сервере. Запаковывается и спускается ниже.

3) На этом уровне создается сессия между компьютером и сервером.

4) Так как это веб сервер и требуется надежное установление соединения и

контроль за принятыми данными, используется протокол TCP. Здесь мы
указываем порт, на который будем стучаться и порт источника, чтобы сервер
знал, куда отправлять ответ. Это нужно для того, чтобы сервер понял, что мы
хотим попасть на веб-сервер (стандартно — это 80 порт), а не на почтовый
сервер. Упаковываем и спускаем дальше.

5) Здесь мы должны указать, на какой адрес отправлять пакет. Соответственно,

указываем адрес назначения (пусть адрес сервера будет 192.168.1.2) и адрес
источника (адрес компьютера 192.168.1.1). Заворачиваем и спускаем дальше.

6) IP пакет спускается вниз и тут вступает в работу канальный уровень. Он

добавляет физические адреса источника и назначения, о которых подробно
будет расписано в последующей статье. Так как у нас компьютер и сервер в
локальной среде, то адресом источника будет являться MAC-адрес компьютера,
а адресом назначения MAC-адрес сервера (если бы компьютер и сервер
находились в разных сетях, то адресация работала по-другому). Если на
верхних уровнях каждый раз добавлялся заголовок, то здесь еще добавляется
концевик, который указывает на конец кадра и готовность всех собранных
данных к отправке.

7) И уже физический уровень конвертирует полученное в биты и при помощи

электрических сигналов (если это витая пара), отправляет на сервер.

Процесс деинкапсуляции аналогичен, но с обратной последовательностью:

1) На физическом уровне принимаются электрические сигналы и

конвертируются в понятную битовую последовательность для канального
уровня.
2) На канальном уровне проверяется MAC-адрес назначения (ему ли это
адресовано). Если да, то проверяется кадр на целостность и отсутствие ошибок,
если все прекрасно и данные целы, он передает их вышестоящему уровню.

3) На сетевом уровне проверяется IP адрес назначения. И если он верен, данные

поднимаются выше. Не стоит сейчас вдаваться в подробности, почему у нас
адресация на канальном и сетевом уровне. Это тема требует особого внимания,
и я подробно объясню их различие позже. Главное сейчас понять, как данные
упаковываются и распаковываются.

4) На транспортном уровне проверяется порт назначения (не адрес). И по

номеру порта, выясняется какому приложению или сервису адресованы
данные. У нас это веб-сервер и номер порта — 80.

5) На этом уровне происходит установление сеанса между компьютером и

сервером.

6) Уровень представления видит, как все должно быть структурировано и

приводит информацию в читабельный вид.

7) И на этом уровне приложения или сервисы понимают, что надо выполнить.

3. Динамические протоколы маршрутизации.
Маршрутизация (англ. Routing) — процесс определения маршрута данных в
сетях связи.
Маршруты могут задаваться административно (статические маршруты), либо
вычисляться с помощью алгоритмов маршрутизации, базируясь на информации
о топологии и состоянии сети, полученной с помощью протоколов
маршрутизации (динамические маршруты).

Статическими маршрутами могут быть:

 маршруты, не изменяющиеся во времени;
 маршруты, изменяющиеся по расписанию;
Маршрутизация в компьютерных сетях выполняется специальными
программно-аппаратными средствами — маршрутизаторами; в простых
конфигурациях может выполняться и компьютерами общего назначения,
соответственно настроенными.
Для начала разберемся с понятием “динамическая маршрутизация”. До сего
момента мы использовали так называемую статическую маршрутизацию, то
есть прописывали руками таблицу маршрутизации на каждом роутере.
Использование протоколов маршрутизации позволяет нам избежать этого
нудного однообразного процесса и ошибок, связанных с человеческим
фактором. Как понятно из названия, эти протоколы призваны строить таблицы
маршрутизации сами, автоматически, исходя из текущей конфигурации сети. В
общем, вещь нужная, особенно когда ваша сеть это не 3 роутера, а 30,
например.
Помимо удобства есть и другие аспекты. Например, отказоустойчивость. Имея
сеть со статической маршрутизацией, вам крайне сложно будет организовать
резервные каналы — некому отслеживать доступность того или иного
сегмента.
Например, если в такой сети разорвать линк между R2 и R3, то пакеты с R1
будут уходить по прежнему на R2, где будут уничтожены, потому что их
некуда отправить.

Протоколы динамической маршрутизации в течение нескольких секунд (а то и

миллисекунд) узнают о проблемах на сети и перестраивают свои таблицы
маршрутизации и в вышеописанном случае пакеты будут отправляться уже по
актуальному маршруту
Ещё один важный момент — балансировка трафика. Протоколы динамической
маршрутизации практически из коробки поддерживают эту фичу и вам не нужно добавлять
избыточные маршруты вручную, высчитывая их.

Ну и внедрение динамической маршрутизации сильно облегчает масштабирование сети.

Когда вы добавляете новый элемент в сеть или подсеть на существующем маршрутизаторе,
вам нужно выполнить всего несколько действий, чтобы всё заработало и вероятность
ошибки минимальна, при этом информация об изменениях мгновенно расходится по всем
устройствам. Ровно то же самое можно сказать и о глобальных изменениях топологии.

Все протоколы маршрутизации можно разделить на две большие группы: внешние (EGP —
Exterior Gateway Protocol) и внутренние (IGP — Interior Gateway Protocol). Чтобы объяснить
различия между ними, нам потребуется термин “автономная система”. В общем смысле,
автономной системой (доменом маршрутизации) называется группа роутеров, находящихся
под общим управлением. 
В случае нашей обновлённой сети AS будет такой:

Так вот, протоколы внутренней маршрутизации используются внутри

автономной системы, а внешние — для соединения автономных систем между
собой. В свою очередь, внутренние протоколы маршрутизации подразделяются
на Distance-Vector (RIP, EIGRP) и Link State (OSPF, IS-IS). В этой статье мы не
будем пинать трупы затрагивать протоколы RIP и IGRP в силу их почтенного
возраста, а так же IS-IS в силу его отсутствия в ПТ.
Коренные различия между этими двумя видами состоят в следующем:
1) типе информации, которой обмениваются роутеры: таблицы маршрутизации
у Distance-Vector и таблицы топологии у Link State,
2) процессе выбора лучшего маршрута,
3) количестве информации о сети, которое “держит в голове” каждый роутер:
Distance-Vector знает только своих соседей, Link State имеет представление обо
всей сети.

Как мы видим, количество протоколов маршрутизации невелико, но все же не

один-два. А что будет, если на роутере запустить несколько протоколов
одновременно? Может оказаться, что у каждого протокола будет свое мнение о
том, как лучше добраться до определенной сети. А если у нас еще и
статические маршруты настроены? Кому роутер отдаст предпочтение и чей
маршрут добавит в таблицу маршрутизации? Ответ на этот вопрос связан с
новым термином: административная дистанция (на нащ вкус, довольно
посредственная калька с английского Аdministrative distance, но лучше
выдумать не смогли). Аdministrative distance это целое число от 0 до 255,
выражающее “меру доверия” роутера к данному маршруту. Чем меньше AD,
тем больше доверия. Вот табличка такого доверия с точки зрения Cisco:
Протокол Административная
дистанция

Connected interface 0

Static route 1

Enhanced Interior Gateway Routing Protocol (EIGRP) 5

summary route

External Border Gateway Protocol (BGP) 20

Internal EIGRP 90

IGRP 100

OSPF 110

Intermediate System-to-Intermediate System (IS-IS) 115

Routing Information Protocol (RIP) 120

Exterior Gateway Protocol (EGP) 140

On Demand Routing (ODR) 160

4. Модели контроля доступа (ролевая, матричная, смешанная)
Политика безопасности информации — это набор норм, правил и практических
приемов, которые регламентируют управление, защиту и распределение ценной
информации.
Если вспомнить субъектно-объектную модель защиты, смысл политики
безопасности очень прост — это набор правил управления доступом.
Управление доступом [access control] обычно рассматривают как совокупность
мероприятий по определению полномочий и прав доступа, контроля за
соблюдением правил разграничения доступа.
Полномочия доступа [privilege] - право субъекта доступа пользователя или
процесса) на выполнение определенных действий, в частности на получение
определенного типа доступа к объектам.
Право доступа [access right] - право, предоставленное пользователю на
санкционированное использование определенной информации (в частности,
программ и данных), хранящейся в системе.
Разграничение доступа к информации - 1) Совокупность мероприятий, которые
осуществляют разделение информации на части i организацию доступа к ней
должностных лиц в соответствии с их функциональными обязанностями i
полномочий. 2) Совокупность процедур, реализующих проверку запросов на
доступ и оценку на основании правил разграничения доступа возможности
предоставления доступа.
Правило доступа [access rule] - совокупность правил, регламентирующих
порядок и условия доступа к защищаемой информации, и к ее носителям.
В соответствии с НД ТЗИ 1.1-002-99 Общие положения по защите информации
в компьютерных системах от несанкционированного доступа политикой
безопасности информации следует понимать набор законов, правил,
ограничений, рекомендаций и т. Д., Регламентирующих порядок обработки
информации и направлены на защиту информации от определенных угроз.
Основные виды политик безопасности
Наибольшее распространение получили следующие виды политик
безопасности:
● дискреционная (discretionary)
● мандатная (mandatory)
● ролевая (rolebased)
● административная и доверительная (несколько отличаются от приведенных
выше, определены в НД ТЗИ).
Основой дискреционной (дискретной) политики является дискреционное
(ограничивающее) управления доступом [Discretionary Access Control (DAC)],
которое определяется двумя свойствами:
● все субъекты и объекты должны быть идентифицированы;
● права доступа субъекта к объекту системы определяются на основе
некоторого внешнего по отношению к системе правила.
преимущества:
1) простота и наглядность описания;
2) простота реализации в реальных системах;
3) эффективность функционирования.
недостатки:
1) наличие ряда проблем (распространение прав, отзыва прав, "троянского
коня" и др.);
2) сложность описания структурированных (например, иерархически) объектов.
Основу мандатной (полномочной) политики безопасности составляет
мандатное управления доступом [Mandatory Access Control (MAC)], которое
предполагает, что:
● все субъекты и объекты систем и должны быть однозначно
идентифицированы;
● заданный линейно упорядоченный набор меток секретности;
● каждому объекту системы присвоена метка секретности, определяющая
ценность информации, содержащейся в нем, - его уровень секретности в
автоматизированной системе;
● каждому субъекту системы присвоена метка секретности, определяющая
уровень доверия к нему в автоматизированной системе - максимальное
значение метки секретности объектов, к которым субъект имеет доступ; метка
секретности субъекта называется его уровнем доступа.
Основная цель мандатной политики безопасности - предупреждение утечки
информации от объектов с высоким уровнем доступа к объектам с низким
уровнем доступа, то есть противодействие возникновению в
автоматизированные системы информационных каналов сверху вниз.
преимущества:
1) возможность автоматического определения грифа ценности информации;
2) эффективное решение ряда проблем (распространение прав, "троянского
коня" и др.)
3) возможность эффективного задания правил формирования информационных
потоков в разветвленных сетевых структурах (компьютерные сети).
недостатки:
1) проблема монотонного роста уровня ценности информации;
2) проблемы практической реализации, приводят к необходимости создания
доверенных программ (отправка сигналов на уровень ниже, эффективность
реализации и др.);
3) использование в системах, уровень ценности объектов и доверия к субъектам
в которых может динамически изменяться (см. Специализированные модели);
4) сложность практического использования в реальных средах.
Ролевую политику безопасности обычно не относят ни к мандатным, ни к
дискреционных, так как управление доступом в ней осуществляется как на
основе матрицы прав доступа для ролей, так и с помощью правил,
регламентирующих назначение ролей пользователям и их активацию во время
сеансов. Поэтому ролевая политика представляет совершенно особый тип
политики, основанный на компромиссе между гибкостью управления доступом,
что характерно дискреционных моделей, и ужесточением правил контроля
доступа, которая присуща мандатной модели.
В ролевой модели классическое понятие субъект заменяется понятиями
пользователь и роль. Пользователь - это лицо, работающее с системой и
выполняет определенные служебные обязанности. Роль - это абстрактная
сущность, активно действует в системе, с которой связан ограничен, логически
связанный набор полномочий, необходимый для осуществления определенной
деятельности.
преимущества:
1) позволяет практически решать некоторые проблемы дискреционной
политики;
2) соответствует организации человеко-машинных систем;
недостатки:
1) фактически те же, что и в дискреционной.
Модель Харрiсона-Руззо-Ульмана [Harrison, Ruzzo, Ullman (HRU)]
используется для анализа системы защиты, реализует дискрецiйну политику
безопасности. По этой модели система защиты подается конечных автоматом,
функционирует в соответствии с определенными правилами перехода.
В соответствии с требованиями большинства критериев оценки безопасности
системы защиты должны создаваться на основе определенных математических
моделей, используемых для обоснования соответствия системы защиты
информации требованиям заданной политики безопасности. Таким образом,
для заданной модели безопасности должно быть решена задача проверки
безопасности системы. Такую задачу была поставлена i назад для модели HRU.
Результаты анализа модели HRU свидетельствуют, что задача построения
алгоритма проверки безопасности системы, реализует дискрецiйну политику
разграничения прав доступа, не может быть решена в общем виде.
Определение 1. Будем считать, что утечка права r в результате выполнения
команды C возможен, если при переходе системы в состояние Q 'выполняется
примитивный оператор, вносит r к элементу матрицы доступiв M, которая к
этому r НЕ содержала.
Определение 2. Исходное состояние Q0 называется безопасным относительно
некоторого права r, если невозможно переход системы в такое состояние Q, при
котором может возникнуть утечка права r.
Мандатная модель управления доступом основывается на правилах секретного
документооборота, принятых в государственных i правительственных
учреждениях многих стран. Основным положением политики Белла-ЛаПадулы,
взятыми ими из реальной жизни, является назначение всем участникам
процесса обработки информации, подлежащей защите, i документам, в которых
она содержится, специальных меток, например, "секретно", "совершенно
секретно" i т. Д ., что достали название уровня безопасности. Все уровне
безопасности упорядочиваются с помощью установленного отношение
доминирования. Например, уровень "вполне секретно" считается более
высоким, чем уровень "секретно", или доминирует над ним. Контроль доступа
осуществляется с учетом уровней безопасности сторон, что взаимодействуют
на основе двух простых правил:
1. Уполномоченное лицо (субъект) имеет право читать только те документы,
уровень безопасности которых не превышает его собственного уровня
безопасности.
2. Уполномоченное лицо (субъект) вправе вносить информацию только в те
документы, уровень безопасности которых является ниже его собственный
уровень безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более
доверенными (високорiвневимы) лицами, от доступа со стороны менее
доверенных (низькорiвневих). Второе правило (далее можно показать, что оно
более важно) предупреждает утечка информации (сознательный или
несвiдомий) со стороны високорiвневих участников процесса обработки
информации в низькорiвневих. Таким образом, если в дискрецiйних моделях
управления доступом осуществляется путем надiлення пользователей
полномочиями осуществлять определенные операции над определенными
объектами, то мандатнi модели управляют доступом неявным образом - с
помощью назначения всем сущностям системы уровней безопасности, которые
определяют все допустимые взаимодействия между ними. Итак, мандатное
управления доступе не различает сущностей, которым присвоено одинаковый
уровень безопасности, i ограничения на их взаимодействия отсутствуют.
Поэтому в ситуациях, когда управления доступом требует более гибкого
подхода, мандатная модель, как правило, применяется вместе с любой
дискрецiйною, которая используется для контроля за взаимодействием между
сущностями одного уровня безопасности i для установки дополнительных
ограничений, усиливает мандатную модель. Такой подход был использован i
при формировании модели Беллом (Bell D. E.) и Ла Падула (La Padula L. J.)
Система в модели безопасности Белла-ЛаПадулы, как i в модели Харрiсона-
Руззо-Ульмана, подается в виде множества субъектов S, объектов O i прав
доступа read (на чтение) и write (на запись). В мандатнiй модели
рассматриваются только эти два вида доступа, i хотя она потенциально может
быть расширена на более сложные виды доступа (например, право на
добавление информации, выполнения программ i т. Д.), В классическом
трактовке этой модели все они будут отображаться в базовые (чтение i запись).
Использование такого жесткого подхода, что не позволяет осуществлять гибкое
управления доступом, объясняется тем, что в мандатнiй модели
контролируются НЕ операции, которые осуществляет субъект над объектом, а
потоки информации, которые могут быть только двух видов: либо от субъекта к
объекту (запись), или от объекта к субъекту (чтение). Уровни безопасности
субъектов i объектов задаются с помощью функции уровня безопасности F:
S∪O → L, которая ставит в соответствие каждому объекту i субъекту уровень
безопасности, принадлежит множеству уровней безопасности L, на которой
определено решетку уровней безопасности Λ (см. пiдрозд. 2.4.4). В мандатным
моделях функция уровня безопасности F, определенная на заданной решетке
уровней безопасности Λ, определяет все допустимые отношения доступа между
сущностями системы. Поэтому множество состояний системы V описывается
как набор упорядоченных пар (F; M), где M - это матрица доступа, отображает
текущую ситуацию с правами доступа субъектов к объектам, содержание
которой аналогичный матрицы прав доступа в модели Харрiсона-Руззо-
Ульмана (см. пiдрозд. 3.3.1.1), но набор прав ограничен только правами read i
write.
Модель системы Σ (v0, R; T) состоит из начального состава v0, множества
запросов R i функции перехода T: (V × R) → V, которая в ходе выполнения
запросов переводит систему из одного состояния в другое. Система,
находящаяся в состоянии v ∈ V при получении запроса r ∈ R, переходит в
следующее состояние v * = T (v; r). Состояние v является таким, что
достигается системой Σ (v0, R; T) тогда i только тогда, когда существует
последовательность (v0; r0) :::; (Vn-1; rn-1); (Vn; rn), такая что T (vi; ri) = vi + 1
для 0 ≤ i <n. Отметим, что для любой системы состояние v0 является
тривиального достижимым.
           Как i для дискрецiйнои модели, состояния системы делятся на
безопасные, в которых отношение связи не противоречит установленным в
модели правилам, и опасные, в которых эти правила нарушаются и происходит
утечка информации.
           Белл и Ла Падула предложили такое определение безопасного состояния:
Состояние (F; M) называется безопасным по чтению (или просто безопасным)
тогда i только тогда, когда для каждого субъекта, осуществляющего в этом
состоянии доступ чтения к объекту, уровень безопасности этого субъекта
доминирует над уровнем безопасности этого объекта ∀S∈S; ∀0∈ O; read ∈ M [s;
o] ⇒ F (s) ≥ F (o).
Состояние (F; M) называется безопасным по записи (или * -безопасный) тогда i
только тогда, когда для каждого субъекта, осуществляющего в этом состоянии
доступ записи к объекту, уровень безопасности этого объекта доминирует над
уровнем безопасности этого субъекта: ∀S∈S; ∀0∈ O; write ∈ M [s; o] ⇒F (o) ≥ F
(s).
Состояние является безопасным тогда i только тогда, когда он является
безопасным i относительно чтения, i по записи.
    В соответствии с предложенным определения безопасного состояния
критерий безопасности системы набирает такой вид: Система Σ (v0, R; T)
безопасна тогда i только тогда, когда ее исходное состояние v0 безопасно i все
состояния, которые являются достижимыми с v0 путем применения конечных
последовательности запросов с R, являются безопасными.
5. Подсистемы обнаружения атак (IDS, IPS).
Система обнаружения атак (вторжений) (англ. Intrusion Detection System, IDS) -
программный или аппаратный средство, предназначенное для выявления
фактов несанкционированного доступа в компьютерную систему или сеть или
несанкционированного управления ими в основном через Интернет. О любом
активность вредоносного ПО или о нарушении типичной работы
централизованно собирается информация SIEM-системой (англ. Security
information and event management). SIEM-система обрабатывает данные
полученные от многих источников и использует методы фильтрации тревог для
различения несанкционированной активности от ложного срабатывания
тревоги. О чем оповещается или администратор или операционный центр
безопасности.

Некоторые системы обнаружения вторжений могут обнаружить начало атаки

на сеть, причем некоторые из них способны обнаруживать ранее неизвестные
атаки. Такие системы называют системами предотвращения вторжений (англ.
Intrusion Prevention System, IPS). IPS не ограничиваются только оповещением,
но и осуществляют различные мероприятия, направленные на блокирование
атаки (например, разрыв соединения или выполнения скрипта, заданного
администратором). На практике довольно часто программно-аппаратные
решения сочетают в себе функциональность двух типов систем. Их
объединение называют IDPS (IDS i IPS) [1].

Хотя существует несколько типов IDS, которые по размеру варьируются от

отдельных компьютеров к крупным сетям, [2] распространенными
классификациями являются системы обнаружения вторжений в сеть (англ.
Network intrusion detection systems, NIDS) и системы обнаружения вторжений
основаны на анализе хостов [en ] (англ. host-based intrusion detection systems,
HIDS). Примером HIDS будет система, которая отслеживает важные файлы
операционной системы, примером NIDS будет система, которая анализирует
входной сетевой трафик. Также можно классифицировать IDS соответствии с
методами выявления угроз: наиболее известным является выявление на основе
сигнатур (распознавание плохих шаблонов, таких как вредоносное ПО) и
выявление аномалий (выявление отклонений от «правильного» трафика, часто с
помощью машинного обучения).
IDS/IPS системы — это уникальные инструменты, созданные для защиты сетей
от неавторизованного доступа. Они представляют собой аппаратные или
компьютерные средства, которые способны оперативно обнаруживать и
эффективно предотвращать вторжения. Среди мер, которые принимаются для
достижения ключевых целей IDS/IPS, можно выделить информирование
специалистов по информационной безопасности о фактах попыток хакерских
атак и внедрения вредоносных программ, обрыв соединения со
злоумышленниками и перенастройку сетевого экрана для блокирования
доступа к корпоративным данным.
Кибератаки — одна из основных проблем, с которыми сталкиваются субъекты,
владеющие информационными ресурсами. Даже известные антивирусные
программы и брандмауэры — это средства, которые эффективны лишь для
защиты очевидных мест доступа к сетям. Однако злоумышленники способны
находить пути обхода и уязвимые сервисы даже в самых совершенных
системах безопасности. При такой опасности неудивительно, что зарубежные и
российские UTM-решения получают все более широкую популярность среди
организаций, желающих исключить возможность вторжения и распространения
вредоносного ПО (червей, троянов и компьютерных вирусов). Многие
компании принимают решение купить сертифицированный межсетевой экран
или другой инструмент для комплексной защиты информации.
Все существующие сегодня системы обнаружения и предотвращения
вторжений объединены несколькими общими свойствами, функциями и
задачами, которые с их помощью решают специалисты по информационной
безопасности. Такие инструменты по факту осуществляют беспрерывный
анализ эксплуатации определенных ресурсов и выявляют любые признаки
нетипичных событий.

Организация безопасности корпоративных сетей может подчиняться

нескольким технологиям, которые отличаются типами выявляемых инцидентов
и методами, применяемыми для обнаружения таких событий. Помимо функций
постоянного мониторинга и анализа происходящего, все IDS системы
выполняют следующие функции:
 сбор и запись информации;
 оповещения администраторам администраторов сетей о произошедших
изменениях (alert);
 создание отчетов для суммирования логов.
Технология IPS в свою очередь дополняет вышеописанную, так как способна не
только определить угрозу и ее источник, но и осуществить их блокировку. Это
говорит и о расширенном функционале подобного решения. Оно способно
осуществлять следующие действия:
 обрывать вредоносные сессии и предотвращать доступ к важнейшим
ресурсам;
 менять конфигурацию «подзащитной» среды;
 производить действия над инструментами атаки (например, удалять
зараженные файлы).
Стоит отметить, что UTM межсетевой экран и любые современные системы
обнаружения и предотвращения вторжений представляют собой оптимальную
комбинацию технологий систем IDS и IPS.
Технологии IPS используют методы, основанные на сигнатурах — шаблонах, с
которыми связывают соответствующие инциденты. В качестве сигнатур могут
выступать соединения, входящие электронные письма, логи операционной
системы и т.п. Такой способ детекции крайне эффективен при работе с
известными угрозами, но очень слаб при атаках, не имеющих сигнатур.
Еще один метод обнаружения несанкционированного доступа, называемый
HIPS, заключается в статистическом сравнении уровня активности
происходящих событий с нормальным, значения которого были получены во
время так называемого «обучающего периода». Средство обнаружения
вторжений может дополнять сигнатурную фильтрацию и блокировать
хакерские атаки, которые смогли ее обойти.
Резюмируя функции и принципы работы IDS и IPS систем предотвращения
вторжений, можно сказать, что они решают две крупные задачи:
 анализ компонентов информационных сетей;
 адекватное реагирование на результаты данного анализа.