18.03.

2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Поиск…

← Предыдущая статья Следующая статья →

IPS/IDS — системы обнаружения и предотвращения вторжений

• T-Rex
• 12 февраля 2021
• Время чтения: 9 мин.

• Теги: Сетевое оборудование
• Комментарии (0)

Сегодня мы расскажем про такие системы, как IPS и IDS. В сетевой инфраструктуре они исполняют
роль своего рода полицейских, обнаруживая и предотвращая возможные атаки на серверы.

Что такое IPS/IDS?

IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений. IPS, или
Intrusion Prevention System, — система предотвращения вторжений. По сравнению с традиционными
средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо
более высокий уровень защиты сети.

Антивирус анализирует файлы, спам-фильтр анализирует письма, файервол — соединения по IP.

IDS/IPS анализируют данные и сетевое поведение. Продолжая аналогию с хранителями правопорядка,
файервол, почтовые фильтры и антивирус — это рядовые сотрудники, работающие «в поле», а системы
обнаружения и предотвращения вторжений — это старшие по рангу офицеры, которые работают в
отделении. Рассмотрим эти системы подробнее.

https://selectel.ru/blog/ips-and-ids/ 1/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Архитектура и технология IDS

Принцип работы IDS заключается в определении угроз на основании анализа трафика, но дальнейшие
действия остаются за администратором. Системы IDS делят на типы по месту установки и принципу
действия.

Виды IDS по месту установки

Два самых распространенных вида IDS по месту установки:

Network Intrusion Detection System (NIDS),

Host-based Intrusion Detection System (HIDS).

Первая работает на уровне сети, а вторая — только на уровне отдельно взятого хоста.

Сетевые системы обнаружения вторжения (NIDS)

Технология NIDS дает возможность установить систему в стратегически важных местах сети и
анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на
глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.

NIDS отличается от межсетевого экрана, или файервола. Файервол фиксирует только атаки,
поступающие снаружи сети, в то время как NIDS способна обнаружить и внутреннюю угрозу.

Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на
дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя
большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и
RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети.
Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые
пакеты, что делает сеть уязвимой.

Хостовая система обнаружения вторжений (HIDS)

Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри
сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только
для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает
снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. HIDS
лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.

Другие разновидности IDS по месту установки

Кроме NIDS и HIDS, доступны также PIDS (Perimeter Intrusion Detection Systems), которые охраняют не
всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена
Трампа».

Еще одна разновидность — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это
разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет

https://selectel.ru/blog/ips-and-ids/ 2/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

обойтись без развертывания системы обнаружения на отдельном устройстве. Достаточно развернуть

защиту на виртуальной машине, которая будет отслеживать любую подозрительную активность.

Виды IDS по принципу действия

Все системы обнаружения атак IDS работают по одному принципу — поиск угрозы путем анализа
трафика. Отличия кроются в самом процессе анализа. Существует три основных вида: сигнатурные,
основанные на аномалиях и основанные на правилах.

Сигнатурные IDS

IDS этой разновидности работают по схожему с антивирусным программным обеспечением принципу.

Они анализируют сигнатуры и сопоставляют их с базой, которая должна постоянно обновляться для
обеспечения корректной работы. Соответственно, в этом заключается главный недостаток
сигнатурных IDS: если по каким-то причинам база недоступна, сеть становится уязвимой. Также если
атака новая и ее сигнатура неизвестна, есть риск того, что угроза не будет обнаружена.

Сигнатурные IDS способны отслеживать шаблоны или состояния. Шаблоны — это те сигнатуры,
которые хранятся в постоянно обновляемой базе. Состояния — это любые действия внутри системы.

Начальное состояние системы — нормальная работа, отсутствие атаки. После успешной атаки система
переходит в скомпрометированное состояние, то есть заражение прошло успешно. Каждое действие
(например, установка соединения по протоколу, не соответствующему политике безопасности
компании, активизация ПО и т.д.) способно изменить состояние. Поэтому сигнатурные IDS
отслеживают не действия, а состояние системы.

Как можно понять из описания выше, NIDS чаще отслеживают шаблоны, а HIDS — в основном
состояния.

IDS, основанные на аномалиях

Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только
имеет больший охват.

IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем
обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение
первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После
тестового периода она готова к работе.

Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет
аномалии. Аномалии делятся на три категории:

статистические;
аномалии протоколов;
аномалии трафика.

Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности
(объем входящего/исходящего трафика, запускаемые приложения и т.д.) и сравнивает его с текущим
профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик
вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
https://selectel.ru/blog/ips-and-ids/ 3/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Для выявления аномалий протоколов IDS-система анализирует коммуникационные протоколы, их

связи с пользователями, приложениями и составляет профили. Например, веб-сервер должен
работать на порте 80 для HTTP и 443 для HTTPS. Если для передачи информации по HTTP или HTTPS
будет использоваться другой порт, IDS пришлет уведомление.

Также IDS способны выявлять аномалии, любую небезопасную или даже угрожающую активность в
сетевом трафике. Рассмотрим, к примеру, случай DoS-атаки. Если попытаться провести такую атаку «в
лоб», ее распознает и остановит даже файервол. Креативные злоумышленники могут рассылать
пакеты с разных адресов (DDoS), что уже сложнее выявить. Технологии IDS позволяют анализируют
сетевой трафик и заблаговременно предотвращают подобные атаки.

Open Source проекты и некоторые вендоры на рынке IDS

Snort

Классическая NIDS — Snort. Это система с открытым кодом, созданная еще в 1998 году. Система Snort
разрабатывалась как независимое ПО, а в 2008 году ее приобрела компания Cisco, которая теперь
является партнером и разработчиком. Snort лучше подходит маленьким и средним компаниям.
Утилита включает в себя сниффер пакетов, поддерживает настройку правил и многое другое. Snort —
инструмент для тех, кто ищет понятную и функциональную систему предотвращения вторжений.

Suricata

https://selectel.ru/blog/ips-and-ids/ 4/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Конкурент Snort на рынке среднего бизнеса — система с открытым исходным кодом Suricata, впервые
представлена в 2010 году. Suricata — довольно молодая система, и это ее преимущество. В Suricata нет
большого количества legacy-кода,также система использует более новые разработки, чем у
конкурентов. Благодаря этому Suricata работает быстрее. Кроме того, разработчики позаботились о
совместимости со стандартными утилитами анализа результатов. Это значит, что Suricata
поддерживает те же модули, что и Snort. Она способна выявлять угрозы по сигнатурам и подходит для
средних и больших компаний.

McAfee Network Security Platform

Если вы — большая компания, располагающая значительным бюджетом, можете рассмотреть McAfee

Network Security Platform со стартовой ценой около $10 000. IDS блокирует огромное количество угроз,
доступ к вредоносным сайтам, предотвращает DDoS-атаки и т.д. В силу монументальности McAfee
Network Security Platform может замедлять работу сети, поэтому тут требуется решить, что более
значимо — интеграция с другими сервисами или максимальная безопасность.

https://selectel.ru/blog/ips-and-ids/ 5/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Zeek (Bro)

Полностью бесплатная IDS с открытым исходным кодом. Поддерживает работу как в стандартном
режиме обнаружения вторжений, так и в режиме обнаружения вредоносных сигнатур. Zeek может
также обнаруживать события и позволяет задавать собственные скрипты политик. Недостаток Zeek —
сложность общения с инструментом, так как разработка ведется с упором на функционал, а не
графический интерфейс.

Дальнейшее развитие IDS

IPS и IDPS

IPS, или система предотвращения вторжения, — следующий шаг в развитии систем сетевой защиты.
IPS сообщает об угрозе, а также предпринимает самостоятельные действия. Сегодня практически не
осталось чистых IPS, рынок предлагает большой выбор IDPS (Intrusion Detection and Prevention
Systems). IDPS выявляют атаки и принимают запрограммированные действия: Pass, Alert, Drop, Reject.

Правила IDPS

IDPS-системы допускают некоторый процент ложных отрицательных (false negative) и ложных

положительных (false positive) реакций. Чтобы минимизировать ложные срабатывания, IDPS
позволяют задать пороговые значения для реакций — например, установить значение допустимого
увеличения трафика в будние дни. Администратор, ответственный за IDS, задает его в консоли
управления.

К примеру, если текущий сетевой трафик ниже заданного порога, то он будет пропускаться (pass).
Если трафик превышает порог, то на консоль поступит уведомление или тревога (alert). Пакеты,
соответствующие заданным условиям (содержат вредоносный скрипт), будут отброшены (drop).
Также консоль позволяет задать уровень угрозы— указать, насколько опасна та или иная угроза.
Пакет может быть не только отброшен, но и отклонен (reject) с уведомлением адресата и отправителя.
Кроме того, IDPS умеют отправлять письма ответственному лицу в случае угрозы.

Вместе с каждым правилом прописывается и дальнейшее действие. Например, не только прекратить

дальнейший анализ пакета или отбросить его, но также сделать об этом запись в лог.

https://selectel.ru/blog/ips-and-ids/ 6/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

UTM — Uni ed Threat Management

UTM — это универсальный пакет утилит, сочетающий в себе множество мелких модулей защиты,
своеобразный полицейский участок внутри сети. UTM бывают программными или аппаратными и, как
правило, включают в себя сразу IDS, IPS, файервол, а зачастую и антивирус, прокси-сервер, почтовые
фильтры, VPN и т.д. Объединенный контроль угроз — это единая система, поэтому не нужно платить за
каждый модуль в отдельности. Вы экономите не только деньги, но и время на установку и настройку
ПО — ключевое преимущество UTM.

В этом же заключается недостаток: UTM — единственная точка защиты, хоть и хорошо защищенная.
Злоумышленники столкнутся не с несколькими системами, а только с одной, победив которую они
получат доступ к сети.

DPI и NGFW

Файервол нового поколения — это следующий виток развития систем сетевой защиты. Если UTM
набирали популярность с 2009, то файервол нового поколения — наши дни. Несмотря на то, что
появление NGFW датируется тем же 2009 годом, распространялись они медленно. Главные отличия
NGFW в том, что они открывают возможность DPI (Deep Packet Inspection) и позволяют выбирать
только те функции защиты, которые нужны сейчас.

DPI — это глубокий анализ пакетов. Файервол нового поколения, который читает содержимое пакетов,
перехватывает только те, что имеют запрещенное содержимое.

Где развернуть защиту?

Если вы решаете установить в сеть защиту, будь то IDS/IPS, UTM или NGFW, встает вопрос, в каком
месте ее ставить. В первую очередь это зависит от типа выбранной системы. Так, PIDS не имеет
смысла ставить перед файерволом, внутри сети, а NGFW включает сразу все элементы, поэтому ее
можно ставить куда угодно.

Система обнаружения вторжений может быть установлена перед файерволом c внутренней стороны
сети. В таком случае IDS будет анализировать не весь трафик, а только тот, что не был заблокирован
файерволом. Это логично: зачем анализировать данные, которые блокируются. К тому же это снижает
нагрузку на систему.

IDS ставят также и на внешней границе сети, после файервола. В таком случае она фильтрует лишний
шум глобальной сети, а также защищает от возможности картирования сети извне. При таком
расположении система контролирует уровни сети с 4 по 7 и относится к сигнатурному типу. Такое
развертывание сокращает число ложноположительных срабатываний.

Другая частая практика — установка нескольких копий системы обнаружения вторжений в критичных
местах для защиты сети по приоритету важности. Также допускается установка IDS внутри сети для
обнаружения подозрительной активности.

https://selectel.ru/blog/ips-and-ids/ 7/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Место установки необходимо выбирать в соответствии с вашими требованиями к IDS,

располагаемыми средствами и размерами сети.

Как настроить комплексную защиту?

Когда речь заходит о защите своих данных, сайтов и приложений, располагаемых в инфраструктуре
облачного провайдера, сложно выбрать одно решение которое решит все возможные проблемы. Но,
если вы не хотите переплачивать, разумным решением могут стать комплексные продукты.
Современные инструменты — к примеру, межсетевые экраны — включают набор базовых функций и
целый список дополнительных инструментов для решения ваших задач.

Один из таких — аппаратный межсетевой экран Fortinet FG-100E, использование которого

предлагается для повышения сетевой безопасности выделенных серверов и виртуальных машин в
публичном облаке. Межсетевые экраны уже смонтированы в наших дата-центрах соответствующих
уровню Tier III, подключены к локальной сети и интернету, Selectel обеспечивает их электропитание и
обслуживание. Все, что требуется, — в простом интерфейсе настроить межсетевой экран в несколько
кликов. Подробнее — в базе знаний.

Базовые функции Fortinet FG-100E включают Firewall и VPN. Пропускная способность которых
ограничена только производительностью оборудования. Кроме того, клиенты Selectel могут
«прокачать» функции межсетевого экрана за счет дополнительных подписок. Они позволяют
противодействовать актуальным угрозам и оптимизировать траты на инфраструктуру для системы
защиты.

Для начала работы с межсетевым экраном необходимо заказать его в панели управления.

1. Перейдите в панели управления в раздел Сетевые сервисы → Межсетевые экраны.

2. Нажмите кнопку Заказать межсетевой экран.
3. Выберите локацию (доступные модели устройств в локациях могут отличаться).
4. Выберите устройство.
5. Нажмите кнопку Оплатить.
6. В открывшемся окне укажите период оплаты и нажмите кнопку Оплатить услугу.
7. В поступившем тикете укажите информацию о блоке IP-адресов, который надо защитить
межсетевым экраном.

• T-Rex
• 12 февраля 2021
• Теги: Сетевое оборудование

Популярные статьи

https://selectel.ru/blog/ips-and-ids/ 8/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Что такое DNS-сервер — объясняем простыми словами...

Прочитать

Создание и настройка сервера Minecraft...

Прочитать

Простое пособие по сетевой модели OSI для начинающих...

Прочитать

Запуск услуги «Управляемый фаервол»

Почти месяц назад, через тикет-систему, мы приглашали всех наших клиентов, которые используют
услуги по размещению и аренде выделенных серверов, поучаствовать в закрытом тестировании

https://selectel.ru/blog/ips-and-ids/ 9/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

нашей новой услуги - «Управляемый фаервол». Теперь мы готовы предложить эту услугу для
публичного использования. Что это? Управляемый фаервол — услуга предоставления защищенного
интернет-канала с управляемым межсетевым экраном. Основной задачей услуги является
осуществление контроля и...

Читать далее

Selectel IPv4 pre x route leaking

В ночь с 15 на 16 июля 2017 в сети Selectel случилось одно из наиболее запомнившихся событий,
которое привело к ухудшению (вплоть до полной недоступности) связности сети Selectel с
зарубежным сегментом интернета. И это настолько запомнилось, что этому случаю было посвящено
выступление технического директора Selectel на конференции сетевых операторов ENOG-14. Но обо
всём по порядку. Описание сети На...

Читать далее

Рассказать друзьям

Поделиться 0

Поделиться 0

Твитнуть 0

Комментарии

Комментарии для сайта Cackle

Партнерам

Партнерские программы
Классическая
Бессрочная
White Label

Карьера

Работа в Selectel
https://selectel.ru/blog/ips-and-ids/ 10/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Актуальные вакансии
Стажировка

Ресурсы

Блог
База знаний
Истории успеха
Полезные материалы

Юридическая информация

Способы оплаты
Документы
Реквизиты и лицензии
Закупки Selectel

Новости и события

Новости и пресс-релизы
Пресса о нас
Материалы для прессы

Компания

О компании
Руководство компании
Дата-центры
Конференц-холл
Контакты
Спецпредложения и акции
Предложения партнеров

Selectel Lab

О Selectel Lab
Intel Xeon Scalable
Intel Optane
AMD EPYC
FPGA
Серверы с 4 процессорами Intel® Xeon® Scalable
https://selectel.ru/blog/ips-and-ids/ 11/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

Высоконагруженные виртуальные рабочие столы с GPU

Технологические партнеры

Intel
Veeam Software
VMware

Офисы

Москва
ул. Берзарина, д. 36, стр. 3
+7 (495) 647-79-80

Санкт-Петербург
ул. Цветочная, д. 21, лит. А
+7 (812) 677-80-36

Статус-панель
Проверка скорости сети

Подпишитесь на новости:

e-mail ↵
Я даю Согласие на обработку
персональных данных на условиях,
определенных Политикой.

© ООО «Селектел», 2008—2021

Лицензия на телематические услуги

№ 176266 и № 176267

https://selectel.ru/blog/ips-and-ids/ 12/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel

https://selectel.ru/blog/ips-and-ids/ 13/13