Академический Документы
Профессиональный Документы
Культура Документы
Поиск…
• T-Rex
• 12 февраля 2021
• Время чтения: 9 мин.
• Теги: Сетевое оборудование
• Комментарии (0)
Сегодня мы расскажем про такие системы, как IPS и IDS. В сетевой инфраструктуре они исполняют
роль своего рода полицейских, обнаруживая и предотвращая возможные атаки на серверы.
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений. IPS, или
Intrusion Prevention System, — система предотвращения вторжений. По сравнению с традиционными
средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо
более высокий уровень защиты сети.
https://selectel.ru/blog/ips-and-ids/ 1/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Принцип работы IDS заключается в определении угроз на основании анализа трафика, но дальнейшие
действия остаются за администратором. Системы IDS делят на типы по месту установки и принципу
действия.
Первая работает на уровне сети, а вторая — только на уровне отдельно взятого хоста.
Технология NIDS дает возможность установить систему в стратегически важных местах сети и
анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на
глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.
NIDS отличается от межсетевого экрана, или файервола. Файервол фиксирует только атаки,
поступающие снаружи сети, в то время как NIDS способна обнаружить и внутреннюю угрозу.
Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на
дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя
большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и
RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети.
Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые
пакеты, что делает сеть уязвимой.
Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри
сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только
для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает
снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. HIDS
лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.
Кроме NIDS и HIDS, доступны также PIDS (Perimeter Intrusion Detection Systems), которые охраняют не
всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена
Трампа».
Еще одна разновидность — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это
разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет
https://selectel.ru/blog/ips-and-ids/ 2/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Все системы обнаружения атак IDS работают по одному принципу — поиск угрозы путем анализа
трафика. Отличия кроются в самом процессе анализа. Существует три основных вида: сигнатурные,
основанные на аномалиях и основанные на правилах.
Сигнатурные IDS
Сигнатурные IDS способны отслеживать шаблоны или состояния. Шаблоны — это те сигнатуры,
которые хранятся в постоянно обновляемой базе. Состояния — это любые действия внутри системы.
Начальное состояние системы — нормальная работа, отсутствие атаки. После успешной атаки система
переходит в скомпрометированное состояние, то есть заражение прошло успешно. Каждое действие
(например, установка соединения по протоколу, не соответствующему политике безопасности
компании, активизация ПО и т.д.) способно изменить состояние. Поэтому сигнатурные IDS
отслеживают не действия, а состояние системы.
Как можно понять из описания выше, NIDS чаще отслеживают шаблоны, а HIDS — в основном
состояния.
Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только
имеет больший охват.
IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем
обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение
первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После
тестового периода она готова к работе.
Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет
аномалии. Аномалии делятся на три категории:
статистические;
аномалии протоколов;
аномалии трафика.
Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности
(объем входящего/исходящего трафика, запускаемые приложения и т.д.) и сравнивает его с текущим
профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик
вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
https://selectel.ru/blog/ips-and-ids/ 3/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Также IDS способны выявлять аномалии, любую небезопасную или даже угрожающую активность в
сетевом трафике. Рассмотрим, к примеру, случай DoS-атаки. Если попытаться провести такую атаку «в
лоб», ее распознает и остановит даже файервол. Креативные злоумышленники могут рассылать
пакеты с разных адресов (DDoS), что уже сложнее выявить. Технологии IDS позволяют анализируют
сетевой трафик и заблаговременно предотвращают подобные атаки.
Snort
Классическая NIDS — Snort. Это система с открытым кодом, созданная еще в 1998 году. Система Snort
разрабатывалась как независимое ПО, а в 2008 году ее приобрела компания Cisco, которая теперь
является партнером и разработчиком. Snort лучше подходит маленьким и средним компаниям.
Утилита включает в себя сниффер пакетов, поддерживает настройку правил и многое другое. Snort —
инструмент для тех, кто ищет понятную и функциональную систему предотвращения вторжений.
Suricata
https://selectel.ru/blog/ips-and-ids/ 4/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Конкурент Snort на рынке среднего бизнеса — система с открытым исходным кодом Suricata, впервые
представлена в 2010 году. Suricata — довольно молодая система, и это ее преимущество. В Suricata нет
большого количества legacy-кода,также система использует более новые разработки, чем у
конкурентов. Благодаря этому Suricata работает быстрее. Кроме того, разработчики позаботились о
совместимости со стандартными утилитами анализа результатов. Это значит, что Suricata
поддерживает те же модули, что и Snort. Она способна выявлять угрозы по сигнатурам и подходит для
средних и больших компаний.
https://selectel.ru/blog/ips-and-ids/ 5/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Zeek (Bro)
Полностью бесплатная IDS с открытым исходным кодом. Поддерживает работу как в стандартном
режиме обнаружения вторжений, так и в режиме обнаружения вредоносных сигнатур. Zeek может
также обнаруживать события и позволяет задавать собственные скрипты политик. Недостаток Zeek —
сложность общения с инструментом, так как разработка ведется с упором на функционал, а не
графический интерфейс.
IPS и IDPS
IPS, или система предотвращения вторжения, — следующий шаг в развитии систем сетевой защиты.
IPS сообщает об угрозе, а также предпринимает самостоятельные действия. Сегодня практически не
осталось чистых IPS, рынок предлагает большой выбор IDPS (Intrusion Detection and Prevention
Systems). IDPS выявляют атаки и принимают запрограммированные действия: Pass, Alert, Drop, Reject.
Правила IDPS
К примеру, если текущий сетевой трафик ниже заданного порога, то он будет пропускаться (pass).
Если трафик превышает порог, то на консоль поступит уведомление или тревога (alert). Пакеты,
соответствующие заданным условиям (содержат вредоносный скрипт), будут отброшены (drop).
Также консоль позволяет задать уровень угрозы— указать, насколько опасна та или иная угроза.
Пакет может быть не только отброшен, но и отклонен (reject) с уведомлением адресата и отправителя.
Кроме того, IDPS умеют отправлять письма ответственному лицу в случае угрозы.
https://selectel.ru/blog/ips-and-ids/ 6/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
UTM — это универсальный пакет утилит, сочетающий в себе множество мелких модулей защиты,
своеобразный полицейский участок внутри сети. UTM бывают программными или аппаратными и, как
правило, включают в себя сразу IDS, IPS, файервол, а зачастую и антивирус, прокси-сервер, почтовые
фильтры, VPN и т.д. Объединенный контроль угроз — это единая система, поэтому не нужно платить за
каждый модуль в отдельности. Вы экономите не только деньги, но и время на установку и настройку
ПО — ключевое преимущество UTM.
В этом же заключается недостаток: UTM — единственная точка защиты, хоть и хорошо защищенная.
Злоумышленники столкнутся не с несколькими системами, а только с одной, победив которую они
получат доступ к сети.
DPI и NGFW
Файервол нового поколения — это следующий виток развития систем сетевой защиты. Если UTM
набирали популярность с 2009, то файервол нового поколения — наши дни. Несмотря на то, что
появление NGFW датируется тем же 2009 годом, распространялись они медленно. Главные отличия
NGFW в том, что они открывают возможность DPI (Deep Packet Inspection) и позволяют выбирать
только те функции защиты, которые нужны сейчас.
DPI — это глубокий анализ пакетов. Файервол нового поколения, который читает содержимое пакетов,
перехватывает только те, что имеют запрещенное содержимое.
Если вы решаете установить в сеть защиту, будь то IDS/IPS, UTM или NGFW, встает вопрос, в каком
месте ее ставить. В первую очередь это зависит от типа выбранной системы. Так, PIDS не имеет
смысла ставить перед файерволом, внутри сети, а NGFW включает сразу все элементы, поэтому ее
можно ставить куда угодно.
Система обнаружения вторжений может быть установлена перед файерволом c внутренней стороны
сети. В таком случае IDS будет анализировать не весь трафик, а только тот, что не был заблокирован
файерволом. Это логично: зачем анализировать данные, которые блокируются. К тому же это снижает
нагрузку на систему.
IDS ставят также и на внешней границе сети, после файервола. В таком случае она фильтрует лишний
шум глобальной сети, а также защищает от возможности картирования сети извне. При таком
расположении система контролирует уровни сети с 4 по 7 и относится к сигнатурному типу. Такое
развертывание сокращает число ложноположительных срабатываний.
Другая частая практика — установка нескольких копий системы обнаружения вторжений в критичных
местах для защиты сети по приоритету важности. Также допускается установка IDS внутри сети для
обнаружения подозрительной активности.
https://selectel.ru/blog/ips-and-ids/ 7/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Когда речь заходит о защите своих данных, сайтов и приложений, располагаемых в инфраструктуре
облачного провайдера, сложно выбрать одно решение которое решит все возможные проблемы. Но,
если вы не хотите переплачивать, разумным решением могут стать комплексные продукты.
Современные инструменты — к примеру, межсетевые экраны — включают набор базовых функций и
целый список дополнительных инструментов для решения ваших задач.
Базовые функции Fortinet FG-100E включают Firewall и VPN. Пропускная способность которых
ограничена только производительностью оборудования. Кроме того, клиенты Selectel могут
«прокачать» функции межсетевого экрана за счет дополнительных подписок. Они позволяют
противодействовать актуальным угрозам и оптимизировать траты на инфраструктуру для системы
защиты.
Для начала работы с межсетевым экраном необходимо заказать его в панели управления.
• T-Rex
• 12 февраля 2021
• Теги: Сетевое оборудование
Популярные статьи
https://selectel.ru/blog/ips-and-ids/ 8/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Прочитать
Прочитать
Прочитать
https://selectel.ru/blog/ips-and-ids/ 9/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
нашей новой услуги - «Управляемый фаервол». Теперь мы готовы предложить эту услугу для
публичного использования. Что это? Управляемый фаервол — услуга предоставления защищенного
интернет-канала с управляемым межсетевым экраном. Основной задачей услуги является
осуществление контроля и...
Читать далее
Читать далее
Рассказать друзьям
Поделиться 0
Поделиться 0
Твитнуть 0
Комментарии
Партнерам
Партнерские программы
Классическая
Бессрочная
White Label
Карьера
Работа в Selectel
https://selectel.ru/blog/ips-and-ids/ 10/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Актуальные вакансии
Стажировка
Ресурсы
Блог
База знаний
Истории успеха
Полезные материалы
Юридическая информация
Способы оплаты
Документы
Реквизиты и лицензии
Закупки Selectel
Новости и события
Новости и пресс-релизы
Пресса о нас
Материалы для прессы
Компания
О компании
Руководство компании
Дата-центры
Конференц-холл
Контакты
Спецпредложения и акции
Предложения партнеров
Selectel Lab
О Selectel Lab
Intel Xeon Scalable
Intel Optane
AMD EPYC
FPGA
Серверы с 4 процессорами Intel® Xeon® Scalable
https://selectel.ru/blog/ips-and-ids/ 11/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
Технологические партнеры
Intel
Veeam Software
VMware
Офисы
Москва
ул. Берзарина, д. 36, стр. 3
+7 (495) 647-79-80
Санкт-Петербург
ул. Цветочная, д. 21, лит. А
+7 (812) 677-80-36
Статус-панель
Проверка скорости сети
Подпишитесь на новости:
e-mail ↵
Я даю Согласие на обработку
персональных данных на условиях,
определенных Политикой.
© ООО «Селектел», 2008—2021
https://selectel.ru/blog/ips-and-ids/ 12/13
18.03.2021 IPS/IDS — системы обнаружения и предотвращения вторжений - блог Selectel
https://selectel.ru/blog/ips-and-ids/ 13/13