Що таке IPS/IDS і де застосовується

Що таке IPS/IDS і де застосовується

09.11.2022
Автор: HostZealot Team
2 мін.
3216

IDS/IPS (Intrusion Detection and Prevention System) – це програмні або апаратні системи виявлення та запобігання вторгненням, що забезпечують мережну та комп'ютерну безпеку. IDS – це пасивна система виявлення, яка у режимі реального часу аналізує весь трафік і за необхідності повідомляє про можливі загрози. Вона ніяк не модифікує мережеві пакети даних і не впливає на роботу мережевої інфраструктури, в той час як IPS здатна запобігти доставці пакетів подібно до того, як це робить брандмауер.

IPS, будучи системою запобігання вторгненням, також націлена на постійний аналіз трафіку, ось тільки повноважень у цієї служби більше – за необхідності вона може відхиляти отримання пакетів, якщо системний аналіз виявить загрозу. Причому виявлення загроз використовується актуальна база даних сигнатур, отже її рекомендується регулярно оновлювати, щоб система належним чином виконувала свої функції.

Технологія та архітектура IDS

IDS здатна лише виявити загрозу та сповістити адміністратора про цю подію, а подальші дії має робити вже він сам. Система виявлення може працювати:

  1. На рівні мережі. Це буде Network Intrusion Detection System (NIDS).
  2. На рівні окремо взятого хоста. У цьому випадку ми маємо справу з Host-based Intrusion Detection System (HIDS).

Розглянемо докладніше кожну їх.

Технологія NIDS

Передбачає можливість встановлення системи у стратегічно важливих мережевих вузлах з метою аналізу вхідного та вихідного трафіку для всіх пристроїв. NIDS демонструє вкрай високу ефективність, оскільки аналізує буквально кожен пакет даних, починаючи з канального рівня та закінчуючи рівнів додатків. При цьому, на відміну від стандартних фаєрволів та міжмережевих екранів, NIDS вміє виявляти внутрішні загрози.

Недоліком технології є "ненажерливість" – система аналізує взагалі весь трафік, а для цього їй потрібно багато обчислювальних потужностей центрального процесора та оперативної пам'яті. З цієї причини застосування NIDS на рівні корпоративної мережевої інфраструктури може призводити до відчутних затримок під час обміну даними.

Хостова система HIDS

Хостові системи, на відміну від мережевих, встановлюються «точково» на кожен окремо взятий хост в рамках мережі, дозволяючи забезпечити вибірковий захист вузлів, що піддаються атаці. HIDS теж здатна аналізувати вхідний та вихідний трафік, але робить це локальніше, для одного пристрою.

Установку HIDS рекомендують здійснювати на критично важливих машинах у мережі для запобігання загрозам. Дана технологія споживає відчутно менше ресурсів під час роботи, але потрібний досвід і глибоке розуміння специфіки конкретної мережної інфраструктури, щоб правильно вибрати цільові хости для HIDS.

Що таке ips/ids і де застосовується

Які бувають IDS за принципом дії

Взагалі кажучи, фундаментальним принципом всіх подібних систем є виявлення загроз в результаті аналізу вхідного та вихідного трафіку. Проте процес аналізу може відрізнятися. Виділяють три типи IDS за механізмом аналізу:

  1. Сигнатурні IDS. Система виявлення вторгнень, що сильно нагадує звичний антивірус – вона також аналізує трафік та зіставляє отримані пакети з базою даних сигнатур. Для забезпечення ефективності роботи цієї системи базу даних сигнатур необхідно регулярно оновлювати. Ключовим недоліком вважається те, що якщо база даних з якихось причин виявиться тимчасово недоступною, то така IDS не зможе забезпечити виявлення загроз.
  2. IDS, засновані на аномаліях. У цьому випадку використовується технологія машинного навчання – система аналізуватиме роботу мережі та порівнюватиме її з аналогічним періодом у минулому. Аномалії можуть бути статистичними, протокольними або на рівні трафіку – все це система виявлення загроз здатна виявляти та припиняти, за умови, що у минулому машинному навчанні приділялося достатньо часу та уваги.
  3. IDS на правилах. Адміністратор може вручну прописати складні правила IDS, які дозволять виявляти погрози за непрямими чи прямими ознаками. Налаштування такої системи вимагає значно більше часу та експертності, але на практиці дозволяє отримати вкрай високий рівень захисту.

Unified Threat Management (UTM)

UTM – універсальний пакет утиліт, який містить кілька дрібних модулів захисту, від поштових фільтрів та проксі-серверів до VPN та IDS. По суті це комплекс, що гарантує багаторівневе відстеження та ліквідацію загроз.

NGFW та DPI

Це вже міжмережевий екран нового покоління, який стрімко набирає популярності останніми роками. NGFW є платформою мережевої безпеки, у складі якого, крім самого міжмережевого екрану, є також традиційний брандмауер з додатковими можливостями фільтрації.

Що ж до DPI, це технологія глибокого аналізу пакетів, що дозволяє перехоплювати пакети, що містять загрози.

Де встановити захист?

При розгортанні на сервері IPS або IDS виникає питання, на яких вузлах це робити найбільш доцільно. Відповідь це питання залежить від цього, який тип системи у вас. Якщо це PIDS, його немає сенсу встановлювати перед фаєрволом, оскільки функції дублюються. А ось NGFW взагалі універсальна, її можна ставити на будь-якому рівні.

Має сенс ставити систему виявлення вторгнень на віртуальний хостинг перед фаєрволом з внутрішньої сторони мережі – у цьому випадку ПЗ аналізуватиме лише той трафік, який пропустив фаєрвол. Відповідно, це знизить навантаження на систему та підвищить швидкодію мережевої інфраструктури.

Частий сценарій розгортання IDS на зовнішньому рубежі мережевого захисту після фаєрволу. У цьому випадку система відсікатиме весь зайвий шум, що надходить від зовнішніх мереж. І, крім того, забезпечить захист від картування. За такої побудови інфраструктури система контролюватиме рівні мережі з 4 по 7, а отже, ставитиметься до сигнатурного типу, що зведе до мінімуму ймовірність помилкових спрацьовувань.

# Рішення Поділитися:
Статті за темою