Що потрібно знати про IDPS(СОПВ), щоб запобігти мережну атаку ззовні.

Підприємства, які хочуть захистити свої мережі від зовнішніх атак мають цілий ряд потужних інструментів. Міжмережеві екрани, наприклад, дуже добре фільтрують мережевий трафік, а в багатьох випадках, аналіз пакетів даних забезпечує виявлення деструктивних пакетів до того, як вони зможуть завдати якої-небудь шкоди.

Але більшість компаній, які дійсно серйозно відносяться до підтримання рівня безпеки своїх мереж, також використовують технології, спеціально призначених для виявлення потенційних атак: IDPS (Intrusion Detection and Prevention Systems — Системи виявлення та попередження вторгнень).

СОПВ технології, які використовуються в поєднанні з брандмауером — перша лінія захисту мережі — складаються з двох основних частин:

IDS (Intrusion Detection System) — СОВ (система виявлення вторгнень): СОВ аналізує вхідний трафік, виявляючи підозрілі типи активності. Якщо вона виявляє підозрілий трафік, то відбувається оповіщення адміністратора мережі, який може заблокувати будь-які події, аналогічні тим, що відбувається. У деяких випадках СОВ також можуть оповіщати про заданих подіях інші системи в мережі, призначені для її захисту.

IPS (Intrusion Prevention System) — СПВ (системи запобігання вторгнень): СПВ подібна СОВ, крім того, що вона призначена для виконання негайних дій — наприклад, блокування конкретних IP-адрес користувачів, — а не просто попередження системи та адміністратора мережі. Деякі СПВ також використовують метод поведінкового аналізу для виявлення та припинення потенційно небезпечних пакетів даних. СОВ часто називають «активної» системою, на відміну від СПВ, які, як правило, вважаються «пасивними».

Обидва IDS IPS і технології бувають різними по конфігурації, кожна з яких призначена для захисту від конкретних вторгнень. Ось деякі з поширених видів технологій в даний час:

Network Intrusion Detection and Prevention (Виявлення та попередження вторгнень на мережевому рівні). Це найбільш поширене використання СОПВ технології, покликаної забезпечити захист всієї мережі. Хоча в ідеалі було б на дуже великій мережі використовувати єдиний IDS або IPS на мережевому шлюзі, щоб сканувати весь трафік. Такий підхід дозволяє відсікти «поганий» трафік, але може знизити загальну продуктивність мережі. Тому, щоб ефективно контролювати трафік і всі мережеві пристрої, це рекомендується розмістити СОПВ на різних стратегічних точках всередині мережі.

Host Intrusion Detection and Prevention (Виявлення та попередження вторгнень на рівні вузла). При цьому підході мережа структурується на окремі критично важливі вузли і пристрої, розташовані в мережі. Цей тип моніторів СОПВ аналізує як вхідні, так і вихідні пакети, — але тільки з допомогою пристрою, з яким він пов’язаний.

Signature-Based Intrusion and Prevention(Виявлення та попередження вторгнень з використанням сигнатур): Даний вид СОПВ корисний для виявлення вірусів і інших типів шкідливого ПО. Система порівнює всі пакети, які проходять через неї з базою даних відомих загроз. Подібно боротьбі з шкідливим кодом, СОПВ, що аналізують дані по базах сигнатур, гарні тоді, коли використовують досить вихідної інформації, а це означає, що технологія є вразливою при відсутності потрібних сигнатур. З іншого боку, такі СОПВ досить надійно захищають мережу від відомих загроз, які становлять більшість мережевих атак.

Anomaly-Based Intrusion and Prevention(Виявлення та попередження вторгнень на рівні виявлення аномалій): Можна було б описати цей вид СОПВ як «підозрілий». Це тому, що СОПВ, виявляють аномальну поведінку, завжди шукає що-небудь відмінне від нормального. Система постійно вивчає мережевий трафік і порівнює його з звичайним. Виявлене відхилення від «нормальних» показників з точки зору використання смуги пропускання, доступу до портів або пристроїв, підключенням викличе спрацьовування СОПВ і будуть прийняті активні заходи для забезпечення мережної безпеки. Цей тип брандмауера може бути особливо ефективним, допомагаючи впоратися з DDoS (розподілені атаки типу «відмова в обслуговуванні») атаками, коли велика кількість комп’ютерів, об’єднуються і атакують мережевий сервіс.

Найбільш поширені виробники СОПВ

Виробники пропонують СОПВ рішення з різними можливостями, що дозволяють знайти продукт, який найбільшою мірою відповідає вимогам конкретного споживача.

Найбільш великі виробники СОПВ:

  • Enterasys Networks Inc.;
  • Cisco Systems Inc.;
  • IBM Internet Security Systems;
  • Juniper Networks Inc. ;
  • Network Chemistry.

Є також безкоштовні СОПВ:

  • Snort;
  • Bro;
  • Prelude Hybrid IDS;
  • OSSEC.

За матеріалами