Системы предотвращения вторжений (IPS/IDS)

Системы предотвращения вторжений (IPS/IDS)

Как и любая система безопасности, IDS не гарантирует стопроцентную защиту сети или компьютера, но выполняемые ею функции позволят своевременно обнаружить атаку, тем самым сократив ущерб от утечки информации, удалении файлов, использования компьютера в противоправных действиях и т. п.

Также технология IDS позволяет выявить уязвимость системы и определить будущие вторжения, вести документированный учет возможных угроз, контролировать безопасность сети с точки зрения администрирования, анализировать информацию о случившихся взломах и атаках (например, определять ее тип – внешняя или внутренняя) с целью устранения и/или корректировки уязвимых мест системы.

Как правило, система IDS включает в себя:

1) сенсорную подсистему, которая собирает информацию о событиях, относящихся к безопасности сети или компьютерной системы;

2) подсистему анализа, задача которой заключается в выявлении вредоносной активности и сетевых атак;

3) систему хранения, в которой собирается результаты анализа и информация о событиях;

4) консоль управления, необходимая для управления системой обнаружения вторжений, ее конфигурации, наблюдения за компьютером или сетью.

[/wptab]

Система обнаружения вторжений с точки зрения мониторинга атак и может быть двух типов – это сетевая IDS (network-based IDS, сокр. NIDS) и узловая IDS (host-based IDS, сокр. HIDS). Коммерческие IDS системы – это чаще всего сетевые IDS системы. Подобная система анализирует сетевой трафик и наблюдает за несколькими хостами.

Преимуществами NIDS являются возможность мониторинга сети большого размера, централизованное управление, пассивность, которая выражается в том, что система не влиянии на сеть (ее производительность, функционирование, топологию).

Недостатков у NIDS больше. Во-первых, при обработке сетевых пакетов в большой сети система столкнётся с трудностями, пропуская часть пакетов необработанными, тем самым может быть пропущен момент атаки.

Во-вторых, для работы системы потребуется дополнительные функциональные возможности сетевых устройств (сетевых коммутаторов).

В-третьих, NIDS не может распознавать зашифрованную информацию, что становится актуально при использовании VPN, как со стороны защищающейся, так и атакующей стороны.

В-четвертых, сетевая система обнаружения вторжений сможет лишь указать на начало атаки. То, как атака прошла, была ли она успешной или же нет, должен будет определять администратор.

Пятый недостаток – проблема работа системы с фрагментированными пакетами.

Узловая IDS система «работает» внутри одного компьютера. Это позволяет системе определять конкретные события и пользователей, причастных к атаке на данный компьютер.

HIDS система отслеживает вторжения, анализируя системные логи, модификаций файлов, состояния хоста и др.

Преимуществами HIDS является возможность обнаружения атак, которые не увидит сетевая система NIDS, т. к. HIDS работает локально. Также, в отличие от NIDS систем, HIDS система может анализировать зашифрованный трафик, и для ее работы не нужна дополнительная функциональность сетевых устройств.

К недостаткам HIDS относятся:

1) отсутствие централизованного управления;

2) возможность ее блокировки или запрета DoS-атакой;

3) влияние на производительность защищаемой системы, т. к. она использует ресурсы хоста;

4) отсутствие возможности мониторинга сети.

Для определения вредоносных сетевых пакетов системы IDS могут использовать три метода:

1) сигнатурный метод (signature-based);

2) метод аномалий (anomaly-based);

3) метод политик (policy-based).

Рассмотрим эти методы подробнее.

Сигнатурный метод. Сигнатурой называется образец заранее известной атаки. Детекторы анализируют события в деятельности системы, которые соответствуют такому образу. Плюсами сигнатурного метода является высокая эффективность при обнаружении вторжений и безошибочная диагностика способов атаки. Это позволяет даже неопытным администраторам обработать информацию о сетевой атаке и обеспечить должные меры безопасности.

Минус сигнатурного метода – необходимость обновления базы сигнатур.

Метод аномалий заключается в определении необычного (аномального) поведения в сети или на хосте. Детекторы позволяют отследить отличия между нормальным поведением системы и аномальным. При этом детекторами создаются профили, в которые собраны события от пользователей, сетевых соединений, хостов, которые имели место при нормальном функционировании. Сравнивание событий производится с помощью различных метрик.

Плюсы такого метода обнаружения вторжений – возможность определить атаку без владения конкретной информации о ней (без ее сигнатуры) и создание баз аномальных поведений (атак), которые могут использоваться в качестве образца (сигнатуры). Минусы метода аномалий – ложное срабатывание системы обнаружения вторжений при непредсказуемом поведении пользователя или сетевой активности, и необходимость обучения системы продолжительное время.

Метод политик работает на основе заранее написанных правил в виде политики безопасности, которая описывает возможность или запрет на сетевое взаимодействие. Плюс метода – возможность предупреждать новые атаки, минус – большие трудовые и временные затраты на создание политики безопасности

Система предотвращения вторжений (IPS)

Система предотвращения вторжений (английский вариант – Intrusion Prevention System, IPS) имеет сходство с системой IDS с точек зрения функциональности и классификации. Отличие заключается в том, IPS система предназначена для мониторинга вредоносной активности в сети или в компьютерной системе в реальном времени, позволяя предотвращать сетевые атаки моментально.

Взаимосвязь IPS и IDS следующая – в каждой системе предотвращения вторжений IPS имеется модуль IDS системы.