Что такое системы защиты от вторжений?
Системы защиты от вторжений – это программные или аппаратные комплексы, которые автоматически анализируют трафик в сети на предмет его безопасности и, в случаи обнаружения подозрительной активности, реагируют на вторжение. Реакцией может быть как простое оповещение ответственного сотрудника, так и блокировка аномального трафика в зависимости от типа системы.
Для борьбы с вторжениями используется два типа систем
| Системы предотвращения вторжений (IPS) | Системы обнаружения вторжений (IDS) | |
| Основные отличия | Применяются для блокировки подозрительной сетевой активности и отсеивают нелегитимный трафик. Недостатком решения является. | Отслеживают аномалии в сети и сигнализируют о возможном вторжении администратору. |
| Преимущества | Позволяет не только обнаружить, но и предотвратить вторжение. | Позволяет бороться с вторжениями и в то же время не мешает работе пользователей. Решение о предотвращении атаки принимает администратор. |
| Недостатки | Большое количество ложных срабатываний, которые снижают производительность труда сотрудников компании и могут приводить к простоям ИТ-инфраструктуры. | Существует риск, что администратор не успеет принять меры по предотвращению вторжения и компания успеет понести ущерб. |
Как система определяет вторжение?
Для этого используется два основных метода:
- Сигнатурный анализ – система сверяет активность сети с базой известных вторжений (сигнатур), которые постоянно обновляются, и сигнализирует о вторжении при совпадении активности с данным эталоном.
- Определение аномалий – система анализирует нормальное состояние сети и запоминает его как эталон. В случаи значительного отклонения от него текущей сетевой активности, система определяет это как аномалию и сигнализирует об этом.
Зачем использовать IDS / IPS если уже есть файервол?
Отличие файервола в том что он просто блокирует трафик по определенным портам и пропускает только то что разрешено. Система предотвращения вторжений, в свою очередь, позволяет обнаружить попытки доступа к информации методом обхода файервола, получением неавторизованного доступа по открытым портам, или доступом изнутри сети.
Поэтому данные средства защиты рекомендуется комбинировать для усиления общей безопасности сети.
Логическая схема реализации выглядит следующим образом:
Современные системы защиты от вторжений не являются «stand alone» решениями, а представляют из себя комплекс, объединяющий функции роутера, файервола и IDS/IPS.
Наша компания предлагает два основных решения в этой отрасли
позиционируемых для разного типа клиентов:
| Linux based router + IPS Snort | Cisco Router with IPS service contract | |
| Описание | Бюджетное решение, состоящее из свободного ПО Snort установленного на сервер с бесплатной ОС Linux. | Профессиональное enterprise решение от компании Cisco. |
| Метод определения вторжений | По сигнатурам, поиск аномалий. | |
| Уровень анализа трафика | 3 и 4 уровень модели OSI. | 2, 3 и 4 уровень модели OSI. |
| Стоимость внедрения | Низкая. Требуются недорогие серверные платформы и настройка комплекса. | Высокая. Необходимо оборудование CISCO, закупка контракта IPS, работы по настройке. |
| Скорость развертывания | 2-4 недели. | 1 неделя. |
| Поддержка производителя | Отсутствует. | Высококачественная техническая поддержка. |
| Масштабируемость | Сильно ограничена, возможно осуществлять защиту только на границе сетей. | Высокая. Решение возможно использовать для защиты WIFI, VoIP, VPN, а также для анализа трафика внутри сети. |
| Для каких компаний актуально |
|
|