Similar presentations:
IDS / IPS — Обнаружение и предотвращение сетевых вторжений
1.
IDS / IPS —ОБНАРУЖЕНИЕ И
ПРЕДОТВРАЩЕНИЕ
СЕТЕВЫХ ВТОРЖЕНИЙ.
2.
Основные понятияIDS / IPS (Intrusion Detection and Prevention System) – это
программные или аппаратные системы обнаружения и
предотвращения вторжений, обеспечивающие сетевую и
компьютерную безопасность.
IDS – это пассивная система обнаружения, которая в
режиме реального времени анализирует весь трафик и при
необходимости сообщает о возможных угрозах. Она никак
не модифицирует сетевые пакеты данных и не влияет на
работу сетевой инфраструктуры, в то время как IPS
способна предотвратить доставки пакетов подобно тому,
как это делает брандмауэр.
3.
Основные понятияIPS, являясь системой предотвращения вторжений, также
нацелена на постоянный анализ трафика, вот только
полномочий у этой службы больше – при необходимости
она может отклонять получение пакетов, если системный
анализ выявит угрозу. Причем для обнаружения угроз
используется актуальная база данных сигнатур (шаблоны,
по которым определяется атака через сравнение с
возможным инцидентом), так что её рекомендуется
регулярно обновлять, чтобы система должным образом
выполняла свои функции.
4.
Различие между системамиОсновное различие между ними в том, что IDS — это
система мониторинга, а IPS – система управления. IDS
никоим образом не изменяет сетевые пакеты, тогда как IPS
предотвращает доставку пакета в зависимости от
содержимого пакета, подобно тому, как межсетевой экран
предотвращает трафик по IP-адресу. Система обнаружения
вторжений (IDS) представляет собой пассивную систему,
которая сканирует трафик и сообщает об угрозах.
5.
Что обеспечивают IDS/IPS системы?1.
2.
3.
4.
5.
6.
Обнаружение и блокировка опасного контента;
Удаление вредоносных пакетов;
Блокировка трафика с исходного адреса;
Отправление сигнала тревоги администратору;
Сбрасывание подозрительных соединений;
Недопущение проникновения угроз в систему.
6.
Основные функции системы IDSК основным функциям систем IDS относятся:
1.
2.
3.
4.
5.
6.
7.
Выявление вторжений и сетевых атак;
Запись всех событий;
Поиск уязвимостей;
Прогнозирование атак;
Распознавание источника атаки: инсайд или взлом;
Информирование служб ИБ об инциденте в реальном
времени;
Формирование отчетов.
7.
Основные функции системы IPSК ключевым функциям IPS относятся:
Блокировка атак — прекращение доступа к хостам, обрыв
сессии сотрудника, нелегитимно обращающегося к
данным;
2. Изменение конфигурации устройств в сети компании для
предотвращения атаки;
3. Замена содержания атаки — удаление или фильтрация
инфицированных файлов перед отправкой пользователям
на уровне сетевых пакетов.
1.
8.
Основные виды систем обнаружениявторжений
Выбирая систему IPS/IDS для организации важно учитывать их
виды, отличающиеся расположением, механизмами работы
аналитических модулей. Они могут быть:
1. Сетевыми (NIDS) — для проверки сетевого трафика с
коммутатора. В основе лежит протокол СОВ (PIDS) —
мониторит трафик по HTTP и HTTPS-протоколами.
2. Основанные на прикладных протоколах СОВ (APIDS) — для
проверки специализированных прикладных протоколов.
3. Узловые или Host-Based (HIDS) — анализируют журналы
приложений, состояние хостов, системные вызовы.
4. Гибридные — объединяют функции нескольких видов систем
обнаружения вторжений. К этому виду можно отнести систему
«Гарда Монитор» .
9.
Технология NIDSПредусматривает возможность установки системы в
стратегически важных сетевых узлах с целью анализа входящего
и исходящего трафика для всех устройств. NIDS демонстрирует
крайне высокую эффективность, так как анализирует буквально
каждый пакет данных, начиная с канального уровня и заканчивая
уровней приложений. При этом, в отличие от стандартных
фаерволов и межсетевых экранов, NIDS умеет обнаруживать и
внутренние угрозы.
Недостатком технологии является «прожорливость» – система
анализирует вообще весь трафик, а для этого ей требуется много
вычислительных мощностей центрального процессора и
оперативной памяти. По этой причине применение NIDS на
уровне корпоративной сетевой инфраструктуры может приводить
к ощутимым задержкам при обмене данными.
10.
Хостовая система HIDSХостовые системы, в отличие от сетевых, устанавливаются
«точечно» на каждый отдельно взятый хост в рамках сети,
позволяя обеспечить выборочную защиту подверженных
атаке узлов. HIDS тоже способна анализировать входящий
и исходящий трафик, но делает это более локально, для
одного устройства.
Установку HIDS рекомендуют осуществлять на
критически важные машины в сети для предотвращения
угроз. Данная технология потребляет ощутимо меньше
ресурсов при работе, но требуется опыт и глубокое
понимание специфики конкретной сетевой
инфраструктуры, чтобы правильно выбрать целевые хосты
для HIDS.