ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

6 минут чтени€

≈сли вы только думаете о том, чтобы зан€тьс€ информационной безопасностью, вам не помешает знать эти аббревиатуры. ћы также поговорим о том что это, каковы их задачи и в чем их отличи€.

„то такое IPS, IDS, UTM?

ќтличи€ IPS от IDS

IPS Ц Intrusion Prevention System, а IDS Ц Intrusion Detection System. “о есть, первый помогает предотвращать вторжени€, а второй помогает их обнаруживать. Ќо что интересно Ц они используют ну очень похожие технологии.

ѕри всей похожести названий и технологий, это два абсолютно разных инструмента, которые используютс€ в очень разных местах, разными людьми и выполн€ют очень разные задачи. /

 огда мы говорим про IPS/, то первое что приходит на ум Ц функционал фаервола, или межсетевого экрана Ц в нем всегда есть определенное количество правил: дес€тки, сотни, тыс€чи и иже с ними Ц в зависимости от требований. Ѕольшинство этих правил Ц разрешающие, т.е разрешить такой-то трафик туда-то, а в конце правила Ц все остальное запретить.  ак вы наверное догадались, такой функционал реализуетс€ с помощью ACL (листов контрол€ доступа).“о есть, если трафик или его источник неизвестен Ц ћ—Ё его просто дропнет и все.

IPS в свою очередь повтор€ет историю про определенное количество правил Ц только эти правила в основном запрещающие: заблокировать такую-то проблему безопасности и т.д. “ак что когда по€вл€етс€ пакет, IPS рассматривает свои правила свеху вниз, пыта€сь найти причины дропнуть этот пакет. ¬ конце каждого списка правил стоит скрытое Ђпропускать все остальное, что не попадает под критерии вышеї. “аким образом, в отсутствие повода или известной сигнатуры атаки, IPS просто пропустит трафик.

“о есть ћ—Ё и IPS Ц устройства контрол€. ќни обычно наход€тс€ на периметре сети и след€т\пропускают только то, что соответствует политикам безопасности. » самой логичной причиной использовани€ IPS €вл€етс€ наличие огромного количества известных атак в сети »нтернет Ц и каждое IPS устройство обладает набором сигнатур (типичных признаков атак), которые должны непрерывно обновл€тьс€, чтобы вас не могли взломать с помощью новомодного, но уже известного производител€м »Ѕ средства.


„то такое UTM?

ќчевидна€ мысль о том, что неплохо было бы оба этих устройства поместить в одну железку, породили нечто, называемое UTM Ц Unified Threat Management, где IPS уже встроен в ћ—Ё. Ѕолее того, сейчас в одно устройство очень часто помещаетс€ гигантское количество функций дл€ обеспечени€ безопасности Ц IPS/IDS, защита DNS, защита от угроз нулевого дн€ (с облачной песочницей), возможность осуществлени€ URL фильтрации и многое другое. ¬ случае Cisco и их ћ—Ё ASA/FirePOWER, к примеру, если вы купите просто железку, без подписок Ц вы получите только функционал stateful firewall-а и возможность смотреть в приложени€, то есть распаковывать пакет до 7 уровн€. ј дополнительные возможности, вроде описанных выше Ц станов€тс€ доступными только после покупки подписок.

ќп€ть же, какой бы сладкой не казалась мысль об унифицированной чудо-коробке, котора€ защитит вас от хакеров, нужно признать, что такой дизайн подходит далеко не всем.ќчень часто из-за высокой нагрузки или специфической задачи данные решени€ требуетс€ разносить по отдельным устройствам. ќп€ть же Ц если у вас на периметре будет сто€ть только одно UTM Ц устройство, то это будет самым слабым местом вашей сети, так что всегда нужно думать о резервировании подобных вещей.


„то такое IDS?

≈сли IPS Ц это определенно средство контрол€, то IDS это средство дл€ повышени€ видимости в вашей сети. IDS мониторит трафик в различных точках вашей сети и дает понимание того, насколько хорошо обсто€т дела с точки зрени€ защищенности. ћожно сравнить IDS с анализатором протоколов (всем известный Wireshark) Ц только в этом случае анализ направлен на оценку состо€ни€ безопасности.

¬ руках аналитика по »Ѕ в не очень большой и серьезной организации, IDS обычно служит как бы окном в сеть и может показать следующие вещи:

  • Ќарушени€ политик безопасности Ц например системы или пользователи, которые запускают приложени€, запрещенные политиками компании
  • ѕризнаки заражени€ систем вирусами или тро€нами, которые начинают пытатьс€ захватить полный или частичный контроль дл€ дальнейшего заражени€ и атак
  • –аботающее шпионское ѕќ или кейлоггеры, Ђсливающиеї информацию без уведомлени€ пользовател€
  • Ќекорректно работающие фаерволы или их политики, некорректные настройки и т.д Ц все, что может повли€ть на производительность и целостность сети
  • –аботающие сканеры портов, Ђлевыеї службы DNS и DHCP, внезапные средства дл€ подключени€ к удаленному рабочему столу и пр.

»так: IDS и IPS смогут замечать и предотвращать как автоматизированные вторжени€, так и преднамеренные Ц но вместе они дают вам большую ценность, а именно Ц большую видимость и


„то же купить?

≈сли вы небольша€ организаци€, мы бы посоветовали смотреть в сторону наборов Ђвсе-в-одномї, а именно UTM решений. ќп€ть же, многие вендоры сейчас выпускают гибридные продукты, которые совмещают в себе видимость IDS с возможност€ми контрол€ IPS. /

Ќа вс€кий случай Ц IPS это не то, что один раз настроил и забыл. IPS систему нужно посто€нно тюнинговать, чтобы она была заточена под именно вашу организацию и сеть. ≈сли же этого не сделать, то возможно большое количество ложно-положительных и ложно-отрицательных срабатываний Ц то есть или пострадают какие-нибудь ваши сервисы, или вы пропустите много атак.

ј если говорить про IDS, то важна не Ђкрутостьї и объем собираемых данных, а вид и удобство пользовани€ системой конечным пользователем (скорость навигации через предоставленную IDS ценную информацию быстро и легко) Ц будь то системный администратор или аналитик.

ћы написали эту статью исключительно с целью общего понимани€ что такое IDS, IPS и UTM Ц конечно, есть огромное количество разнообразных типов этих систем и механизмов работы, но мы решили рассказать дл€ начала очень кратко Ц чтобы дальше можно было уже глубже погружатьс€ в подобные материи. » не забывайте, что существует огромное количество бесплатных IPS/IDS решений Ц каждый при должном желании и старании может попробовать скачать, установить и настроить подобное решение дл€ более глубого понимани€ механизмов работы.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: