2010/05/25 14:35:55

Системы обнаружения и предотвращения вторжений

Системы обнаружения вторжения (intrusion-detection system, IDS) могут предупредить о начале атак на сеть. Существуют также системы предотвращения вторжений (intrusion-prevention systems, IPS), которые не только предупреждают, но и предпринимают меры блокировки атаки (разрыв соединения или выполнения скрипта). Современные программные и аппаратные решения сочетают функциональность двух типов систем, их объединение иногда называют IDPS (IDS и IPS).

IDPS делятся на системы, работающие на уровне сети, на уровне хоста и гибридные. Сетевые IDPS (Network-based IDPS, NIDPS) анализируют сетевой трафик на предмет подозрительной активности. Такие системы имеют доступ ко всему трафику в сегменте и отличаются распределенной архитектурой, обладая сенсорами (программными или аппаратными), которые и отправляют её на консоль управления. Примеры программных решений: Snort, «Форпост», Bro.

Аппаратные решения предлагаются производителями сетевого оборудования, которые встраивают в свои решения модули, отвечающие за обнаружение и предотвращение вторжений. Например, Cisco и Juniper Networks. Check Point, IBM также предлагают подобного рода решения.

Для беспроводных сетей системы защиты включают в себя IDPS в дополнение к встроенному RADIUS-серверу и поддержке 802.1Х, например Check Point VPN-1 Edge Appliance или Cisco Wireless LAN Security Solution.

Существуют комплексные системы, обеспечивающие безопасность, управление и мониторинг беспроводных сетей, состоящих из тысяч узлов, которые включают в себя IDS и IPS. Пример – AirDefense Enterprise от компании AirDefense.

Магический квадрат для NIPS (Gartner, фев. 2008)

Изображение:154849_0001.png


На рынке также представлены т.н. межсетевые экраны следующего поколения (next-generation firewall, NGFW). Это продукты, которые совмещают традиционную функциональность с возможностью предотвращения вторжений. Основной плюс таких решений – уменьшение задержек при обработке трафика, т.к. разбор и обработка пакета производится один раз. IDPS на уровне хоста (Host-based IDPS, HIDPS) отслеживают параметры конкретного узла, такие как журналы приложений и ОС, системные вызовы, изменения на уровне файловой системы. Такие системы позволяют выявить: вредоносное ПО, неавторизованное повышений привилегий, сетевые атаки, нарушенеи целостности файлов. Представители этого класса: AIDE, FCheck, Integrit, Samhain и OSSEC.

См. также

Ссылки