IDS против IPS: каковы различия и сходства между системами безопасности?

каковы различия и сходства между системами безопасности Безопасность
На чтение 15 мин Просмотров 94 Опубликовано

Лучший способ защитить сеть или отдельную компьютерную систему — обнаружить атаки на ранней стадии и остановить их до того, как они смогут нанести ущерб. Полезным дополнением к межсетевому экрану являются системы обнаружения и предотвращения вторжений. Мы объясняем, что объединяет и разделяет IDS и IPS.

Прежде чем мы углубимся в более подробную информацию о IDS и IPS, мы кратко представим вам эти две системы. IDS означает систему обнаружения вторжений, то есть систему, которая обнаруживает атаки на клиента или сеть как можно раньше. Если во время анализа IDS обнаруживает необычный трафик данных, он отправляет предупреждение администратору. В IDS проводится различие между методами обнаружения атак на основе хоста и на основе сети. IPS означает «система предотвращения вторжений» и описывает систему, которая не только распознает потенциальные атаки и сообщает о них, но и противодействует им с помощью активных контрмер. IPS также использует хостовые и сетевые датчики для оценки системных данных и сетевых пакетов.

Содержание
  1. IDS против IPS: в чем сходство?
  2. Анализ
  3. База данных
  4. Использование ИИ
  5. Параметры настройки
  6. Автоматизация
  7. Обнаружение и предупреждение об опасностях
  8. Aункция журнала
  9. Сотрудничество с межсетевым экраном
  10. IDS против IPS: в чем разница между этими двумя подходами?
  11. Безопасность
  12. Позиционирование
  13. Разновидность
  14. Независимость
  15. Конфигурация IDS и IPS
  16. Система обнаружения вторжений и система предотвращения вторжений: краткий обзор
  17. Что такое система обнаружения вторжений?
  18. Вот как работают современные системы обнаружения атак
  19. Плюсы и минусы системы обнаружения вторжений
  20. Что такое система предотвращения вторжений?
  21. DenyHosts: простой ответ на грубую силу
  22. Snort: с гибким набором правил для безопасной сети

IDS против IPS: в чем сходство?

Из этого краткого вступления уже понятно, что IDS и IPS не являются полными противоположностями. Есть довольно много факторов, которые связывают эти две системы вместе. Системы обнаружения вторжений и системы предотвращения вторжений имеют следующие общие черты:

Анализ

Во многих случаях методы анализа, используемые обеими системами, почти или полностью совпадают. И IPS, и IDS используют датчики на хосте, в сети или и там, и там для проверки системных данных и пакетов данных в сети и выявления угроз. Для этого они используют определенные параметры, поэтому, обнаруживая отклонения, они часто также идентифицируют безобидные аномалии как таковые. В зависимости от системы анализ проводится с использованием обнаружения неправильного использования или обнаружения аномалий. В результате потенциальные уязвимости также схожи: при обнаружении злоупотреблений неизвестные угрозы могут быть упущены из виду, в то время как обнаружение аномалий чаще сообщает о безвредных пакетах данных.

База данных

Обе системы используют базу данных для обнаружения угроз, которая используется для более быстрого и точного выявления угроз. Чем обширнее оснащена эта библиотека, тем выше вероятность попадания двух систем. По этой причине IDS и IPS следует понимать не как статические устройства, а как изменяемые и адаптивные системы, которые улучшаются посредством обновлений.

Использование ИИ

Одним из факторов, который играет большую роль в сравнении IDS и IPS, является искусственный интеллект. Современные системы используют машинное обучение для улучшения обнаружения угроз и расширения своих баз данных. Таким образом, они лучше понимают новые шаблоны атак, распознают их раньше и в то же время реже сообщают о безобидных пакетах.

Параметры настройки

Обе системы могут быть настроены и адаптированы к потребностям сети или компьютерной системы. Такая конфигурация гарантирует, что процессы не будут нарушены и что все компоненты будут работать бесперебойно, несмотря на мониторинг. Поскольку IDS и IPS сканируют и анализируют данные в режиме реального времени, это также является важным фактором.

Автоматизация

IDS и IPS работают автоматически и автономно. После настройки они не требуют контроля со стороны сотрудников службы безопасности, а выполняют свои задачи по мере необходимости. Обратная связь есть только в случае возникновения опасной ситуации.

Обнаружение и предупреждение об опасностях

Хотя существует несколько факторов, которые отличают IDS от IPS, они имеют одну общую функцию: обе системы не только распознают угрозы, но и немедленно предупреждают администратора. Это предупреждение можно отправить по электронной почте, в виде уведомления на мобильное устройство или непосредственно в качестве системного сигнала тревоги. Ответственные лица имеют возможность принять решение о том, как действовать дальше.

Aункция журнала

И IDS, и IPS имеют важную функцию регистрации. Это позволяет им не только сообщать об угрозах (или бороться с ними), но и добавлять их в собственную базу данных. Это делает его еще сильнее, а потенциальные слабые места выявляются и в идеале закрываются.

Сотрудничество с межсетевым экраном

Несмотря на некоторые различия между IDS и IPS, оба они предназначены для дополнения межсетевого экрана. Все механизмы безопасности должны быть скоординированы, чтобы наилучшим образом защитить систему от атак. Если вы используете только систему обнаружения вторжений или систему предотвращения вторжений, ваша сеть или ваш компьютер недостаточно защищены.

IDS против IPS: в чем разница между этими двумя подходами?

Таким образом, между этими двумя системами есть некоторое сходство. Однако в целом при сравнении IDS и IPS также есть несколько различий. Это самые важные:

Читайте также:  Программа-вымогатель, рекламное ПО и прочее — как защитить себя?

Безопасность

Как упоминалось выше, IDS и IPS отслеживают, сообщают и регистрируют угрозы своим соответствующим системам. Хотя область задач системы обнаружения вторжений на этом этапе исчерпывается, система предотвращения вторжений идет гораздо дальше. IPS — это система активной безопасности, которая автоматически отражает угрозы. Для этого он при необходимости прерывает соединения или останавливает и отбрасывает пакеты данных, если они обнаруживают отклонения. С другой стороны, IDS следует рассматривать как пассивную систему, которая только отслеживает и сообщает о возможных опасностях.

Позиционирование

Возможное позиционирование IDS и IPS также различается: IDS размещается либо на компьютере, либо на границе сети. Там проще всего проверить входящие и исходящие пакеты данных. С другой стороны, IPS расположен за межсетевым экраном. Здесь он может не только сообщить об угрозах, но и пресечь их наилучшим образом.

Разновидность

Хотя оба решения являются хостовыми (HIPS) или сетевыми (NIPS), существуют также решения IPS, которые размещаются в WLAN. Такое выполнение называется WIPS.

Независимость

IPS работают в основном независимо и обычно находят решения для различных сценариев угроз. Хотя IDS также отслеживает пакеты данных без вмешательства извне, если они обнаруживают подозрительную передачу, они не могут действовать самостоятельно. После отправки предупреждения администратор должен самостоятельно принять необходимые контрмеры.

Конфигурация IDS и IPS

IDS обычно работает в режиме онлайн и поэтому не оказывает негативного влияния на производительность сети. Тем не менее, такой способ работы также необходимо учитывать при настройке. Таким образом, IDS может перенаправить обнаруженную угрозу непосредственно на маршрутизатор или межсетевой экран и сообщить об этом администратору. IPS может оказать негативное влияние на производительность сети. Поэтому тем более важно, чтобы система была точно настроена. Если он пропускает опасные пакеты данных, защита больше не гарантируется. Однако если он блокирует передачи, которые сами по себе безвредны, это повлияет на всю сеть.Конец формы

Система обнаружения вторжений и система предотвращения вторжений: краткий обзор

Лучший способ защитить сеть или отдельную компьютерную систему — обнаружить атаки на ранней стадии и остановить их до того, как они смогут нанести ущерб. Для этой цели многие полагаются на так называемые системы обнаружения вторжений (IDS) или более универсальные системы предотвращения вторжений. В этом руководстве вы узнаете, что это за два очень похожих компонента безопасности и как именно они работают.

Что такое система обнаружения вторжений?

Система обнаружения вторжений (IDS) используется для обнаружения атак на компьютерную систему или сеть на ранней стадии. Необходимое программное обеспечение IDS можно установить как на контролируемую систему, так и на отдельное устройство. Многие провайдеры продают предварительно настроенное программное обеспечение IDS, которое стоит относительно дорого. Системы обнаружения вторжений отслеживают и анализируют всю сетевую активность для обнаружения необычного трафика.и информировать пользователя в соответствующем случае. Это дает злоумышленнику возможность отреагировать на попытки доступа злоумышленника и предотвратить атаку. Основное различие проводится между методами обнаружения атак на основе хоста и на основе сети.

Системы обнаружения вторжений на базе хоста

Первые IDS на базе хоста использовались еще в 1980-х годах для защиты централизованных компьютерных структур. Система обнаружения просто устанавливалась на главный компьютер, на котором работали различные подключенные терминалы, а затем отслеживала трафик данных на этом хосте, просматривая файлы журналов, данные ядра и другие системные данные. С развитием терминалов в независимые рабочие станции с собственными вычислительными мощностями возникла необходимость адаптации хост-технологии. Для того, чтобы также проверять отдельные системы, которые теперь работают независимо, на них были установлены специальные модули, в том числе агенты мониторинга называется. Они предварительно фильтровали трафик данных или соответствующие данные аудита и пересылали результаты на центральный сервер, который, в свою очередь, отвечал за обнаружение атак. В силу концептуального решения также говорят о распределенных системах обнаружения вторжений.

Сетевые системы обнаружения вторжений

Растущее объединение локальных сетей с Интернетом потребовало дальнейшего развития технологии IDS. С одной стороны, хост-подход не подходил для гибких и сложных потоков данных в Интернете. С другой стороны, атаки больше не требовали физической близости к целевой системе, а могли осуществляться удаленными клиентами, распределенными по сети. Поскольку несанкционированный доступ из Интернета обязательно происходит через протокол TCP/IP или UDP, сетевые системы больше не проверяют данные аудита, а только IP-пакеты, поэтому они тесно связаны с используемым межсетевым экраном.были спарены. Однако они также представляли собой центральный блок мониторинга, который не ограничивался защитой одной системы, а был способен обследовать весь трафик данных сети.

Читайте также:  Шифрование PGP: как защитить содержимое ваших электронных писем?

Вот как работают современные системы обнаружения атак

Современные системы обнаружения вторжений обычно сочетают в себе оба подхода и, таким образом, обеспечивают еще более высокий уровень обнаружения атак. Эти гибридные системы характеризуются центральной системой управления, которая снабжается соответствующей информацией как через сетевое, так и через хост-программное обеспечение. В процесс признания вовлечены три элементарных компонента:

Мониторинг данных

Перед монитором данных стоит задача сбора и предварительной фильтрации всех важных данных, необходимых для разоблачения злоумышленников. Это уже упомянутые данные аудита, такие как файлы журналов компьютерных систем и приложений безопасности, а также системная информация, такая как, например. Б. загрузка ЦП, количество активных сетевых подключений или количество повторных попыток входа в систему. Кроме того, монитор данных в гибридной системе обнаружения вторжений также использует информацию о соединениях TCP/IP, такую ​​как адрес источника и назначения, а также другие свойства отправленных и полученных пакетов данных, которые он получает от сетевого датчика IDS..

Анализ

Монитор данных отправляет собранный и предварительно отфильтрованный поток данных в так называемый анализатор. Последний должен обрабатывать и оценивать полученную информацию в режиме реального времени — иначе предотвратить попытки проникновения будет невозможно. Следовательно, процесс анализа предъявляет относительно высокие требования к базовому оборудованию (ЦП и основной памяти). В частности, в крупных корпоративных сетях соответствующее масштабирование этого компонента IDS является одной из самых сложных, но в то же время и одной из самых важных задач для обеспечения функциональности системы обнаружения атак. Анализатор может использовать два разных метода для оценки данных:

  • При обнаружении злоупотреблений анализатор пытается распознать в полученных данных известные шаблоны атак, так называемые сигнатуры. Они хранятся в отдельной базе данных, которая регулярно обновляется. Записи базы данных также передают информацию о серьезности атаки для каждой сигнатуры. Хотя известные шаблоны атак можно четко идентифицировать и оценить таким образом, шаблон доступа, который не хранится в базе данных сигнатур, остается скрытым от этого метода обнаружения.
  • Обнаружение аномалий основано на другом принципе: этот метод анализа предполагает, что несанкционированный доступ вызывает ненормальное поведение системы и отклоняется от ранее определенных стандартных значений. Например, анализатор можно настроить на оповещение, когда загрузка ЦП или скорость просмотра страниц превышает определенное значение (статический подход). Альтернативно он может включить в свою оценку и хронологическую последовательность событий (логический подход). Хотя обнаружение аномалий может обнаружить новые и неизвестные атаки, этот метод активного обнаружения генерирует их.в некоторых случаях также предупреждает о необычном состоянии системы, которое не связано с действиями злоумышленника.

Передача результатов

На последнем этапе система обнаружения вторжений информирует сетевого администратора, если была обнаружена атака или обнаружено подозрительное поведение системы. В зависимости от потенциального риска существуют различные варианты формы уведомления. Например, система защиты может

  • отправьте электронное письмо с объяснением характера атаки,
  • вызвать локальную тревогу, например всплывающее окно в консоли безопасности,
  • или отправьте тревожное сообщение на мобильное устройство.

При обнаружении аномалий степень опасности определяется степенью отклонения от соответствующего стандартного значения, а процесс обнаружения злоупотреблений, как уже упоминалось, получает рекомендацию по классификации из базы данных сигнатур.

Плюсы и минусы системы обнаружения вторжений

Благодаря своим универсальным технологиям системы обнаружения вторжений могут обнаруживать атаки, которые остаются скрытыми обычным межсетевым экраном. Они анализируют пакеты данных вплоть до самого высокого уровня модели OSI и, таким образом, также целенаправленно отслеживают отдельные запущенные приложения. Благодаря их подходу системы обнаружения аномалий также могут обнаруживать новые и гибкие шаблоны атак и тем самым повышать безопасность сети. Однако ни в коем случае не следует заблуждаться, рассматривая IDS как замену межсетевого экрана, поскольку только сочетание обоих компонентов безопасности обеспечивает адекватную защиту.

Однако, поскольку системы обнаружения вторжений являются активными компонентами сети, они также представляют собой потенциальную цель атаки, особенно если злоумышленник знает об их существовании. Благодаря своей восприимчивости к DoS-атакам, то есть целенаправленной перегрузке, он часто может отключить программное обеспечение IDS за очень короткое время. Кроме того, злоумышленник также может воспользоваться функцией автоматического уведомления систем обнаружения атак, чтобы начать DoS-атаки из IDS. Обнаружение аномалий, в частности, представляет собой основное слабое место в случае неправильной конфигурации.Если настройки слишком чувствительны, количество тревожных сообщений относительно велико, даже без попыток несанкционированного доступа.

Читайте также:  Вредоносное ПО: как обнаружить, удалить и предотвратить вредоносное ПО?

В любом случае вам придется взвесить затраты или усилия и преимущества этих систем безопасности, поскольку вам нужно не только программное обеспечение IDS, но и подходящая аппаратная среда. И даже если существуют мощные решения с открытым исходным кодом, такие как сетевой Snort, хостовый Samhain или гибридная Suricata, вы не избавлены от правильной установки, настройки и обслуживания.

Что такое система предотвращения вторжений?

Как следует из названия, системы предотвращения вторжений (IPS), которые можно свободно перевести на немецкий язык как системы предотвращения атак, идут на шаг дальше, чем системы обнаружения вторжений: после того, как они идентифицируют потенциальную атаку, они не только информируют администратора, но и направляют его. немедленно принять соответствующие контрмеры. Таким образом они избегают проблемы слишком большого временного интервала между обнаружением и подавлением злоумышленника, которая может возникнуть при использовании программ IDS. Что касается используемых методов анализа, то между двумя механизмами защиты сети принципиально нет разницы.. Как и IDS, сегодняшняя IPS использует датчики на базе хоста и сети, чтобы иметь возможность регистрировать и оценивать как системные данные, так и сетевые пакеты.

Как правило, система предотвращения вторжений должна иметь возможность индивидуальной настройки, чтобы обычные действия пользователя не классифицировались как опасность и не блокировались посредством обнаружения аномалий. Это обстоятельство гарантирует, что вы можете реализовать как системы предотвращения, так и обнаружения вторжений со многими программами и, таким образом, в принципе можете выбирать между активной блокировкой и чистым наблюдением — например, с уже упомянутыми приложениями с открытым исходным кодом Snort и Suricata. Поэтому возможна система, сочетающая оба подхода или использование двух отдельных систем. В пользу последнего варианта говорит тот факт, что фильтрацию и блокировку можно разделить между разными аппаратными средами.

Объем используемого программного обеспечения IPS может сильно различаться, о чем свидетельствует представленный в конце пример двух бесплатных программ DenyHosts и Snort.

DenyHosts: простой ответ на грубую силу

Используя инструмент DenyHosts, написанный на Python, вы можете настроить систему предотвращения вторжений на базе хоста для ваших SSH/SSHD-соединений, которая обнаруживает и предотвращает атаки методом перебора. Для этой цели приложение с открытым исходным кодом проверяет записи в журнале аутентификации на наличие новых неудачных попыток входа в систему SSH. Если количество неудачных попыток, предпринятых с одного IP-адреса, превышает определенное пользователем число, DenyHosts заблокирует этот IP-адрес и занесет его в черный список. Таким образом, злоумышленник не сможет войти в систему в будущем, если будет использовать тот же адрес.

Единственными требованиями для использования являются Unix-подобная операционная система и язык сценариев Python, включая модуль ipaddr, которые по умолчанию включены в большинство дистрибутивов. Текущие версии инструмента IPS можно найти в официальном репозитории DenyHosts на GitHub. Возможная альтернатива — очень похожее приложение безопасности Fail2ban.

Snort: с гибким набором правил для безопасной сети

Программист Мартин Рош опубликовал инструмент безопасности Snort еще в 1998 году — первоначально только в версии для Unix. С 2013 года компания Cisco Systems отвечает за дальнейшее развитие программы, которая теперь подлежит лицензии GPL и теперь является кроссплатформенной. Американская компания предлагает различные модели коммерческой подписки на инструмент, который остается бесплатным.которые предоставляют частным лицам или компаниям, среди прочего, более быстрое обновление правил и дополнительную поддержку пользователей. Snort предоставляет необходимые функции для создания мощных сетевых систем предотвращения вторжений. Однако вы также можете настроить программное обеспечение так, чтобы оно контролировало только соответствующие компоненты и, таким образом, служило основой для системы обнаружения вторжений.

Snort проверяет сетевой трафик в режиме реального времени и использует для анализа механизм обнаружения злоупотреблений BASE. Поэтому он сравнивает входящие и исходящие пакеты данных с записями сигнатур, которые в Snort называются правилами. Cisco Systems регулярно дополняет этот набор правил вновь обнаруженными шаблонами атак, благодаря чему платные клиенты получают обновления быстрее — в рамках уже упомянутых моделей подписки. Однако вы также можете определить свои собственные правила и таким образом улучшить возможности обнаружения вашей системы Snort. Для получения дополнительной информации об использовании Snort бесплатно или в коммерческих целях посетите домашнюю страницу Snort.

Оцените статью
Блог о программировании
Добавить комментарий

© 2026 Блог о программировании
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.