Системы предотвращения вторжений
30th Май 2013 автор adminНе так давно существовало всего два вида защиты, которые устанавливались на периметре – это системы обнаружения вторжений или IDS и межсетевые экраны или Firewall. Firewall пропускал через себя трафик, но внутрь данных не заглядывали, а IDS наоборот, анализировали то, что межсетевые экраны из виду упускали, но не пропускали через себя трафик, а значит не могли блокировать атаки.
И вот, на основании этих двух технологий родился новейший класс средств защиты, так называемые системы предотвращения вторжений или IPS. IPS стали очень популярными, и многие производители начали рекламировать свои обычные IDS как IPS, не меняя при этом сути – менялась только буква в названии.
Системы предотвращения атак функционируют в режиме inline, пропуская через себя траффик на скорости канала. Кроме этого, IPS собирает передаваемые пакеты в правильном пакете и анализирует их для того, чтобы найти следы несанкционированной активности. Во время анализа используются поведенческий и сигнатурный методы обнаружения атак, а в протоколах идентифицируются аномалии. IPS могут блокировать поступление вредоносного трафика. Современные системы предотвращения атак развивались сразу в нескольких направления. Некоторые производители оснастили свои IDS более эффективными механизмами направленными на предотвращение атак. В системах IDS ранее использовалась простая посылка пакетов ТСР с флажком RST или же реконфигурация сетевого оборудования и межсетевых экранов.
Подобная защита имела 30% эффективность, так как трафик через устройство не проходил, и оно не могло реагировать в реальном времени на вредоносный трафик. Но производители нашли решение – они поместили систему IDS между незащищенными и защищенными ресурсами. Так появились системы названные inline-IDS, которые были переименованы позже в IPS. По такому пути пошли такие компании как Cisco, ISS, NFR, Sourcefire.
Рубрика: Способы защиты информации |