Отрасль информационной безопасности находится в состоянии неустанной гонки между угрозами и средствами защиты от них. В наши дни даже мелкие организации не способны эффективно обеспечивать безопасность внутренних сетей при помощи одних только традиционных инструментов: фаерволов и антивирусов. В данной статье речь пойдет про решения класса IPS/IDS, без которых невозможна комплексная защита современной сетевой инфраструктуры. Чтобы исключить подобные проблемы, timeweb.cloud использует инфраструктуру в защищенных дата-центрах.

Проблемы безопасности бизнес-сетей

В корпоративной сети обычно имеются несколько точек доступа к другим сетям. Они могут быть как частными, так и публичными. Главная задача состоит в том, чтобы поддерживать безопасность этих сетей, сохраняя при этом их открытыми для своих пользователей. Сегодня атаки бывают настолько комплексными, что могут помешать самым крутым системам безопасности. Особенно, если они работают, исходя и предположения, что ресурсы организации можно защитить с помощью брандмауэров или шифрования. Например, вредоносное ПО может отправлять пакеты, выглядящие полностью “нормальными” для фаервола. Поэтому одних этих технологий не хватает для противодействия современным угрозам. На первый план выходят так называемые системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS).

Что такое IPS/IDS?

IDS/IPS системы — программные и аппаратные инструменты для защиты сетей от несанкционированного доступа. Они способны автоматически обнаруживать факты вторжений и предотвращать их, оповещая ответственных специалистов. Хотя с технологической точки зрения IDS и IPS очень похожи, задачи и требования к ним совершенно разные, поэтому следует различать эти понятия. Аббревиатура IDS означает Intrusion Detection System, а IPS - Intrusion Prevention System. Соответственно, первая технология производит мониторинг угроз, а вторая занимается их предотвращением.

Отличия IPS/IDS от межсетевых экранов

Начинающему специалисту по информационной безопасности может быть трудно понять, зачем нужны IPS и IDS, когда есть фаервол. Особенно когда они выполняют схожую функцию фильтрации трафика. Однако между этими инструментами существует фундаментальная разница. 

Главная функция межсетевого экрана — контроль доступа на уровне сети. Фаервол указывает, какие компьютеры могут обращаться к участкам сети, основываясь на некотором наборе разрешающих правил. То есть, пропустить определенный трафик, остальное запретить. IPS/IDS в свою очередь работают по обратному принципу — заблокировать проблему безопасности (например какой-либо пакет), все остальное пропустить (в случае отсутствия поводов для подозрений на вторжение).

Помимо концептуального существует и техническое отличие. Фаерволы хорошо работают на 2-4 уровнях модели OSI. Для приемлемой работы на более высоких уровнях у них мало встроенного функционала. Поэтому межсетевые экраны в основном контролируют только параметры сессии: состояние связей, номера портов, IP. IPS и IDS systems позволяют работать на более высоких уровнях, анализируя не только заголовки и их небольшие кусочки, но и содержимое пакетов. А если есть возможность распаковать пакет, то можно проверить передаваемые данные на предмет негативного поведения.

Intrusion Detection System (IDS)

На самом деле технологии IDS не являются чем-то принципиально новым. Средства обнаружения вторжений появились около 30 лет назад. Первые идс были разработаны для операционной системы SINEX (UNIX для систем производства Siemens). Они осуществляли контроль доступа пользователей с терминалов к основным ресурсам мейнфреймов.

Функции IDS

Ответим на вопрос «IDS, что это?» более подробно. IDS - это система обнаружения атак, предназначенная для сканирования сетевого трафика, регистрации подозрительной активности в сети и оповещения при срабатывании определенных правил. Обычно IDS просматривает трафик и журналы, ищет в данных признаки вредоносной активности и в случае атаки уведомляет специалиста по безопасности через управляющую консоль, SMS-сообщение или электронную почту.

IDS умеют регистрировать разнообразные виды атак (DDoS; атаки через Bot C&C и P2P, внедрение SQL инъекций, атаки на сервисы IMAP, POP3, VoIP, SMTP и т.п.) выявлять попытки повышения привилегий и несанкционированного доступа, обнаруживать активность вредоносного софта (черви, трояны, малвари и эксплойты), отслеживать сканирование портов и их открытие.

Важно помнить, что идс - это не средство непосредственного контроля, а инструмент улучшения видимости сети. IDS помогает специалистам по безопасности понять, насколько все хорошо с защищенностью. В этом плане эта технология похожа на анализатор протоколов (например, Wireshark), только в данном контексте речь идет об анализе и оценке безопасности.

Классификация IDS

Системы обнаружения атак бывают самыми разнообразными: аппаратными и программными, опенсорсными и проприетарными. Рассмотрим две классификации, важные при выборе того или иного решения. 

По виду анализируемого трафика IDS делят на:

• основанные на протоколе (PIDS)
• основанные на прикладных протоколах (APIDS)

Первая разновидность мониторит коммуникационные протоколы со связанными пользователями или системами. Второй вид анализирует узкий список прикладных протоколов, специфичных для приложений. Примеры довольно популярных APIDS: PHPIDS, GreenSQL-FW и Mod_Security.

От места расположения в сети IDS разделяют на:

• хостовые (HIDS)
• сетевые (NIDS)

Здесь все более или менее очевидно. HIDS производит мониторинг в пределах единственного хоста, а NIDS - в пределах сетевого сегмента, где она установлена. Сетевые IDS более универсальны, чем прикладные или хостовые. Во многом это достигается благодаря технологии глубокого инспектирования пакетов (DPI), позволяющей анализировать весь трафик от канального уровня и выше. Однако за универсальность приходится платить дополнительной нагрузкой на вычислительные ресурсы.

Существуют и другие разновидности IDS, например VMIDS. Данный тип основан на использовании технологий виртуализации, позволяющей обойтись без развёртывания системы на отдельном устройстве. 

Способы обнаружения вторжений

В технической литературе и статьях, посвященных методам обнаружения вторжений, можно найти два основных метода: обнаружение злоупотреблений (сигнатурные IDS) и обнаружение аномалий (IDS, основанные на аномалиях). 

Обнаружение злоупотреблений

В основе обнаружений злоупотреблений лежит сигнатурный анализ трафика и/или узловых событий (журналы приложений, сисколы) плюс анализаторы протоколов. Если говорить по-простому, данный способ базируется на существовании описания известных атак. Система ищет в реальном трафике и поведении приложений паттерны, которые есть в базе. Подавляющее количество современных систем используют этот подход. Главный плюс такого метода — специалисту понятно, почему IDS среагировала. Если сработала сигнатура на трафик, мы можем взглянуть на ее текст, обратиться к логам системы, базе сигнатур и разобраться, что конкретно произошло. Однако базы нужно всегда поддерживать в актуальном состоянии.

Обнаружение аномалий

Метод обнаружения аномалий работает наоборот. Нам известно, что такое нормальный трафик и нормальное поведение приложений. Система пытается распознать отклонения от этого поведения. Удивительно, но IDS на основе аномалий были первыми и появились около 30 лет назад. В наше время такие системы обучают методами machine learning на примерах нормального функционирования.

Главный недостаток данных IDS - они должны обучаться на нормальных данных. Это означает, что система работает некоторое время в конкретной сети на определенном узле, на котором будут обнаруживаться атаки. Когда случается что-то плохое (система реагирует), аналитику очень сложно понять, почему пакет или сессия посчитались ненормальными. Хорошо, если у нас всего несколько параметров (например объем переданных данных и количество открытых соединений в секунду), по которым распознается нормальное поведение. Задача усложняется, если таких параметров несколько десятков плюс используется какой-нибудь замысловатый алгоритм машинного обучения. Однако есть класс задач, в котором IDS на основе аномалий нет равных — системы обнаружения DDoS атак. Такие системы способны быстро определять источник DDoS атаки, эффективно блокировать атакующий трафик и даже сбрасывать его на стороне провайдера.

Intrusion Prevention System (IPS)

IDS способны лишь уведомить ответственное лицо о нежелательной активности. Специалисту придется самостоятельно перенастроить фаервол во время просмотра отчетов. Но зачастую нужно среагировать в реальном времени, предотвратив вторжение на ранней стадии. Для этого используют уже упоминаемые ипс (системы предотвращения атак). Они способны автоматически пресекать вредоносные действия, например прервать сеанс или перенастроить пакетный фильтр.

Разновидности и функции IPS

Ипс — это одна из разновидностей IDS, так как использует те же методы обнаружения атак. Получается своеобразный гибрид IDS и фаервола. Зачастую IDS и IPS является одним и тем же устройством, которое можно по-разному настроить и подключить в сеть. 

IDS и IPS классифицируют схожим образом. Существуют хостовые IPS (HIPS) и сетевые IPS (NIPS). NIPS предотвращает вторжения путем встраивания “в разрыв” сети и пропускания через себя трафика. Как правила у данного вида имеется внешний интерфейс, принимающий трафик, и внутренний, пропускающий легитимный трафик. 

Также IPS делят на те, которые мониторят трафик и сравнивают его с известными сигнатурами, и те, которые выискивают подозрительный трафик на основе анализаторов протоколов и базе найденных уязвимостях. Второй метод помогает защищаться от еще неизвестных классов атак. Если говорить о способах реакции на вторжения, то основными являются следующие: перенастройка коммуникационного оборудования, блокировка конкретных пользователей и хостов, обрыв сеансов при помощи TCP RST или средствами фаервола.

Резюме

В качестве заключения выделим конкретные задачи, выполняемые IPS/IDS, и сформулируем главные требования к таким системам при выборе того или иного решения. 

Итак, системы обнаружения атак имеют две основные функции. Во-первых, они собирают доказательную базу для расследования инцидентов (например, когда злоумышленник продолжительное время пользуется ресурсами организации). Во-вторых, они производят мониторинг вредоносной активности. Следовательно, основные требования к IDS - это полнота охвата известных эксплойтов и уязвимостей (актуальность базы сигнатур), а также “живучесть” системы, чтобы она постоянна собирала необходимую информацию.

Системы предотвращения атак, в свою очередь, занимаются “нормализацией” трафика, блокированием атак и минимизацией нанесенного ущерба. Требования к IPS немного другие. Во-первых, это надежность, т.е. не должно прерываться функционирование системы. Сбои могут привести к таким неприятным последствия, как обрыв канала и отказ в обслуживании. Во-вторых, это низкий уровень ложных срабатываний.

Если вы задумываетесь о современном многофункциональном решении, то стоит обратить внимание на так называемые устройства UTM. Помимо IPS/IDS они включают все необходимые компоненты защиты: межсетевой экран, прокси-сервер, антиспам- и контент-фильтры, прокси-сервер, антивирус и межсетевой экран.