|
@@ -1,51 +0,0 @@
|
|
|
-# Обзор межсетевых экранов систем IPS и IDS
|
|
|
|
|
-В последние годы развитие средств информационной безопасности идет параллельно с разработкой новых методов атак. Новое поколение устройств защиты включает в себя функции межсетевого экранирования, обнаружения вторжений, web-фильтрации, потокового антивируса, терминации VPN-подключений и другие. Это поколение является стандартом при построении систем информационной безопасности.
|
|
|
|
|
-#### Что такое межсетевой экран
|
|
|
|
|
-Межсетевой экран (МЭ, он же брандмауэр или фаервол) — программный или программно-аппаратный комплекс, предназначенный для фильтрации исходящего и входящего сетевого трафика. Функции и алгоритмы МЭ позволяют ему анализировать параметры сетевого соединения, такие как: адрес и порт источника, адрес и порт назначения, используемые протоколы, состояние установленной сессии.
|
|
|
|
|
-#### Как работает и для чего нужен
|
|
|
|
|
-Межсетевой экран может быть представлен в виде отдельного софта или составляющей приложения. Например, МЭ часто включаются в состав современных средств защиты конечных устройств (EDR). Но чаще всего, межсетевые экраны применяемые для защиты инфраструктуры, реализуются в виде программно-аппаратных комплексов отдельных решений.
|
|
|
|
|
-Межсетевые экраны — базовый уровень защиты внутренних сетей, который нужен для:
|
|
|
|
|
-- сокрытия структуры внутренней сети от сети «Интернет»;
|
|
|
|
|
-- недопущения проникновения в сеть организации небезопасного трафика из недоверенных сетей;
|
|
|
|
|
-- отслеживания состояния сессии;
|
|
|
|
|
-- блокировки передачи трафика на основе протоколов, источников или приемников, портов отправки и назначения, а также иных параметров.
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-#### Что такое IDS
|
|
|
|
|
-IDS (Intrusion Detection System, система обнаружения вторжений) — программная или аппаратно-программная система сетевой безопасности, предназначенная для выявления сетевых атак и аномалий. Инструменты IDS могут использоваться отдельно или же в составе межсетевых экранов.
|
|
|
|
|
-#### Что делает, от чего защищает
|
|
|
|
|
-IDS отслеживает трафик, сравнивая его с собственной базой данных возможных сетевых атак и базовой сетевой активностью. Такой механизм работы позволяет обнаруживать:
|
|
|
|
|
-- сетевые атаки;
|
|
|
|
|
-- неавторизованный доступ к данным;
|
|
|
|
|
-- действия вредоносных скриптов и программ;
|
|
|
|
|
-- функционирование сканеров портов;
|
|
|
|
|
-- нарушение политик безопасности;
|
|
|
|
|
-- обращение к центрам управления бот-сетями и майнинг-пулам;
|
|
|
|
|
-- аномальную активность.
|
|
|
|
|
-
|
|
|
|
|
-#### Что такое IPS
|
|
|
|
|
-IPS (Intrusion Prevention System, система предотвращения вторжений) — программная или аппаратная система сетевой безопасности, предназначенная для обнаружения несанкционированных действий и атак, а также автоматизированного противодействия им.
|
|
|
|
|
-#### Что делает, от чего защищает
|
|
|
|
|
-IPS выполняет сопоставление трафика известным паттернам сетевых атак для выявления:
|
|
|
|
|
-- изменения тенденций сетевого трафика;
|
|
|
|
|
-- попыток несанкционированного доступа;
|
|
|
|
|
-- попыток обращения к небезопасным ресурсам из сети организации.
|
|
|
|
|
-
|
|
|
|
|
-#### Отличия
|
|
|
|
|
-Основное различие систем заключается в методе реагирования на нарушение информационной безопасности. По сути, IDS является инструментом мониторинга: может только распознать опасные действия и предупредить о них. В свою очередь, IPS-система — механизм более широкого применения. Он не только выявляет проблему, но и сразу запускает процессы противодействия ей. Например, сброс соединения или блокировку IP-отправителя.
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-## Литература
|
|
|
|
|
-https://sbercloud.ru/ru/warp/blog/ips-i-ids-sistemy
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
|
|
-
|
|
|
u19-23skopcov
