|
|
@@ -0,0 +1,49 @@
|
|
|
+# Обзор межсетевых экранов систем IPS и IDS
|
|
|
+В последние годы развитие средств информационной безопасности идет параллельно с разработкой новых методов атак. Новое поколение устройств защиты включает в себя функции межсетевого экранирования, обнаружения вторжений, web-фильтрации, потокового антивируса, терминации VPN-подключений и другие. Это поколение является стандартом при построении систем информационной безопасности.
|
|
|
+#### Что такое межсетевой экран
|
|
|
+Межсетевой экран (МЭ, он же брандмауэр или фаервол) — программный или программно-аппаратный комплекс, предназначенный для фильтрации исходящего и входящего сетевого трафика. Функции и алгоритмы МЭ позволяют ему анализировать параметры сетевого соединения, такие как: адрес и порт источника, адрес и порт назначения, используемые протоколы, состояние установленной сессии.
|
|
|
+#### Как работает и для чего нужен
|
|
|
+Межсетевой экран может быть представлен в виде отдельного софта или составляющей приложения. Например, МЭ часто включаются в состав современных средств защиты конечных устройств (EDR). Но чаще всего, межсетевые экраны применяемые для защиты инфраструктуры, реализуются в виде программно-аппаратных комплексов отдельных решений.
|
|
|
+Межсетевые экраны — базовый уровень защиты внутренних сетей, который нужен для:
|
|
|
+- сокрытия структуры внутренней сети от сети «Интернет»;
|
|
|
+- недопущения проникновения в сеть организации небезопасного трафика из недоверенных сетей;
|
|
|
+- отслеживания состояния сессии;
|
|
|
+- блокировки передачи трафика на основе протоколов, источников или приемников, портов отправки и назначения, а также иных параметров.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+#### Что такое IDS
|
|
|
+IDS (Intrusion Detection System, система обнаружения вторжений) — программная или аппаратно-программная система сетевой безопасности, предназначенная для выявления сетевых атак и аномалий. Инструменты IDS могут использоваться отдельно или же в составе межсетевых экранов.
|
|
|
+#### Что делает, от чего защищает
|
|
|
+IDS отслеживает трафик, сравнивая его с собственной базой данных возможных сетевых атак и базовой сетевой активностью. Такой механизм работы позволяет обнаруживать:
|
|
|
+- сетевые атаки;
|
|
|
+- неавторизованный доступ к данным;
|
|
|
+- действия вредоносных скриптов и программ;
|
|
|
+- функционирование сканеров портов;
|
|
|
+- нарушение политик безопасности;
|
|
|
+- обращение к центрам управления бот-сетями и майнинг-пулам;
|
|
|
+- аномальную активность.
|
|
|
+
|
|
|
+#### Что такое IPS
|
|
|
+IPS (Intrusion Prevention System, система предотвращения вторжений) — программная или аппаратная система сетевой безопасности, предназначенная для обнаружения несанкционированных действий и атак, а также автоматизированного противодействия им.
|
|
|
+#### Что делает, от чего защищает
|
|
|
+IPS выполняет сопоставление трафика известным паттернам сетевых атак для выявления:
|
|
|
+- изменения тенденций сетевого трафика;
|
|
|
+- попыток несанкционированного доступа;
|
|
|
+- попыток обращения к небезопасным ресурсам из сети организации.
|
|
|
+
|
|
|
+#### Отличия
|
|
|
+Основное различие систем заключается в методе реагирования на нарушение информационной безопасности. По сути, IDS является инструментом мониторинга: может только распознать опасные действия и предупредить о них. В свою очередь, IPS-система — механизм более широкого применения. Он не только выявляет проблему, но и сразу запускает процессы противодействия ей. Например, сброс соединения или блокировку IP-отправителя.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
u19-23skopcov
