IDS/IPS: обнаружение и предотвращение вторжений

IDS (Intrusion Detection System — система обнаружения вторжений) и IPS (Intrusion Prevention System — система предотвращения вторжений) — это средства защиты, которые анализируют сетевой трафик на признаки атак. IDS обнаруживает угрозу и оповещает о ней, IPS дополнительно блокирует её в реальном времени.

В чём разница: обнаружение против предотвращения

Разница между IDS и IPS — в том, что система делает после обнаружения атаки.

IDS работает в режиме наблюдателя. Она получает копию трафика (через зеркалирование порта или сетевой ответвитель), анализирует его и, обнаружив атаку, формирует оповещение для администратора. Сам трафик при этом не задерживается — IDS не стоит «в разрыве» сети, поэтому не может ничего заблокировать. Её задача — видеть и сигнализировать.

IPS работает в разрыве трафика. Весь поток проходит через неё, и при обнаружении атаки она может немедленно сбросить вредоносное соединение, отбросить опасные пакеты, заблокировать источник. IPS не только видит атаку, но и останавливает её до того, как она достигнет цели.

Аналогия: IDS — это камера видеонаблюдения с охранником, который звонит и говорит «к вам лезут». IPS — это автоматический турникет, который сам закрывается перед нарушителем. У каждой роли своё применение: IDS даёт видимость без риска повлиять на трафик, IPS даёт активную защиту ценой того, что находится в критическом пути сети.

Как они обнаруживают атаки

И IDS, и IPS используют, как правило, два подхода, чаще в комбинации:

• Сигнатурный анализ — сравнение трафика с базой известных шаблонов атак (сигнатур). Точно ловит известные угрозы, но бессилен против новых, ещё не описанных. Требует регулярного обновления базы сигнатур — устаревшая база резко снижает эффективность.
• Анализ аномалий — система строит модель «нормального» поведения сети и отмечает отклонения: необычный объём трафика, нетипичные соединения, сканирование портов. Может обнаружить ранее неизвестную атаку, но чаще даёт ложные срабатывания и требует настройки под конкретную сеть.

Главная эксплуатационная проблема IPS — баланс между защитой и ложными срабатываниями. Слишком агрессивные правила начнут блокировать легитимный трафик, слишком мягкие пропустят атаку. Поэтому IPS почти всегда сначала запускают в режиме мониторинга (как IDS), смотрят, что бы он заблокировал, отлаживают правила и только потом включают активную блокировку.

IDS/IPS и NGFW: где граница

Сегодня отдельные «коробки IDS/IPS» в чистом виде встречаются всё реже — функция IPS чаще всего встроена в NGFW (межсетевой экран нового поколения). То есть IPS становится одним из модулей шлюза безопасности наряду с контролем приложений, веб-фильтрацией и антивирусом.

Это удобно: один узел делает несколько задач, политики управляются из одного места. Но важно помнить о цене вопроса — включение IPS-инспекции снижает пропускную способность NGFW, поэтому при выборе устройства нужно смотреть на производительность именно с включённым IPS, а не на «голую» цифру firewall. Об этом мы подробно писали в материале про выбор NGFW.

Отдельные IDS/IPS-решения всё ещё применяют там, где нужна максимальная видимость без влияния на трафик (IDS на зеркале), или в крупных сетях, где инспекция вторжений выделена в отдельный высокопроизводительный узел.

Место IDS/IPS в защите

IDS/IPS закрывает сетевой уровень — атаки, идущие по сети к вашим серверам и сервисам. Это один слой эшелонированной обороны, который работает в связке с другими:

• на границе сети — NGFW с встроенным IPS фильтрует входящий и исходящий трафик;
• на конечных точках — EDR/XDR ловит то, что добралось до компьютеров и серверов;
• над всем этим — система сбора и корреляции событий SIEM, которая собирает оповещения IDS/IPS, NGFW и EDR в единую картину инцидента.

Сами по себе оповещения IDS/IPS ценны только тогда, когда их кто-то разбирает. Поток сработок без аналитика, который отделяет реальные атаки от ложных, быстро превращается в шум, который перестают читать.

Наша роль

«Кибер Авангард» внедряет и обслуживает IDS/IPS — как отдельные системы, так и в составе NGFW — в рамках IT-аутсорсинга и услуг информационной безопасности. Мы настраиваем правила под вашу сеть, запускаем IPS через режим мониторинга, чтобы не заблокировать рабочий трафик, обновляем сигнатуры и, главное, разбираем оповещения в рамках мониторинга, отделяя реальные инциденты от ложных срабатываний.

Связанные термины

• NGFW — межсетевой экран нового поколения, в который обычно встроен IPS
• EDR/XDR — защита и реагирование на конечных точках, дополняющая сетевой IPS
• SIEM — сбор и корреляция событий безопасности, в том числе от IDS/IPS

Эта статья — часть разбора корпоративной защиты вместе с материалом NGFW в России: чем заменить Fortinet и Palo Alto.