Аббревиатура IPS в области информационной безопасности закреплена за системами и решениями, которые служат для предотвращения нападений (Intrusion Prevention System/Solution, IPS). Под ней подразумевается набор технологий, которые появились на стыке межсетевых экранов и систем обнаружения нападений (Intrusion Detection System, IDS). От межсетевых экранов в IPS взят принцип активного вмешательства в сетевое взаимодействие или поведение программ, а от IDS — интеллектуальные методы мониторинга происходящих событий. Таким образом, IPS не только обнаруживает нападения, но и пытается предотвратить их. В России решения IPS появились уже в составе межсетевых экранов или классических систем IDS. Есть на рынке и специализированные продукты, такие как семейство аппаратных IPS компании NetScreen. Среди продуктов IPS аналитики выделяют пять типов компонентов, каждый из которых выполняет свои функции и может комбинироваться с другими.

Сетевая IDS

Устройство, которое анализирует проходящие через него IP-пакеты, пытаясь найти в них признаки атаки по заранее определенным правилам и сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального и нестандартного использования сетевых протоколов, но и пытаются блокировать все несоответствия. Хотя NIDS и пользуются базой сигнатур известных атак, они также могут предотвратить и неизвестное им нападение, особенно если оно построено на аномальном использовании протоколов.

Коммутаторы седьмого уровня

Сетевые устройства, которые определяют маршруты IP-пакетов в зависимости от типа приложения, называются коммутаторами седьмого уровня (приложений). Их можно использовать для разных целей: создания кластеров, балансировки нагрузки, раздельного хранения данных по типам, а также для защиты. Подозрительные пакеты такие устройства либо просто уничтожают, либо перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS хорошо отражает атаки, направленные на отказ в обслуживании и на совместный взлом нескольких служб.

Экран приложений

Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложения (application firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а в дальнейшем фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер и «переобучать» при изменении конфигурации приложений.

Гибридные коммутаторы

Есть технологии, которые объединяют в себе экраны приложений и коммутаторы седьмого уровня, — это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, вначале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при изменении конфигурации системы.

Ловушки

К категории IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами — гибридным или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты. Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которой хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.

Поделитесь материалом с коллегами и друзьями