Эффективные средства защиты сети предприятия
Администраторам, поставившим перед собой цель не допустить непрошеных гостей в свою сеть и на компьютеры, полезно познакомиться с продуктами сравнительно нового класса: системами предотвращения вторжений (Intrusion Prevention Systems, IPS). Эти решения идут на шаг впереди более известных систем обнаружения вторжений (Intrusion Detection Systems, IDS): они не только предупреждают об атаке, но и помогают блокировать ее.
Существует два типа IPS — сетевые и размещаемые на компьютерах (хост-системах). Сетевые IPS подключаются к сети, часто в виде специализированных устройств, и анализируют пакеты, пересылаемые по сети. Хост-IPS располагаются на серверах и рабочих станциях; они анализируют действия приложений и вызовы, направляемые в систему, в поисках чего-либо необычного. Продукты обоих типов блокируют опасные действия. В нашем обзоре представлены хост-системы IPS.
Особенности хост-систем IPS
Сетевые IPS могут останавливать атаки из Internet через брандмауэр. Но они не остановят атак изнутри сети против конкретной сетевой системы. Если существует опасность внутренней атаки, можно попробовать установить хост-IPS на важнейших серверах и других системах. Хост-IPS можно использовать наряду с сетевой IPS для организации многоуровневой защиты.
Большинство хост-IPS в данном обзоре работают как на клиентских, так и на серверных системах Windows. Продукты семейства Proventia компании Internet Security Systems представлены как настольной, так и серверной версией. Некоторые продукты совместимы и с другими операционными системами, такими как Linux и разные версии UNIX.
Для обнаружения и предупреждения атак хост-IPS используют различные методы и комбинации методов. Некоторые из них обнаруживают сигнатуры вирусов и других вредных программ. Для защиты от атак, сигнатуры которых пока отсутствуют, большинство продуктов отслеживают необычное поведение систем, на которых они установлены. Поставщики IPS составляют политики, которые описывают нормальное поведение операционной системы и отдельных приложений. «Ненормальное» поведение активизирует блокирующие механизмы IPS. Пользователи большинства хост-IPS имеют возможность строить специальные политики для приложений или действий, не предусмотренных политиками поставщика. В нескольких продуктах имеются встроенные брандмауэры.
Хост-IPS защищают от вирусов, спама, шпионских программ, «червей», «троянских коней», регистраторов нажатий на клавиши, программ-роботов, переполнений буфера, компонентов наборов сокрытия следов (rootkit) и атак типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS). Некоторые поставщики утверждают, что их продукт защищает всю серверную или клиентскую систему; другие ориентированы на конкретные приложения, такие как Microsoft IIS, Internet Explorer (IE) и Exchange Server.
Большинство поставщиков регулярно обновляют свои продукты. Регулярные обновления особенно важны для продуктов, в которых для обнаружения нападений используется технология сигнатур. Аналогично большинство представленных в обзоре продуктов обеспечивают централизованное управление, полезное, если необходимо развернуть IPS на многих компьютерах.
При выборе хост-IPS важно учитывать характеристики угроз, от которых они защищают, и убедиться, что продукт блокирует нападения тех типов, которые наиболее опасны для компании. Выбирая IPS, работающий с сигнатурами, следует убедиться, что сигнатуры обновляются часто и, если продукт будет установлен на многих компьютерах, имеется простой способ рассылки сигнатур на все компьютеры. Нужно также обратить внимание на удобный интерфейс управления. Необходимы удобное диалоговое окно для правил, назначаемых поставщиком, и подходящий механизм для подготовки собственных правил с указанием действий, разрешенных в системе.
И наконец, следует помнить, что больше — не всегда лучше, когда речь идет о числе предупреждений, выдаваемых IPS. Поставщик может поддаться соблазну ввести дополнительные проверки или политики предупреждения, чтобы искусственно увеличить показатели блокируемых атак или предупреждений.
Перспективный план
Вводу хост-IPS в корпоративную среду должно предшествовать тщательное планирование. Эти продукты не просто предупреждают о потенциальных нападениях, а блокируют их, поэтому, если не проявить осторожности, они могут остановить необходимые процессы и помешать работе пользователей. Покупая любой инструмент, необходимо полностью отдавать себе отчет о выполняемых им действиях и, возможно, осуществить дополнительную настройку для всех или некоторых пользователей, чтобы избавить их от лишних хлопот. Однако хост-IPS могут стать хорошим дополнением к брандмауэру и антивирусной защите, уже установленной в сети и на компьютерах.
Рени Муньши - Старший редактор Windows IT Pro и SQL Server Magazine. rmunshi@windowsitpro.com