Для надежной защиты сети необходимы программы обнаружения попыток несанкционированного доступа и превентивные меры. Системы обнаружения несанкционированного доступа (IDS) следят за открытыми портами в сети и отыскивают уязвимые места. Еще шире возможности систем предотвращения несанкционированного доступа (IPS), которые не позволяют злоумышленникам начать атаку.

Существует множество продуктов IDS и IPS, от программ и служб до специализированных устройств. В данном обзоре представлены программные продукты и службы IDS и IPS. Многие решения распространяются бесплатно, что отмечено в прилагаемой таблице.

Чтобы подобрать оптимальный продукт для конкретных условий, обратите внимание на следующие аспекты обнаружения и предотвращения попыток несанкционированного доступа. Затем просмотрите характеристики продуктов в таблице.

Методы обнаружения и предотвращения

Существуют различные методы обнаружения несанкционированного доступа. Наиболее распространенный способ — на основе правил (или сигнатур). В этом случае сигнатура атаки сопоставляется с сетевым трафиком в поисках потенциальных угроз. Среди других методов обнаружения: анализ работы сети, контроль и подготовка отчетов на основе журнала событий, аудит баз данных, сравнение с базовым моментальным снимком, выявление зависимостей в данных и эвристический анализ.

Ввод пользователя и настройка

Выбирая систему IDS/IPS, следует оценить объем необходимых (или возможных) действий со стороны пользователя. Например, функционирует программа автоматически или требуется участие пользователя? Можно ли настроить режимы проверки (действует заранее определенная политика или можно применить правила, подготовленные пользователем)? Важно также учесть частоту обновления программы (автоматическое или по заданному пользователем расписанию). Обновлять продукт можно от одного раза в год до одного раза в час или даже по мере необходимости в реальном времени. Наконец, выполняются проверки непрерывно или только по расписанию? Ради простоты использования выбирают продукт IDS/IPS, не требующий дополнительной настройки, но надежнее точно настроить программу на конкретные условия.

Управление и подготовка отчетов

Даже лучший продукт IDS/IPS бесполезен, если не удается найти собранную им информацию. Обратите внимание на функции централизованного управления, предпочтительно через удобную консоль, которая обеспечивает настройку, мониторинг и подготовку отчетов. Еще один важный критерий — функции подготовки отчетов. Например, отчеты могут быть шаблонными или настраиваемыми и предоставляться в форматах HTML, PDF или электронной почты.

Виртуализация

Во многих компаниях используются технологии виртуализации, поэтому выясните, пригоден ли продукт для работы в виртуализованной среде. Может ли программа выполняться на виртуальной машине (VM)? Обеспечивается ли проверка виртуальных машин? Совместим ли продукт со всеми платформами виртуализации или только с одной?

Полностью учитывая все характеристики средств обнаружения и предотвращения несанкционированного доступа, вы сможете выбрать лучший продукт для конкретного применения. После того как система IDS/IPS установлена и готова к работе, администратор может спать спокойно, зная, что надежно защищен от атаки (по крайней мере, надежнее, чем без системы).

Левон Питерс (lpeters@windowsitpro.com) — cтарший редактор Windows IT Pro и SQL Server Magazine, специализирующийся на вопросах информационной безопасности


Таблица. Обзор программ обнаружения для Windows Server