Обзор межсетевых экранов, систем IPS и IDS

В последние годы развитие средств информационной безопасности идет параллельно с разработкой новых методов атак. Новое поколение устройств защиты включает в себя функции межсетевого экранирования, обнаружения вторжений, web-фильтрации, потокового антивируса, терминации VPN-подключений и другие. Это поколение является стандартом при построении систем информационной безопасности.   

В статье мы подробно разберем использование межсетевых экранов в связке с системами обнаружения (IDS) и предотвращения (IPS) вторжений для защиты инфраструктуры компаний. Вы узнаете, что это такое, как работает и чем отличается.

Межсетевой экран (МЭ, он же брандмауэр или фаервол) — программный или программно-аппаратный комплекс, предназначенный для фильтрации исходящего и входящего сетевого трафика. Функции и алгоритмы МЭ позволяют ему анализировать параметры сетевого соединения, такие как: адрес и порт источника, адрес и порт назначения, используемые протоколы, состояние установленной сессии. 

Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) также способны распознавать трафик конкретных приложений и выполнять инспекцию зашифрованного соединения (SSL/TLS Decription). Таким образом, межсетевой экран обеспечивает защиту от несанкционированного доступа из внешней сети. 

Межсетевой экран может быть представлен в виде отдельного софта или составляющей приложения. Например, МЭ часто включаются в состав современных средств защиты конечных устройств (EDR). Но чаще всего, межсетевые экраны применяемые для защиты инфраструктуры, реализуются в виде программно-аппаратных комплексов отдельных решений. 

Межсетевые экраны — базовый уровень защиты внутренних сетей, который нужен для:

• сокрытия структуры внутренней сети от сети «Интернет»;

• недопущения проникновения в сеть организации небезопасного трафика из недоверенных сетей;

• отслеживания состояния сессии;

• блокировки передачи трафика на основе протоколов, источников или приемников, портов отправки и назначения, а также иных параметров.

Существует недостаток использования только межсетевых экранов для защиты внутренних сетей организации. Он состоит в том, что МЭ не выявляет вредоносный или атакующий трафик, если он соответствует правилам или политикам доступа, реализуемым МЭ. То есть межсетевой экран не может защитить уязвимый сервер, имеющий доступ к интернету, от атаки эксплоита (вредоносной программы), если этот доступ разрешен. Поэтому сейчас функционал МЭ дополняется функционалом целого ряда систем, ключевыми из которых являются IDS или IPS, которые ранее применялись как отдельные решения.

IDS (Intrusion Detection System, система обнаружения вторжений) — программная или аппаратно-программная система сетевой безопасности, предназначенная для выявления сетевых атак и аномалий. Инструменты IDS могут использоваться отдельно или же в составе межсетевых экранов.

IDS отслеживает трафик, сравнивая его с собственной базой данных возможных сетевых атак и базовой сетевой активностью. Такой механизм работы позволяет обнаруживать: 

• сетевые атаки;

• неавторизованный доступ к данным;

• действия вредоносных скриптов и программ;

• функционирование сканеров портов;

• нарушение политик безопасности;

• обращение к центрам управления бот-сетями и майнинг-пулам;

• аномальную активность.

Обнаружить нарушения политик безопасности можно за счет написания своих собственных паттернов детектирования. Это помогает отслеживать определенное поведение в сети.

Важно заметить, что IDS-система не отражает атаки, а только обнаруживает их и уведомляет администратора, помогая найти причину и устранить ее.

IPS (Intrusion Prevention System, система предотвращения вторжений) — программная или аппаратная система сетевой безопасности, предназначенная для обнаружения несанкционированных действий и атак, а также автоматизированного противодействия им. Фактически IPS выступает вторым рубежом защиты, располагающимся за фаерволом или входящим в его состав.

IPS выполняет сопоставление трафика известным паттернам сетевых атак для выявления:

• изменения тенденций сетевого трафика;

• попыток несанкционированного доступа;

• попыток обращения к небезопасным ресурсам из сети организации.

Intrusion Prevention System способна не только выявлять риски на разных уровнях, но и автоматически отвечать на них:

• блокировать небезопасный трафик;

• генерировать событие ИБ для администратора.

Таким образом, IPS является инструментом активной защиты.

Основное различие систем заключается в методе реагирования на нарушение информационной безопасности. По сути, IDS является инструментом мониторинга: может только распознать опасные действия и предупредить о них. В свою очередь, IPS-система — механизм более широкого применения. Он не только выявляет проблему, но и сразу запускает процессы противодействия ей. Например, сброс соединения или блокировку IP-отправителя.

Кроме различия в способе реагирования на атакующий или подозрительный трафик, IPS и IDS отличаются способом установки в инфраструктуре сети и по отношению к сетевому трафику. Если, как правило, IDS системы устанавливаются «сбоку» от сетевых потоков, обрабатывая копию трафика, проходящего через сеть, то IPS обычно устанавливаются «в разрыв» и стоят на проходе трафика через активное сетевое оборудование.       

В этом случае преимущество IDS заключается в следующем. При исчерпании ресурсов, которые имеются у средства защиты для обработки трафика, IDS не будет оказывать влияния на пропуск трафика через сеть. IPS же установленный на проходе обрабатываемого трафика, является узким местом системы защиты. Как дополнительный модуль в составе межсетевого экрана, IPS дает дополнительную нагрузку на оборудование МЭ и в большинстве случаев является частью МЭ нового поколения (Next Generation Firewall, NGFW).

IPS и IDS-системы имеют ряд полезных возможностей:

• Обнаружение по сигнатурам — трафик проверяется на соответствие профилю известных атак (шаблонов). Это позволяет выявить атаки, вредоносные коды, движение ложного трафика и другие риски. Подходит для обнаружения и блокирования известных атак.
  

• Обнаружение на основе аномального поведения в данных — системы могут использовать не только шаблоны, но и распознавать новые (нешаблонные) варианты атак. Как правило, для этого задействуется искусственный интеллект и модели машинного обучения.
  

• Наблюдение за пользователями в реальном времени — алгоритмы собирают данные о трафике и комплексно анализируют его. Это позволяет не только находить проблемы, но и точно идентифицировать их: откуда была угроза, когда и каким способом.
  

Сегодня межсетевые экраны во взаимодействии с IPS и IDS-системами являются одним из ключевых средств обнаружения и защиты от действий злоумышленников. Системы IPS и IDS относительно легко настраиваются, просто управляются и могут обеспечить высокую точность мониторинга сетей.

Между IPS и IDS-системами есть отличия, обусловленные местом интеграции инструментов в цепочку обработки трафика, и особенности, определяющие спектр задач и ограничений. Именно поэтому, функционал межсетевых экранов лучше дополнять функционалом систем IDS и IPS, повышая уровень защиты. 

Любое средство защиты информации требует от администратора глубоких знаний его применения и до сих пор не теряет актуальности. При правильной настройке межсетевые экраны и IPS/IDS могут принести большую пользу для повышения уровня защищенности инфраструктуры организации.    

Для комплексной сетевой защиты корпоративных ресурсов в облаке SberCloud предлагает подключение межсетевого экрана NGFW.

Мы продолжаем обзор решений информационной безопасности в нашей следующей статье о решениях класса UTM, NGFW, NTA.