Введение в IPS/IDS/snort

Система обнаружения вторжений ( IDS )

IDS — это решение для пассивного мониторинга для обнаружения возможных вредоносных действий/шаблонов, аномальных инцидентов и нарушений политик. Он отвечает за создание оповещений о каждом подозрительном событии. 

Существует два основных типа систем IDS ;

  • Система обнаружения вторжений в сеть ( NIDS ) —  NIDS контролирует поток трафика из различных областей сети. Целью является исследование трафика во всей подсети. Если подпись идентифицирована,  создается оповещение .
  • Хост-система обнаружения вторжений ( HIDS ) —  HIDS отслеживает поток трафика от одного конечного устройства. Целью является исследование трафика на конкретном устройстве. Если подпись идентифицирована,  создается оповещение.

Система предотвращения вторжений ( IPS )

IPS — это активное защитное решение для предотвращения возможных вредоносных действий/шаблонов, аномальных инцидентов и нарушений политик. Он отвечает за остановку/предотвращение/прекращение подозрительного события сразу после его обнаружения.

 Существует четыре основных типа систем IPS ;

  • Система предотвращения вторжений в сеть ( NIPS ) —  NIPS отслеживает поток трафика из различных областей сети. Целью является защита трафика во всей подсети. Если подпись идентифицирована, соединение разрывается.
  • Система предотвращения вторжений на основе поведения (анализ поведения сети — NBA ) —  системы на основе поведения контролируют поток трафика из различных областей сети. Целью является защита трафика во всей подсети. Если подпись идентифицирована,  соединение разрывается.

Система анализа сетевого поведения работает аналогично NIPS . Разница между NIPS и поведенческим подходом заключается в следующем: Системы, основанные на поведении, требуют периода обучения (также известного как «базовый уровень»), чтобы изучить обычный трафик и дифференцировать вредоносный трафик и угрозы. Эта модель обеспечивает более эффективные результаты против новых угроз.

Система обучена распознавать «нормальное» и обнаруживать «ненормальное». Период обучения имеет решающее значение, чтобы избежать ложных срабатываний. В случае любого нарушения безопасности во время периода обучения результаты будут весьма проблематичными. Еще одним важным моментом является обеспечение того, чтобы система была хорошо обучена распознавать безопасные действия. 

  • Система предотвращения вторжений в беспроводную сеть ( WIPS ) —  WIPS контролирует поток трафика из беспроводной сети. Целью является защита беспроводного трафика и предотвращение возможных атак, исходящих оттуда. Если подпись идентифицирована, соединение разрывается.
  • Хост-система предотвращения вторжений ( HIPS ) —  HIPS активно защищает поток трафика от одного конечного устройства. Целью является исследование трафика на конкретном устройстве. Если подпись идентифицирована, соединение разрывается.

Механизм работы HIPS аналогичен HIDS. Разница между ними заключается в том, что  HIDS создает оповещения об угрозах, **а HIPS останавливает угрозы, разрывая соединение.
**

Методы обнаружения/предотвращения

В решениях IDS и IPS используются три основных метода обнаружения и предотвращения ;

   
Техника Подход
На основе подписи Этот метод основан на правилах, которые определяют конкретные закономерности известного вредоносного поведения. Эта модель помогает обнаруживать известные угрозы.
На основе поведения Этот метод идентифицирует новые угрозы с помощью новых шаблонов, которые проходят через сигнатуры. Модель сравнивает известное/нормальное поведение с неизвестным/ненормальным поведением. Эта модель помогает обнаруживать ранее неизвестные или новые угрозы.
На основе политики Этот метод сравнивает обнаруженные действия с конфигурацией системы и политиками безопасности. Эта модель помогает обнаруживать нарушения политики.

Краткое содержание

Уф! Это была долгая поездка и много информации. Давайте в двух словах суммируем общие функции IDS и IPS.

  • IDS может идентифицировать угрозы, но для их устранения требуется помощь пользователя.
  • IPS может выявлять и блокировать угрозы с меньшим участием пользователя во время обнаружения.

Snort также может быть встроен для остановки этих пакетов. Snort имеет три основных применения: в качестве анализатора пакетов, такого как tcpdump, в качестве регистратора пакетов, что полезно для отладки сетевого трафика, или его можно использовать в качестве полноценного система предотвращения вторжений в сеть. Snort можно загрузить и настроить как для личного, так и для делового использования » .

SNORT — это  основанная на правилах система   обнаружения и предотвращения сетевых вторжений с  открытым исходным кодом (NIDS/NIPS) . Он был разработан и до сих пор поддерживается Мартином Рошем, участниками открытого исходного кода и командой Cisco Talos. 

Возможности Snort;

  • Анализ трафика в реальном времени
  • Обнаружение атак и зондов
  • Регистрация пакетов
  • Анализ протокола
  • Оповещение в режиме реального времени
  • Модули и плагины
  • Препроцессоры
  • Кроссплатформенная поддержка! ( Линукс  и Windows)

Snort имеет три основные модели использования;

  • Режим сниффера —  читайте IP-пакеты и запрашивайте их в консольном приложении.
  • Режим регистрации пакетов —  регистрируйте все IP-пакеты (входящие и исходящие), посещающие сеть.
  • Режимы NIDS ( система обнаружения сетевых вторжений ) и NIPS ( система предотвращения сетевых вторжений )  — регистрируют/отбрасывают пакеты, которые считаются вредоносными в соответствии с определяемыми пользователем правилами.