Feb 15, 2024
Введение в IPS/IDS/snort
Система обнаружения вторжений ( IDS )
IDS — это решение для пассивного мониторинга для обнаружения возможных вредоносных действий/шаблонов, аномальных инцидентов и нарушений политик. Он отвечает за создание оповещений о каждом подозрительном событии.
Существует два основных типа систем IDS ;
- Система обнаружения вторжений в сеть ( NIDS ) — NIDS контролирует поток трафика из различных областей сети. Целью является исследование трафика во всей подсети. Если подпись идентифицирована, создается оповещение .
- Хост-система обнаружения вторжений ( HIDS ) — HIDS отслеживает поток трафика от одного конечного устройства. Целью является исследование трафика на конкретном устройстве. Если подпись идентифицирована, создается оповещение.
Система предотвращения вторжений ( IPS )
IPS — это активное защитное решение для предотвращения возможных вредоносных действий/шаблонов, аномальных инцидентов и нарушений политик. Он отвечает за остановку/предотвращение/прекращение подозрительного события сразу после его обнаружения.
Существует четыре основных типа систем IPS ;
- Система предотвращения вторжений в сеть ( NIPS ) — NIPS отслеживает поток трафика из различных областей сети. Целью является защита трафика во всей подсети. Если подпись идентифицирована, соединение разрывается.
- Система предотвращения вторжений на основе поведения (анализ поведения сети — NBA ) — системы на основе поведения контролируют поток трафика из различных областей сети. Целью является защита трафика во всей подсети. Если подпись идентифицирована, соединение разрывается.
Система анализа сетевого поведения работает аналогично NIPS . Разница между NIPS и поведенческим подходом заключается в следующем: Системы, основанные на поведении, требуют периода обучения (также известного как «базовый уровень»), чтобы изучить обычный трафик и дифференцировать вредоносный трафик и угрозы. Эта модель обеспечивает более эффективные результаты против новых угроз.
Система обучена распознавать «нормальное» и обнаруживать «ненормальное». Период обучения имеет решающее значение, чтобы избежать ложных срабатываний. В случае любого нарушения безопасности во время периода обучения результаты будут весьма проблематичными. Еще одним важным моментом является обеспечение того, чтобы система была хорошо обучена распознавать безопасные действия.
- Система предотвращения вторжений в беспроводную сеть ( WIPS ) — WIPS контролирует поток трафика из беспроводной сети. Целью является защита беспроводного трафика и предотвращение возможных атак, исходящих оттуда. Если подпись идентифицирована, соединение разрывается.
- Хост-система предотвращения вторжений ( HIPS ) — HIPS активно защищает поток трафика от одного конечного устройства. Целью является исследование трафика на конкретном устройстве. Если подпись идентифицирована, соединение разрывается.
Механизм работы HIPS аналогичен HIDS. Разница между ними заключается в том, что HIDS создает оповещения об угрозах, **а HIPS останавливает угрозы, разрывая соединение.
**
Методы обнаружения/предотвращения
В решениях IDS и IPS используются три основных метода обнаружения и предотвращения ;
| Техника | Подход |
| На основе подписи | Этот метод основан на правилах, которые определяют конкретные закономерности известного вредоносного поведения. Эта модель помогает обнаруживать известные угрозы. |
| На основе поведения | Этот метод идентифицирует новые угрозы с помощью новых шаблонов, которые проходят через сигнатуры. Модель сравнивает известное/нормальное поведение с неизвестным/ненормальным поведением. Эта модель помогает обнаруживать ранее неизвестные или новые угрозы. |
| На основе политики | Этот метод сравнивает обнаруженные действия с конфигурацией системы и политиками безопасности. Эта модель помогает обнаруживать нарушения политики. |
Краткое содержание
Уф! Это была долгая поездка и много информации. Давайте в двух словах суммируем общие функции IDS и IPS.
- IDS может идентифицировать угрозы, но для их устранения требуется помощь пользователя.
- IPS может выявлять и блокировать угрозы с меньшим участием пользователя во время обнаружения.
Snort также может быть встроен для остановки этих пакетов. Snort имеет три основных применения: в качестве анализатора пакетов, такого как tcpdump, в качестве регистратора пакетов, что полезно для отладки сетевого трафика, или его можно использовать в качестве полноценного система предотвращения вторжений в сеть. Snort можно загрузить и настроить как для личного, так и для делового использования » .
SNORT — это основанная на правилах система обнаружения и предотвращения сетевых вторжений с открытым исходным кодом (NIDS/NIPS) . Он был разработан и до сих пор поддерживается Мартином Рошем, участниками открытого исходного кода и командой Cisco Talos.
Возможности Snort;
- Анализ трафика в реальном времени
- Обнаружение атак и зондов
- Регистрация пакетов
- Анализ протокола
- Оповещение в режиме реального времени
- Модули и плагины
- Препроцессоры
- Кроссплатформенная поддержка! ( Линукс и Windows)
Snort имеет три основные модели использования;
- Режим сниффера — читайте IP-пакеты и запрашивайте их в консольном приложении.
- Режим регистрации пакетов — регистрируйте все IP-пакеты (входящие и исходящие), посещающие сеть.
- Режимы NIDS ( система обнаружения сетевых вторжений ) и NIPS ( система предотвращения сетевых вторжений ) — регистрируют/отбрасывают пакеты, которые считаются вредоносными в соответствии с определяемыми пользователем правилами.