Предотвращение сетевых атак: технологии и решения
Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems
Системы предотвращения атак (IPS) сегодня очень популярны. Они объединяют целый ряд технологий безопасности и достаточно далеко шагнули от своих предков - систем обнаружения вторжений. Тем не менее, некоторые аналитики критикуют IPS за объективные недостатки и даже предсказывают скорую смерть таких систем. Рассмотрению современных технологий предотвращения атак, анализу их сильных и слабых сторон, а также перспектив их существования посвящена данная статья.
Раньше было всего два класса защитных средств, устанавливаемых на периметре, - межсетевые экраны (firewall) и системы обнаружения вторжений (IDS). Межсетевые экраны (далее МСЭ) пропускали трафик через себя, но не "заглядывали" внутрь пересыла емых данных, фокусируясь только на заголовке IP-пакета. Системы IDS (Intrusion Detection System), напротив, анализировали то, что упускалось из виду межсетевыми экранами, но не были способны блокировать атаки, так как трафик через них не проходил. Поэтому на стыке двух технологий родился новый класс защитных средств - системы предотвращения вторжений (IPS).
IPS (Intrusion Prevention System) оказались настолько популярными, что многие производители стали рекламировать свои классические IDS как системы предотвращения атак, то есть IPS. Не меняя сути своих продуктов, но подставив букву P вместо D, эти поставщики открыли для себя новые рынки и новых клиентов. Но признаками настоящей системы IPS эти решения не обладали. Во-первых, IPS функционирует в режиме inline (пропускает трафик через себя) на скорости канала. Другими словами, решение не становится "бутылочным горлышком" и не снижает скорость передачи данных. Во-вторых, система IPS обеспечивает сборку передаваемых пакетов в правильном порядке и анализирует эти пакеты с целью обнаружения следов несанкционированной активности. В-третьих, во время анализа используются различные методы обнаружения атак: сигнатурный и поведенческий, а также идентификация аномалий в протоколах. Наконец, в-четвертых, система IPS в состоянии блокировать вредоносный трафик (но не путем разрыва соединения с помощью команды RESET протокола TCP). Таким образом, чтобы получить систему IPS из IDS, надо сделать не один шаг (заменить букву в названии), а целых четыре - добавить новые технологии и изменить принципы работы решения.
