Системи запобігання вторгненням (IPS-системи).
Захист комп'ютера від несанкціонованого доступу.

Системи запобігання вторгненням– активні засоби інформаційного захисту, які не лише виявляють, а й захищають від вторгнень та порушень безпеки. Для таких систем традиційно використовується абревіатура IPS (від англ. Intrusion Prevention System – система запобігання вторгненням). IPS-системи є покращеною версією систем виявлення вторгнень, у яких реалізується функціонал автоматичного захисту від кіберзагроз. Системи запобігання вторгнень здатні виявляти шкідливу активність, посилати сигнали адміністратору, блокувати підозрілі процеси, розривати або блокувати мережне з'єднання, яким йде атака на сховища даних або сервіси. Також IPS можуть виконувати дефрагментацію пакетів, переупорядкування пакетів TCP для захисту від пакетів із зміненими SEQ та ACK номерами.

Найбільшого поширення на сьогоднішній день набув такий тип систем запобігання вторгненням, як HIPS(Від англ. Host-based Intrusion Prevention System - система запобігання вторгненням на рівні хоста). Технологія HIPS є основою продуктів і систем безпеки, крім того елементи HIPS-захисту стали використовувати традиційні засоби боротьби зі шкідливим ПЗ – наприклад, антивірусні програми.

Якщо говорити про переваги систем запобігання вторгненням типу HIPS, то головним, безперечно, є виключно високий рівень захисту. Експерти з інформаційної безпеки сходяться на думці, що системи HIPS здатні дати практично 100% захист від будь-якого, навіть найновішого, шкідливого програмного забезпечення, а також будь-яких спроб несанкціонованого доступу до конфіденційної інформації. Це захист, який чудово виконує свою головну функцію – захищати. Жоден традиційний засіб інформаційної безпеки не здатний похвалитися таким рівнем захисту.

Інструменти та методики HIPS лежать в основі засобів інформаційної безпеки компанії SafenSoft. У наших продуктах поєднуються всі переваги систем запобігання вторгненням та традиційним засобам захисту. Проактивний захист SoftControl запобігає будь-яким спробам несанкціонованого доступу до даних та програмного середовища домашніх ПК (продукти SysWatch Personal та SysWatch Deluxe), робочих станцій корпоративних мереж (комплекс Enterprise Suite), банкоматів та платіжних терміналів (TPSecure та TPSecure Teller). Наша запатентована технологія контролю додатків V.I.P.O.® об'єднує в собі 3 рівні захисту: контролює всі програми, що виконуються, використовує динамічну пісочницю для запуску підозрілих процесів і керує доступом додатків до файлової системи, ключів реєстру, зовнішніх пристроїв і мережевих ресурсів. Рішення SoftControl здатні працювати паралельно з антивірусними пакетами, забезпечуючи повний захист програмного середовища комп'ютера. При роботі в локальній мережі продукти SoftControl мають зручне централізоване управління та систему оповіщення адміністратора про погрози. На відміну від традиційних засобів захисту, рішення SoftControl не потребують постійних оновлень баз даних сигнатур.

на сайті компанії Бюро ESG та в журналі «САПР та графіка». І.Фертман – голова ради директорів Бюро ESG,
О.Тучков – технічний директор Бюро ESG, к.т.н.,
О.Риндин – заступник комерційного директора Бюро ESG.

У своїх статтях співробітники бюро ESG неодноразово висвітлювали тему інформаційного забезпечення різних стадій життєвого циклу виробів. Час вносить свої корективи, спричинені постійним розвитком інформаційних технологій та необхідністю модернізації впроваджених рішень. З іншого боку, зараз явно простежується тенденція до використання програмного інструментарію, який відповідає вимогам вітчизняної нормативної бази та прийнятим у нас у країні виробничим процесам. Саме ці реалії, а також набутий досвід автоматизації діяльності проектних підприємств спонукали нас написати цю статтю.

Сучасний стан автоматизації конструкторської діяльності, виробництва та інформаційної підтримки наступних стадій ЖЦ виробів

Компанія Бюро ESG має великий досвід проведення робіт з впровадження систем електронного архіву, PDM, PLM, систем управління інженерними даними в різних галузях: суднобудуванні (ВАТ «Балтійський завод» - Рособоронекспорт, ВАТ «Севмаш», ЗАТ «ЦНДІ Суднового машинобудування»), машинобудуванні (ВАТ СПб «Червоний Жовтень»), промисловому та цивільному будівництві (ПФ «Союзпроектверф», ВАТ «Діпроспецгаз»), атомної галузі (ВАТ «Атомпроект», ВАТ «Росзалдорпроект») та на багатьох інших підприємствах та організаціях, перерахування яких не входить у цілі та завдання статті.

Підкреслимо, що застосування проводилися з урахуванням використання різноманітних програмних систем: TDMS, Search, SmartPlant Fondation, Autodesk Vault та інших, зокрема власної розробки. Використання того чи іншого програмного середовища обумовлено галуззю, завданнями, що стоять, та іншими факторами. Саме великий досвід, накопичений Бюро ESG за перерахованими напрямками, дозволяє нам описати загальну картину застосування систем електронних архівів, систем документообігу PDM і PLM на російських підприємствах.

Сучасну конструкторську, виробничу діяльність, підтримку експлуатації, модернізації та утилізації виробів неможливо уявити без використання різноманітних автоматизованих систем: CAD (САПР), CAM, PDM, систем технологічної підготовки виробництва, PLM-систем. Загальну картину ілюструє рис. 1.

Мал. 1. Загальна картина автоматизації

Як правило, всі перераховані і не перераховані засоби автоматизації присутні лише певною мірою, частіше на початкових стадіях ЖЦ виробів - конструкторської діяльності та виробництва. На наступних же стадіях ЖЦ рівень інформаційної підтримки процесів іноді вкрай низький. Наведемо лише деякі характерні для автоматизованих стадій ЖЦ приклади, що ілюструють реальну картину.

Заяви про «впровадження PDM або PLM-технологій» на практиці часто виявляються лише впровадженням системи електронного архіву та документообігу КД та ТД, TDM і не більше. Причини:

• «гра слів» - це коли для створення функціоналу електронного архіву та документообігу КД і ТД використана дорога PDM-система (що часто трактується як «впровадження PDM-технології», хоча такого немає, є лише впровадження електронного архіву та/або TDM з використанням ПЗ - PDM -Системи);
• підміна понять - коли в назві програмного засобу є абревіатура «PDM» або «PLM», але система за родом розв'язуваних задач не є такою і, знову ж таки, у кращому випадку вирішує два завдання, але частіше одне з двох:
• управління роботою конструкторів на рівні документів, а іноді й 3D-моделей,
• управління електронним архівом КД та ТД.

Наведемо приклад: досвід компанії Бюро ESG, що включає роботи зі створення макета інформаційної моделі військового корабля, показав, що на стадії ЖЦ експлуатації найважливіша, на жаль, не інформація проектанта та будівельника, а експлуатаційна документація, інтерактивні електронні технічні посібники (ІЕТР). Вкрай необхідна на стадії ЗЦ експлуатації логістична підтримка, що дозволяє в найкоротші терміни поповнити ЗІП. Дуже часто жодна система, що позиціонується виробником як PLM, не вирішує «за умовчанням» завдань експлуатації, хоча, не заперечуватимемо, така система цілком може бути використана при відповідних доопрацюваннях, наприклад, і для вирішення питань логістики. Зауважимо, що щодо ефективності та витраченої на доопрацювання трудомісткості такий підхід еквівалентний використанню бухгалтерської чи ERP-системи для управління конструкторською діяльністю чи текстового редактора для розробки конструкторських креслень.

Намагаючись бути об'єктивними в оцінках, не будемо далі згущувати фарби, а лише зауважимо:

• сучасна автоматизація конструкторської діяльності, виробництва, підтримки наступних стадій ЖЦ виробів часто включає лише елементи PDM та PLM;
• нерідко застосування PDM і PLM- лише створення електронного архіву і документообігу КД і ТД;
• говорити про повне впровадження технології PLM для всіх стадій життєвого циклу виробу передчасно.

Причини переходу на нову платформу

Незважаючи на висновки попереднього розділу статті, зазначимо, що дуже часто на підприємстві, де впроваджено електронний архів, конструкторський документообіг, автоматизована система технологічної підготовки виробництва, елементи PDM/PLM, робота без впроваджених коштів вже не є можливою. Це - основний показник застосування. У роботі нашої компанії був випадок, коли при збоях, що сталися в ЛОМ Замовника не з нашої вини, став недоступний сервер електронного архіву одного машинобудівного підприємства. Час від першого збою до першого дзвінка з підприємства до нашого офісу спеціалістам з техпідтримки становив менше хвилини. При цьому всі емоційні заяви об'єднувало одну – «без доступу до БД підприємство не може працювати». На наш погляд, це найбільш вагомий практичний показник, який перевершив усі теоретичні викладки.

Причини переходу до нових технологій та платформ, а також розширення впровадженого функціоналу можна віднести до кількох груп.

Розвиток технологій та засобів проектування

Один із важливих факторів переходу до нових технологій, програмних рішень та розширення впровадженого функціоналу системи конструкторського документообігу, автоматизованої системи технологічної підготовки виробництва, елементів PDM/PLM на стадіях роботи конструкторів та виробництва – поява засобів тривимірного проектування та законодавчої бази, що визначає роботу з електронними моделями.

Як уже говорилося, в більшості випадків «впровадження PDM і PLM» йдеться про TDM, електронний архів та документообіг КД і ТД. Такі рішення (незалежно від середовища, в якому вони будувалися) на практиці, як правило, працюють із двовимірними КД та ТД. Історично на більшості підприємств, де реалізовані подібні впровадження, у нові системи часто «перекочували» принципи та підходи роботи з двовимірною конструкторською та технологічною документацією з деякими «модернізаціями» для електронних двовимірних документів. Наприклад, згідно з ГОСТ 2.501-2006 зміни до електронних документів вносяться до нової версії. ГОСТ 2.503-90, що описує внесення змін «на папері», допускає вносити зміни безпосередньо до креслення (закреслюванням, підчисткою (змивкою), зафарбовуванням білим кольором, введенням нових даних) чи створювати нові документи, їх аркуші із заміною вихідних, по суті – створювати версії. Приклад ілюструє, що «модернізації» не такі істотні, а порядок роботи з двовимірним електронним документом практично повторює роботу «з папером».

Та й самі засоби електронного архіву та документообігу КД та ТД, успішно впроваджені свого часу, дуже часто просто не підтримують підходи до роботи з 3D-моделлю, а впроваджена раніше інформаційна система, як правило, застаріла та не містить сучасних механізмів інтеграції, що дозволяють провести ефективне доопрацювання.

Інтеграція та оптимізація виробничих процесів

Наступний чинник – інтеграція та оптимізація виробничих процесів. Дуже часто наші замовники відчувають законне бажання максимально автоматизувати весь виробничий ланцюжок. Наприклад, цілком логічно, що для написання техпроцесів технологу корисно мати доступ до результатів роботи конструктора. Безсумнівно, хотілося б мати якесь єдине інтегроване середовище, причому, зовсім не важливо, як побудовано таке середовище - у межах однієї чи кількох систем. Головне – наскрізна передача даних між учасниками виробничих процесів, використання та підтримка актуальної інформації.

Створення інтегрованих територіально рознесених середовищ

Дуже часто впроваджені раніше системи не містять необхідного функціоналу, а вбудовані засоби його розширення не дозволяють досягти бажаного - розширити функціонал або організувати необхідну інтеграційну взаємодію з іншими системами. Часто КБ та виробництва територіально рознесені. Іноді існуючі кошти не відповідають сучасним уявленням про ефективну автоматизацію. Наприклад, обмінюватись інформацією між системами в суднобудуванні застосовуються файли обміну (транспортні масиви). Нерідко засобом організації інтеграційної взаємодії є лише COM-технологія. При цьому сучасні системи дозволяють ефективно організувати територіально розподілені БД, роботу з інженерними даними, обмін ними між віддаленими КБ, КБ та виробництвом.

Економічні причини

Безперечно, в будь-яких умовах економічна складова переходу до використання нових платформ не нова, але сьогодні має дві основні складові:

• вкладення у нову платформу мають принести економічний ефект;
• замовники висловлюють бажання знизити вкладення та не залежати у низці галузей від зарубіжних виробників.

Система IPS

З низки причин ми не зупинятимемося на відомих західних засобах автоматизації. У цьому розділі ми намагатимемося перерахувати рішення: системи електронного конструкторського архіву, документообігу, PDM, PLM, реально адаптовані до вітчизняних процесів, чинної нормативної бази РФ для КБ та виробництва, з одного боку, і враховують сучасний стан та наявність систем автоматизації проектування, СУБД, мережевого обладнання та взаємодії, з іншого боку. З наведеним застереженням, вибір, на жаль, не такий великий - можливо, хтось аргументовано заперечить (за що ми заздалегідь вдячні), але на вітчизняному ринку проглядаються лише три рішення:

• система IPS виробництва компанії "Інтермех";
• система ЛОЦМАН: PLM виробництва компанії «Аскон»;
• система T Flex виробництва компанії «Топ Системи».

Метою статті є не формалізоване порівняння цих трьох систем за принципом «наявності чи відсутності» тієї чи іншої функції. Наш досвід показує, що в більшості випадків подібний підхід є дуже суб'єктивним і некоректним. У зв'язку з цим ми обмежимося описом лише однієї системи IPS.

Загальний функціонал

Система є модульним рішенням, що автоматизує конструкторські та виробничі завдання -групову роботу конструкторів, конструкторський документообіг, реалізацію системи електронного архіву, ведення технологічної підготовки виробництва, організацію інтеграційної взаємодії з іншими системами Підприємства.

Загальна структура системи IPS наведено на рис. 2.

Мал. 2. Загальна структура IPS

Гетерогенність середовища IPS

Не секрет, що переважна більшість таких засобів є розробками виробників CAD-систем. При цьому кожен виробник спочатку вирішував маркетингове завдання залучення замовників у роботі з набором своїх програмних продуктів. До речі, така концепція притаманна програмним рішенням у галузі автоматизації конструкторської діяльності та виробництва і у нашій країні, а висловлює загальносвітову тенденцію. Якийсь час тому подібний підхід зазнав змін, і сьогодні, як правило, будь-який виробник PDM/PLM-системи ствердно відповість на питання про наявність програмної взаємодії з нерідними для нього CAD-системами.

Систему IPS варто відзначити не як спочатку створену від «якийсь рідний» для неї CAD-системи. Концепцію IPS можна охарактеризувати жаргонізмом «всеїдність», що найточніше характеризує її ставлення до засобів проектування, що використовуються в КБ. При цьому в реалізації IPS відображена тенденція наявності на підприємствах безлічі CAD-систем. При цьому зазначимо, що іноді таке «достаток засобів проектування» у ряді випадків – лише «луна епохи спонтанної автоматизації», а в ряді випадків – результат економічно обґрунтованої політики, обумовленої, у свою чергу, складністю та спектром виробів, що проектуються. IPS однаково успішно працює з наступними CAD-системами:

• AutoCAD;
• Autodesk Inventor;
• BricsCAD;
• Catia;
• Pro/ENGINEER/PTC Creo Parametric;
• Solid Edge;
• SolidWorks;
• КОМПАС-3D;
• КОМПАС-Графік.

А крім того – із системами проектування друкованих плат електронних виробів (ECAD): Mentor Graphics та Altium Designer.

Можливості налаштування функціоналу

Платформа IPS дозволяє гнучко налаштовувати функціонал. При налаштуваннях можна використовувати вбудовані засоби (без програмування). Для реалізації унікального функціоналу можуть застосовуватися зовнішні середовища програмування для написання програм-плагінів.

p align="justify"> Важливим аспектом автоматизації проектування, виробничої діяльності, впровадження електронного архіву, PDM/PLM-технологій на сучасному підприємстві є те, що починати доводиться аж ніяк не «з чистого аркуша». Крім того, як правило, вже тією чи іншою мірою організовано зберігання інформації в електронному вигляді (електронний архів), нерідко успішні впровадження конструкторського документообігу, елементів PDM та PLM. У «просунутіших» випадках існує єдиний інформаційний простір, організовано міжсистемну взаємодію. При цьому, з одного боку, впроваджені та успішно експлуатовані засоби вимагають модернізації, пов'язаної з переходом на нові технології (наприклад, запровадження тривимірних CAD-систем). З іншого боку, раніше накопичені БД, технічні та організаційні підходи повинні та можуть бути застосовані при впровадженні нових технологій. Наприклад, БД «двовимірної» документації на вироблені вироби зовсім не втрачає своєї актуальності при переході до використання 3D-CAD-систем (вироби експлуатуються, модернізуються, виробляються знову незалежно від того, як вони спроектовані - «на площині» або «на папері») ).

Організація територіально розподіленої роботи

Додамо, що система IPS дозволяє реалізовувати територіально рознесені рішення як у рамках однієї стадії ЖЦ вироби, наприклад, при проектуванні одним або кількома КБ, так і в рамках різних стадій. При цьому можливі, наприклад, проектування виробу одним або декількома КБ та віддалений доступ технологів одного або кількох рознесених виробництв до результатів роботи конструкторів, автоматизація технологічної підготовки виробництва з використанням відповідних модулів IPS. Механізм публікацій документів та моделей дозволяє віддаленому від КБ підприємству вносити анотації, ініціалізувати проведення змін, працюючи в єдиному територіально розподіленому середовищі.

Загальна структура організації розподіленої роботи IPS наведено на рис. 3.

Мал. 3. Організація територіально розподіленої роботи IPS

Приклад переходу КБ до використання IPS

Наведемо реальний приклад перекладу з раніше впровадженою системою електронного архіву, документообігу з елементами PDM і PLM в одному з великих КБ. Основні причини проведення робіт:

• перехід конструкторських підрозділів до тривимірного проектування;
• відсутність технічної можливості підтримки роботи з 3D-CAD-системами у існуючої системи електронного архіву та документообігу КД з елементами PDM та PLM;
• застаріла архітектура існуючої системи та неможливість її подальшого масштабування;
• вимоги до територіально рознесеної взаємодії КБ з іншими КБ та виробництвом.

Результати робіт:

• опрацювання питань міграції даних з існуючої системи IPS;
• опрацювання питань міграції процесів з існуючої системи IPS;
• програмне рішення - підсистема інтерфейсної взаємодії між існуючою системою та IPS для забезпечення інтеграційної взаємодії систем, що дозволяє здійснити «плавний перехід»;
• сформульовано організаційну складову переходу до використання нової системи з урахуванням оптимізації тимчасових та ресурсних витрат.

Перший етап – розробка технології та програмно-технічних рішень – проводився на раніше спроектованому, «пілотному» виробі.

В даний час, згідно з графіком робіт, фахівці нашої компанії виконують наступний етап робіт, заснований на отриманих результатах: супровід проектування двох реальних виробів 3D-CAD-систем і системи IPS.

Висновок

• Часто етапи автоматизації КБ і підприємств, що позиціонуються як реальні впровадження PDM/PLM-технологій, є створення електронних архівів, систем документообігу КД і ТД, TDM (частіше для двовимірних документів). Найчастіше можна говорити лише реальному впровадженні елементів PDM і PLM;
• з переходом до тривимірного проектування раніше впроваджені системи електронного архіву та документообігу КД та ТД, впроваджені елементи PDM та PLM далеко не завжди відповідають новим вимогам;
• переклад на нові платформи систем електронного архіву та документообігу КД і ТД, елементів PDM і PLM-непросте, але цілком вирішуване завдання, яке вимагає розробленого компанією Бюро ESG системного підходу, лише частково освітленого у статті.

Список літератури

1. Турецький О., Тучков А., Чиковська І., Риндін А. Нова розробка компанії InterCAD-система зберігання документів та 3D-моделей// REM. 2014. №1.
2. Тучков А., Риндін А. Про шляхи створення систем управління інженерними даними// REM. 2014. №1.
3. Казанцева І., Риндін А., Рєзнік Б. Інформаційно-нормативне забезпечення повного життєвого циклу корабля. Досвід Бюро ESG // Korabel.ru. 2013. №3 (21).
4. Тучков А., Риндін А. Системи управління проектними даними в галузі промислового та цивільного будівництва: наш досвід та розуміння // САПР та графіка. 2013. №2.
5. Галкіна О., Кораго Н., Тучков А., Риндін А. Система електронного архіву Д'АР - перший крок до побудови системи управління проектними даними// САПР та графіка. 2013. № 9.
6. Риндін А., Турецький О., Тучков А., Чиковська І. Створення сховища 3D-моделей та документів при роботі з тривимірними САПР// САПР та графіка. 2013. № 10.
7. Риндін А., Галкіна О., Благодир А., Кораго Н. Автоматизація потоків документації-важливий крок до створення єдиного інформаційного простору підприємства // REM. 2012. №4.
8. Петров У. Досвід створення єдиного інформаційного простору на СПб ВАТ «Червоний Жовтень» // САПР і графіка. 2012. № 11.
9. Малашкін Ю., Шатських Т., Юхов А., Галкіна О., Караго Н., Риндін А., Фертман І. Досвід розробки системи електронного документообігу у ВАТ «Діпроспецгаз»// САПР та графіка. 2011. № 12.
10. Санєв В., Суслов Д., Смирнов С. Використання інформаційних технологій у ЗАТ «ЦНДІ суднового машинобудування// CADmaster. 2010. №3.
11. Воробйов А., Данилова Л., Ігнатов Б., Риндін А., Тучков А., Уткін А., Фертман І., Щеглов Д. Сценарій та механізми створення єдиного інформаційного простору//CADmaster. 2010. №5.
12. Данилова Л., Щеглов Д. Методологія створення єдиного інформаційного простору ракетно-космічної галузі// REM. 2010. № 6.
13. Галкіна О.М., Риндін А.А., Рябенький Л.М., Тучков А.А., Фертман І.Б. Електронна інформаційна модель виробів суднобудування на різних стадіях життєвого циклу//CADmaster. 2007. № 37a.
14. Риндін А.А., Рябенький Л.М., Тучков А.А., Фертман І.Б. Технології забезпечення життєвого циклу виробів // Комп'ютер-інформ. 2005. № 11.
15. Риндін А.А., Рябенький Л.М., Тучков А.А., Фертман І.Б. Щаблі впровадження ІПІ-технологій// ​​Суднобудування. 2005. № 4.

В ідеальному світі, у Вашу мережу заходять тільки ті хто потрібно - колеги, друзі, працівники компанії. Тобто ті, кого Ви знаєте і довіряєте.

У реальному ж світі часто потрібно давати доступ до внутрішньої мережі клієнтам, вендорам ПЗ і т. д. При цьому, завдяки глобалізації та повсюдному розвитку фрілансерства, доступ осіб яких Ви не дуже добре знаєте і не довіряєте вже стає необхідністю.

Але як тільки Ви приходите до рішення, що хочете відкрити доступ до Вашої внутрішньої мережі в режимі 24/7, Вам слід розуміти, що користуватися цими «дверями» будуть не тільки «хороші хлопці». Зазвичай у відповідь не таке твердження можна почути щось на кшталт "ну це не про нас, у нас маленька компанія", "та кому ми потрібні", "що в нас ламати те, нічого".

І це не зовсім правильно. Навіть якщо уявити компанію, в якій на комп'ютерах немає нічого, крім свіжовстановленої ОС – це ресурси. Ресурси, які можуть працювати. І не лише на Вас.

Тому навіть у цьому випадку ці машини можуть стати метою атакуючих, наприклад, для створення ботнету, майнінгу біткоїнів, крекінгу хешів.

Ще існує варіант використання машин Вашої мережі для проксування запитів атакуючих. Таким чином, їхня нелегальна діяльність в'яже Вас у ланцюжок проходження пакетів і як мінімум додасть головного болю компанії у разі розгляду.

І тут постає питання: а як відрізнити легальні дії від нелегальних?

Власне, це питання й має відповідати система виявлення вторгнень. За допомогою неї Ви можете детектувати більшість well-known атак на свою мережу, і встигнути зупинити атакуючих до того, як вони доберуться до чогось важливого.

Зазвичай, на цьому моменті міркувань виникає думка, що те, що описано вище, може виконувати звичайний firewall. І це правильно, але не в усьому.

Різниця між функціями firewall та IDS на перший погляд може бути не видно. Але IDS зазвичай вміє розуміти контент пакетів, заголовки та зміст, прапори та опції, а не тільки порти та IP адреси. Тобто IDS розуміє контекст чого, зазвичай, не вміє firewall. Виходячи з того, можна сказати, що IDS виконує функції Firewall, але більш інтелектуально. Для звичайного Firewall нетипова ситуація, коли потрібно, наприклад, дозволяти з'єднання на порт 22 (ssh), але блокувати лише деякі пакети, в яких містяться певні сигнатури.

Сучасні Firewall можуть бути доповнені різними плагінами, які можуть робити схожі речі, пов'язані з deep-inspection пакетів. Часто такі плагіни пропонують самі вендори IDS щоб посилити зв'язок Firewall - IDS.

Як абстракція, Ви можете уявити IDS як систему сигналізації Вашого будинку або офісу. IDS буде моніторити периметр і дасть Вам знати, коли станеться щось непередбачене. Але при цьому IDS ніяк не перешкоджатиме проникненню.

І ця особливість призводить до того, що в чистому вигляді IDS, швидше за все, не те, що Ви хочете від Вашої системи безпеки (швидше за все, Ви не захочете таку систему для охорони Вашого будинку або офісу - в ній немає жодних замків).

Тому майже будь-яка IDS це комбінація IDS і IPS (Intrusion Prevention System - Система запобігання вторгнень).

Далі необхідно чітко розуміти чим відрізняються IDS і VS (Vulnerability Scanner - Сканер уразливостей). А відрізняються вони за принципом дії. Сканери вразливостей – це превентивний захід. Ви можете просканувати усі свої ресурси. Якщо сканер щось знайде, це можна виправити.

Але після того, як Ви провели сканування і до наступного сканування в інфраструктурі можуть відбутися зміни, і Ваше сканування втрачає сенс, оскільки більше не відображає реального стану справ. Змінитися можуть такі речі як конфігурації, установки окремих сервісів, нові користувачі, права існуючих користувачів, додатися нові ресурси та сервіси в мережі.

Відмінність IDS в тому, що вони проводять детектування в реальному часі, з поточною конфігурацією.

Важливо розуміти, що IDS, за фактом, не знає нічого про вразливість у сервісах мережі. Їй це не потрібне. Вона детектує атаки за своїми правилами – за фактом появи сигнатур у трафіку у мережі. Таким чином, якщо IDS міститиме, наприклад, сигнатури для атак на Apache WebServer, а у Вас його ніде немає - IDS все одно детектує пакети з такими сигнатурами (можливо, хтось намагається направити експлоїт від апачу на nginx за незнанням, або це робить автоматизований інструмент).

Звичайно, така атака на неіснуючий сервіс ні до чого не приведе, але з IDS Ви будете в курсі, що така активність має місце.

Хорошим рішенням є поєднання періодичних сканувань уразливостей та включеної IDS/IPS.

Методи детектування вторгнень. Програмні та апаратні рішення.

Сьогодні багато вендорів пропонують свої рішення IDS/IPS. І всі вони реалізують свої продукти по-різному.

Різні підходи зумовлені різними підходами до категоризації подій безпеки, атак та вторгнень.

Перше, що треба враховувати - це масштаб: чи буде IDS/IPS працювати тільки з трафиків конкретного хоста, чи вона досліджуватиме трафік цілої мережі.

Друге, це як спочатку позиціонується продукт: це може програмне рішення, і може бути апаратне.

Давайте подивимося на так звані Host-based IDS (HIDS - Host-based Intrusion Detection System)

HIDS є якраз прикладом програмної реалізації продукту і встановлюється на одну машину. Таким чином, система такого типу «бачить» тільки інформацію, доступну даній машині і, відповідно, детектує атаки, що тільки зачіпають цю машину. Перевага систем такого типу в тому, що на машині вони бачать всю її внутрішню структуру і можуть контролювати і перевіряти набагато більше об'єктів. Не лише зовнішній трафік.

Такі системи зазвичай стежать за лог-файлами, намагаються виявити аномалії в потоках подій, зберігають контрольні суми критичних файлів конфігурацій і періодично порівнюють чи хтось змінив ці файли.

А тепер давайте порівняємо такі системи з network-based системами (NIDS), про які ми говорили на самому початку.

Для роботи NIDS необхідний, по суті, лише мережний інтерфейс, з якого NIDS зможе отримувати трафік.

Далі все, що робить NIDS - це порівнює трафік із заздалегідь заданими патернами (сигнатурами) атак, і як тільки щось потрапляє під сигнатуру атаки, Ви отримуєте повідомлення про спробу вторгнення. NIDS також здатні детектувати DoS та деякі інші типи атак, які HIDS просто не може бачити.

Можна підійти до порівняння з іншого боку:

Якщо Ви вибираєте IDS/IPS реалізовану як програмне рішення, то отримуєте контроль над тим на яке «залізо» Ви її встановлюватимете. І, якщо «залізо» вже є, Ви можете заощадити.

Також у програмній реалізації є і безкоштовні варіанти IDS/IPS. Звичайно, треба розуміти, що використовуючи безкоштовні системи Ви не отримуєте такого ж саппорта, швидкості оновлень та вирішення проблем, як із платними варіантами. Але це добрий варіант для початку. У них Ви можете зрозуміти що Вам дійсно потрібно від таких систем, побачите чого не вистачає, що непотрібно, виявите проблеми, і знатимете що запитати у вендорів платних систем на самому початку.

Якщо Ви вибираєте hardware рішення, то отримуєте коробку, вже практично готову до використання. Плюси від такої реалізації очевидні — «залізо» вибирає вендор, і він повинен гарантувати, що на цьому залозі його рішення працює із заявленими характеристиками (не гальмує, не висне). Зазвичай усередині знаходиться якийсь різновид Linux дистрибутива з уже встановленим ПЗ. Такі дистрибутиви зазвичай сильно урізані щоб забезпечувати швидку швидкість роботи, залишаються тільки необхідні пакети та утиліти (заодно вирішується проблема розміру комплекту на диску - чим менше, тим менше потрібен HDD - тим менше собівартість - тим більше прибуток!).

Програмні рішення часто дуже вимогливі до обчислювальних ресурсів.

Частково через це в «коробці» працює лише IDS/IPS, а на серверах із програмними IDS/IPS зазвичай запущено завжди дуже багато додаткових речей.

У статті розглядаються популярні IPS-рішення у контексті світового та російського ринків. Дається визначення базової термінології, історія виникнення та розвитку IPS-рішень, а також розглядається загальна проблематка та сфера застосування IPS-рішень. Також наводиться зведена інформація про функціональні можливості найбільш популярних IPS-рішень від різних виробників.

Що таке IPS?

Насамперед, дамо визначення. Intrusion detection system (IDS) або Intrusion prevention system (IPS) – це програмні та апаратні засоби, призначені для виявлення та/або запобігання вторгненням. Вони призначені для виявлення та запобігання спробам несанкціонованого доступу, використання або виведення з ладу комп'ютерних систем, головним чином через Інтернет або локальну мережу. Такі спроби можуть мати форму як атаки хакерів чи інсайдерів, і бути результатом дій шкідливих програм.

IDS/IPS-системи використовуються для виявлення аномальних дій у мережі, які можуть порушити безпеку та конфіденційність даних, наприклад: спроби використання вразливостей програмного забезпечення; спроби повішення привілеїв; несанкціонований доступ до конфіденційних даних; активність шкідливих програм тощо.

Використання IPS-систем має кілька цілей:

• Виявити вторгнення або мережеву атаку та запобігти їх;
• спрогнозувати можливі майбутні атаки та виявити вразливості для запобігання їх подальшому розвитку;
• Виконати документування наявних загроз;
• Забезпечити контроль якості адміністрування з погляду безпеки, особливо у великих та складних мережах;
• Отримати корисну інформацію про проникнення, які мали місце, для відновлення та коригування факторів, що викликали проникнення;
• Визначити розташування джерела атаки по відношенню до локальної мережі (зовнішні або внутрішні атаки), що важливо при прийнятті рішень про розташування ресурсів у мережі.

В цілому IPS аналогічні IDS. Головна ж відмінність полягає в тому, що вони функціонують у реальному часі і можуть автоматично блокувати мережеві атаки. Кожна IPS включає модуль IDS.

IDS, у свою чергу, зазвичай складається з:

• системи збирання подій;
• системи аналізу зібраних подій;
• сховища, в якому накопичуються зібрані події та результати їх аналізу;
• бази даних про уразливості (цей параметр є ключовим, оскільки чим більше база у виробника, тим більше загроз здатна виявляти система);
• консолі управління, яка дозволяє налаштовувати всі системи, здійснювати моніторинг стану мережі, що захищається, переглядати виявлені порушення та підозрілі дії.

За способами моніторингу IPS-системи можна розділити на великі групи: NIPS (Network Intrusion Prevention System) і HIPS (Host Intrusion Prevention System). Перша група орієнтована на мережевий рівень та корпоративний сектор, тоді як представники другої мають справу з інформацією, зібраною всередині єдиного комп'ютера, а отже, можуть використовуватися на персональних комп'ютерах. Сьогодні HIPS часто входять до складу антивірусних продуктів, тому в контексті цієї статті ці системи ми розглядати не будемо.

Серед NIPS та HIPS також виділяють:

• Protocol-based IPS, PIPS. Являє собою систему (або агент), яка відстежує та аналізує комунікаційні протоколи зі зв'язаними системами чи користувачами.
• Application Protocol-based IPS, APIPS. Являє собою систему (або агент), яка веде спостереження та аналіз даних, що передаються з використанням специфічних для певних додатків протоколів. Наприклад, відстеження вмісту команд SQL.

Що стосується форм-фактора, IPS-системи можуть бути представлені як у вигляді окремого «залізного» рішення, так і у вигляді віртуальної машини чи софту.

Розвиток технології. Проблеми IPS.

Системи запобігання вторгненням з'явилися на стику двох технологій: міжмережевих екранів (firewall) та систем виявлення вторгнень (IDS). Перші вміли пропускати трафік через себе, але аналізували лише заголовки IP-пакетів. Другі ж, навпаки, «вміли» все те, чого були позбавлені міжмережевих екранів, тобто аналізували трафік, але не могли якось впливати на ситуацію, оскільки встановлювалися паралельно і трафік через себе не пропускали. Взявши найкраще від кожної технології, з'явилися IPS-системи.

Становлення сучасних IPS-систем йшло через чотири напрями. Так би мовити, від частки до загального.

Перший напрямок – розвиток IDS в inline-IDS. Інакше кажучи, потрібно було вбудувати IDS-систему в мережу не паралельно, а послідовно. Рішення виявилося простим і ефективним: IDS помістили між ресурсами, що захищаються і незахищеними. З цього напряму, найімовірніше, розвинулися програмні варіанти IPS

Другий напрямок становлення IPS є не менш логічним: еволюція міжмережевих екранів. Як ви розумієте, їм не вистачало глибини аналізу трафіку, що пропускається через себе. Додавання функціоналу глибокого проникнення в тіло даних і розуміння протоколів, що передаються, дозволило стати міжмережевим екранам справжніми IPS-системами. З цього напряму, найімовірніше, розвинулися апаратні IPS.

Третім «джерелом» стали антивіруси. Від боротьби з "хробаками", "троянами" та іншими шкідливими програмами до IPS-систем виявилося зовсім недалеко. З цього напряму, найімовірніше, розвинулися HIPS.

Нарешті, четвертим напрямком стало створення IPS-систем "з нуля". Тут, власне, і додати нічого.

Що ж до проблем, у IPS, як і в будь-яких інших рішень, вони були. Основних проблем виділяли три:

1. велика кількість помилкових спрацьовувань;
2. автоматизація реагування;
3. велика кількість управлінських завдань.

З розвитком систем ці проблеми успішно вирішувалися. Так, наприклад, зниження процента помилкових спрацьовувань почали застосовувати системи кореляції подій, які «виставляли пріоритети» для подій і допомагали IPS-системе ефективніше виконувати свої завдання.

Усе це призвело до появи IPS-систем наступного покоління (Next Generation IPS – NGIPS). NGIPS повинна мати наступні мінімальні функції:

• Працювати в режимі реального часу без впливу (або з мінімальним впливом) на активність мережі;
• Виступати як єдина платформа, що поєднує в собі як усі переваги попереднього покоління IPS, так і нові можливості: контроль та моніторинг додатків; використання інформації із сторонніх джерел (бази вразливостей, геолокаційні дані тощо); аналіз вмісту файлів

Рисунок 1. Функціональна схемаеволюційних етапів IPS-систем

Світовий та російський ринок IPS. Основні гравці, розбіжності.

Говорячи про світовий ринок IPS-систем, експерти часто посилаються на звіти Gartner, і насамперед на «чарівний квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2012). На 2012 рік ситуація була такою:

Рисунок 2. Розподіл основних гравців ринкуIPS-систем у світі. ІнформаціяGartner, липень 2012

Простежувалися явні лідери в особі McAfee, Sourcefire та HP, яких дуже прагнула всім відома Cisco. Проте літо 2013 року внесло свої корективи. Спочатку травня різними тематичними блогами і форумами промайнула хвиля обговорень, піднята анонсом угоди між McAfee і Stonesoft. Американці збиралися купити фінського «візіонера», який голосно заявив про себе кілька років тому, відкривши новий вид атак AET (Advanced Evasion Techniques).

Тим не менш, на цьому сюрпризи не закінчилися і буквально через пару місяців корпорація Cisco оголосила про укладення угоди з Sourcefire і купівлю цієї компанії за рекордні $2.7 млрд. Причини були більш вагомими. Sourcefire відома своєю підтримкою двох розробок з відкритим кодом: механізму виявлення та запобігання вторгненням Snort та антивірусу ClamAV. При цьому технологія Snort стала стандартом де-факто для систем попередження та виявлення вторгнень. Суть у тому, що у російському ринку Cisco Systems є основним постачальником рішень із мережевої безпеки. Вона однією з перших прийшла на російський ринок, її мережеве обладнання стоїть практично в кожній організації, відповідно немає нічого незвичайного в тому, що рішення з мережевої безпеки також замовляють у цієї компанії.

Крім того, Cisco Systems веде дуже грамотну діяльність щодо просування своєї лінійки безпеки на російському ринку. І зараз жодна компанія не може зрівнятися з Cisco Systems за рівнем роботи з ринком, як у маркетинговому плані, так і в плані роботи з партнерами, держорганізаціями, регуляторами та ін. сертифікації за російськими вимогами, витрачаючи ними набагато більше, ніж інші західні виробники, що також сприяє збереженню лідируючого становища російському ринку. Висновки, як кажуть, робіть самі.

І якщо зі світовим ринком IPS-систем все більш-менш зрозуміло, – незабаром відбудеться «перетасовування» лідерів – то з російським ринком не все так просто і прозоро. Як було зазначено вище, вітчизняний ринок має власну специфіку. По-перше, велику роль відіграє сертифікація. По-друге, якщо процитувати Михайла Романова, що є одним із авторів глобального дослідження «Ринок інформаційної безпеки Російської Федерації», то «Конкурентоспроможні IPS-рішення російського виробництва фактично відсутні. Автору відомі лише три російські рішення даного типу: «Аргус», «Форпост» та «РУЧІВ-М» (не позиціонується як IPS). Знайти «Аргус» або «РУЧІВ-М» в Інтернеті і купити неможливо. Рішення «Форпост» виробництва компанії РНТ позиціонується як сертифіковане рішення, повністю засноване на коді SNORT (і цього розробники не приховують). Розробник не надає свого рішення на тестування, продукт ніяк не просувається на ринку, тобто складається враження, що РНТ просуває його лише у власні проекти. Відповідно, побачити ефективність цього рішення неможливо”.

До згаданих трьох систем можна також віднести комплекс «РУБІКОН», який позиціонується компанією «Ешелон» не лише як сертифікований міжмережевий екран, а й як система виявлення вторгнень. На жаль, інформації щодо нього не так багато.

Останнє рішення від російського виробника, яке вдалося знайти - IPS-система (входить в UTM-пристрій ALTELL NEO), що є, за їхніми словами, «допрацьованою» відкритою технологією Surricata, яка використовує актуальні бази сигнатур з відкритих джерел (National Vulnerability Database і Bugtrax). Все це викликає більше питань, ніж розуміння.

Проте, виходячи із пропозицій інтеграторів, можна продовжити список запропонованих на російському ринку IPS-систем і дати короткий опис для кожного з рішень:

Cisco IPS (сертифікований ФСТЕК)

Як частина Cisco Secure Borderless Network, Cisco IPS надає такі можливості:

• Запобігання вторгненню понад 30000 відомих експлоїтів;
• Автоматичне оновлення сигнатур із глобального сайту Cisco Global Correlation для динамічного розпізнавання та запобігання вторгненням атак з боку Internet;
• Передові дослідження та досвід Cisco Security Intelligence Operations;
• Взаємодія з іншими мережевими компонентами для запобігання вторгненням;
• Підтримка широкого спектра варіантів розгортання в режимі, близькому до реального часу.

Все це дозволяє захистити мережу від таких атак, як:

• Прямі атаки (directed attacks);
• Черв'яки, віруси (worms);
• Ботнет мережі (botnets);
• Шкідливі програми (malware);
• Заражені програми (application abuse).

Sourcefire IPS, Adaptive IPS та Enterprise Threat Management

Серед головних переваг виділяють:

• Розробка систем на основі SNORT;
• Гнучкі правила;
• Інтеграція із MSSP;
• Технологія пасивного прослуховування (нульовий вплив на мережу);
• Робота у реальному масштабі часу;
• Поведінкове виявлення аномалій у мережі (NBA);
• Персоналізація подій

McAfee Network Security Platform (раніше, IntruShield Network Intrusion Prevention System) (сертифікований ФСТЕК)

Переваги рішення:

• Інтелектуальне управління безпекою

Рішення дозволяє скоротити кількість фахівців та витрати часу, необхідні для моніторингу та розслідування подій безпеки, та одночасно спрощує управління складними масштабними розгортаннями. Завдяки детальному аналізу, що направляється, метод послідовного розкриття забезпечує потрібну інформацію саме тоді і там, де вона потрібна, а ієрархічне управління забезпечує масштабування.

• Високий рівень захисту від загроз

Захист від загроз забезпечується завдяки ядру сигнатур на основі аналізу вразливостей, яке перетворено на платформу нового покоління шляхом інтеграції найсучаснішої технології аналізу поведінки та зіставлення безлічі подій. «Малоконтактні» засоби захисту на основі сигнатур дозволяють утримувати операційні витрати на низькому рівні та ефективно захищають від відомих загроз, а передова технологія аналізу поведінки та зіставлення подій забезпечує захист від загроз наступного покоління та «нульового дня».

• Використання глобальної системи захисту від шкідливих програм
• Інфраструктура Security Connected

Рішення покращує рівень мережевої безпеки, сприяє оптимізації системи мережевої безпеки, нарощуючи її економічну ефективність. Крім того, рішення дозволяє узгоджувати безпеку мережі з бізнес-програмами для досягнення стратегічних цілей.

• Швидкодія та масштабованість
• Збір інформації та контроль. Отримання інформації про дії користувачів та пристрої, яка прямо інтегрується в процес контролю та аналізу

Stonesoft StoneGate IPS (сертифікований ФСТЕК)

В основі роботи StoneGate IPS закладена функціональність виявлення та запобігання вторгненням, яка використовує різні методи виявлення вторгнень: сигнатурний аналіз, технологія декодування протоколів для виявлення вторгнень, що не мають сигнатур, аналіз аномалій протоколів, аналіз поведінки конкретних хостів, виявлення будь-яких видів сигнатур (віртуальне профільування).

Особливістю Stonesoft IPS є наявність вбудованої системи аналізу подій безпеки, яка значно зменшує трафік, що передається від IPS до системи керування, та кількість хибних спрацьовувань. Початковий аналіз подій проводиться сенсором Stonesoft IPS, потім інформація від кількох сенсорів передається аналізатор, який здійснює кореляцію подій. Таким чином, кілька подій можуть вказувати на розподілену в часі атаку або на мережевого черв'яка - коли рішення про шкідливу активність приймається на підставі кількох подій із «загальної картини», а не за кожним окремим випадком.

Ключові можливості StoneGate IPS:

• виявлення та запобігання спробам НСД у режимі реального часу в прозорому для користувачів мережі режимі;
• застосування фірмової технології АЕТ (Advanced Evasion Techniques) – технології захисту від динамічних технік обходу;
• обширний список сигнатур атак (за змістом, контекстом мережевих пакетів та інших параметрів);
• можливість обробки фрагментованого мережевого трафіку;
• можливість контролю кількох мереж із різними швидкостями;
• декодування протоколів для точного визначення специфічних атак, у тому числі всередині SSL з'єднань;
• можливість оновлення бази даних сигнатур атак із різних джерел (можливий імпорт сигнатур із Open Source баз);
• блокування або завершення небажаних мережних з'єднань;
• аналіз «історій» подій безпеки;
• аналіз протоколів на відповідність RFC;
• вбудований аналізатор подій, що дозволяє ефективно знижувати потік хибних спрацьовувань;
• створення власних сигнатур атак, шаблонів аналізу атак, аномалій та ін;
• додаткова функціональність прозорого міжмережевого екрану Transparent Access Control, що дозволяє в окремих випадках відмовитися від використання МЕ без зниження ефективності захисту;
• аналіз GRE тунелів, будь-яких комбінацій інкапсуляції IP v6, IPv4;
• централізоване управління та моніторинг, проста у використанні та одночасно гнучка в налаштуванні система генерації звітів.

Детектор атак АПКШ «Континент» (Код Безпеки) (сертифікований ФСТЕК та ФСБ)

Детектор атак "Континент" призначений для автоматичного виявлення мережевих атак методом динамічного аналізу трафіку стека протоколів TCP/IP. Детектор атак «Континент» реалізує функції системи виявлення вторгнень (СОВ) та забезпечує розбір та аналіз трафіку з метою виявлення комп'ютерних атак, спрямованих на інформаційні ресурси та сервіси.

Основні можливості детектора атак «Континент»:

• Централізоване керування та контроль функціонування за допомогою центру керування системою «Континент».
• Поєднання сигнатурних та евристичних методів виявлення атак.
• Оперативне реагування на виявлені вторгнення.
• Оповіщення ЦУС про свою активність та події, що потребують оперативного втручання в режимі реального часу.
• Виявлення та реєстрація інформації про атаки.
• Аналіз зібраної інформації.

IBM Proventia Network Intrusion Prevention System (сертифікований ФСТЕК)

Система запобігання атак Proventia Network IPS призначена для блокування мережевих атак та аудиту роботи мережі. Завдяки запатентованій технології аналізу протоколів, рішення IBM Internet Security Systems забезпечує превентивний захист – своєчасний захист корпоративної мережі від широкого спектру загроз. Превентивність захисту заснована на цілодобовому відстежуванні загроз у центрі забезпечення безпеки GTOC (gtoc.iss.net) та власних дослідженнях та пошуках уразливостей аналітиками та розробниками групи X-Force.

Основні можливості Proventia Network IPS:

• Розбирає 218 різних протоколів, включаючи протоколи рівня додатків та формати даних;
• Більше 3000 алгоритмів використовують при аналізі трафіку для захисту від уразливостей;
• Технологія Virtual Patch – захист комп'ютерів поки що не встановлені оновлення;
• Режим пасивного моніторингу та два режими встановлення на канал;
• Підтримка кількох зон безпеки одним пристроєм, включаючи зони VLAN;
• Наявність вбудованих та зовнішніх bypass модулів для безперервної передачі даних через пристрій у разі системної помилки або відключення енергопостачання;
• Багато способів реагування на події, включаючи логування пакетів атаки;
• Контроль витоків інформації в даних та в офісних документах, що передаються по пірингових мережах, службах миттєвих повідомлень, веб пошті та іншим протоколам;
• Деталізоване налаштування політик;
• Запис трафіку атаки;
• Підтримка користувацьких сигнатур;
• Можливість блокування нових загроз на основі рекомендацій експертів X-Force.

Check Point IPS (сертифікований для міжмережевих екранів та для UTM)

Програмний блейд Check Point IPS надає виняткові можливості запобігання вторгненням на багатогігабітних швидкостях. Для досягнення високого рівня мережевого захисту багаторівневий механізм IPS Threat Detection Engine використовує безліч різних методів виявлення та аналізу, у тому числі використання сигнатур уразливостей та спроб їх використання, виявлення аномалій, аналіз протоколів. Механізм IPS здатний швидко фільтрувати вхідний трафік без необхідності проведення глибокого аналізу трафіку, завдяки чому на наявність атак аналізуються лише відповідні сегменти трафіку, що веде до зниження витрат та підвищення точності.

У рішенні IPS застосовуються високорівневі засоби динамічного управління компанії Check Point, що дозволяє графічно відображати лише значну інформацію, легко та зручно ізолювати дані, що вимагають подальших дій з боку адміністратора, а також відповідати нормативним вимогам та стандартам звітності. Крім того, рішення Check Point IPS – як програмний блейд IPS, так і апаратний пристрій Check Point IPS-1 – керуються за допомогою єдиної консолі керування SmartDashboard IPS, що забезпечує уніфіковане керування засобами IPS.

Ключові переваги:

• Повноцінні засоби захисту IPS - Весь функціонал IPS, вбудований у міжмережевий екран, що використовується;
• Лідерство в галузі за показниками продуктивності - багатогігабітна продуктивність системи IPS та міжмережевого екрану;
• Динамічне керування – Весь набір засобів керування, включаючи представлення подій безпеки в режимі реального часу та автоматизований процес захисту;
• Захист між релізами патчів – Підвищення рівня захисту у разі затримки випуску патчів.

Trend Micro Threat Management System (засновано на Smart Protection Network)

Trend Micro Threat Management System – рішення для аналізу та контролю мережі, що надає унікальні можливості в області виявлення малопомітних вторгнень, а також автоматизує усунення загроз. Це надійне рішення, засноване на Trend Micro Smart Protection Network (наборі модулів для виявлення та аналізу загроз), а також актуальної інформації, отриманої дослідниками загроз із Trend Micro, забезпечує найбільш ефективні та сучасні можливості запобігання загрозам.

Основні переваги:

• Швидша реакція на можливу втрату даних завдяки ранньому виявленню нових та відомих шкідливих програм;
• Зниження витрат на стримування загроз та усунення збитків, а також скорочення часу простою завдяки індивідуальному підходу до автоматизованого усунення нових загроз безпеці;
• Проактивне планування інфраструктури безпеки та управління нею завдяки накопиченим знанням про слабкі місця мереж та основні причини загроз;
• Економія пропускної спроможності та ресурсів мережі завдяки виявленню додатків та служб, що порушують функціонування мережі;
• Спрощене управління загрозами та інформацією про порушення системи безпеки завдяки зручному централізованому порталу управління;
• Невтручання роботи існуючих служб завдяки гнучкій системі розгортання поза смуги пропускання.

Palo Alto Networks IPS

Компанія Palo Alto Networks™ є лідером на ринку мережевої безпеки та творцем міжмережевих екранів нового покоління. Повна візуалізація та контроль усіх додатків та контенту в мережі за користувачем, а не за IP адресою чи портом на швидкостях до 20Gbps без втрати продуктивності, є основною перевагою серед конкурентних рішень.

Міжмережні екрани Palo Alto Networks, засновані на запатентованій технології App-ID™, точно ідентифікують та контролюють програми – незалежно від порту, протоколу, поведінки чи шифрування – та сканують вміст для запобігання загрозам та витоку даних.

Основна ідея міжмережевих екранів нового покоління, в порівнянні з традиційними підходами, у тому числі і UTM рішеннями, полягає у спрощенні інфраструктури мережевої безпеки, усуває необхідність різних автономних пристроїв безпеки, а також забезпечує прискорення трафіку за рахунок однопрохідного сканування. Платформа Palo Alto Networks вирішує широкий спектр вимог мережевої безпеки, необхідних різного типу замовників: від центру обробки даних до корпоративного периметра з умовними логічними кордонами, що включають філії та мобільні пристрої.

Міжмережні екрани нового покоління Palo Alto Networks дають можливість ідентифікувати та контролювати програми, користувачів та контент – а не просто порти, IP адреси та пакети – використовуючи три унікальні технології ідентифікації: App-ID, User-ID та Content-ID. Ці технології ідентифікації дозволяють створювати безпекові політики, що дозволяють конкретні програми, необхідні бізнесу, замість того, щоб слідувати поширеній концепції – «усі або нічого», яку пропонують традиційні міжмережові екрани, засновані на блокуванні портів.

HP TippingPoint Intrusion Prevention System

TippingPoint - найкраща в галузі система запобігання вторгненням (Intrusion Prevention System, IPS), що не має собі рівних за такими показниками, як рівень безпеки, продуктивність, ступінь готовності і простота використання. TippingPoint – єдина IPS-система, що отримала нагороду Gold Award організації NSS Group та сертифікат Common Criteria – фактично є еталоном у галузі мережевих засобів для запобігання вторгненням.

Основна технологія у продуктах TippingPoint – механізм придушення загроз Threat Suppression Engine (TSE), реалізований на базі спеціалізованих інтегральних мікросхем (ASIC). Завдяки поєднанню замовних ASIC, об'єднувальної панелі з пропускною здатністю 20 Гбіт/c та високопродуктивних мережевих процесорів механізм TSE забезпечує повний аналіз потоку пакетів на рівнях 2-7; при цьому затримка проходження потоку через IPS-систему становить менше 150 мкс незалежно від кількості застосованих фільтрів. Таким чином здійснюється безперервне очищення внутрішньомережевого та інтернет-трафіку та безпомилкове виявлення таких загроз, як черв'яки, віруси, троянські програми, змішані погрози, фішинг, погрози через VoIP, атаки DoS та DDoS, обхід систем захисту, “західні черв'яки” (Walk-in -Worms), нелегальне використання пропускної спроможності каналу, перш ніж буде завдано реальної шкоди. Крім того, архітектура TSE класифікує трафік, що дозволяє надати найвищий пріоритет відповідальним додаткам.

TippingPoint також забезпечує поточний захист від загроз, обумовлених нововиявленими вразливими факторами. Аналізуючи такі вразливості для інституту SANS, фахівці компанії TippingPoint, які є основними авторами інформаційного бюлетеня, що публікує найбільш актуальні відомості про нові та існуючі вразливі місця в системі безпеки мережі, одночасно розробляють фільтри захисту від атак, орієнтованих на дані вразливості, та включають їх до складу чергового випуску Digital Vaccine (цифрова вакцина). Вакцини створюються для нейтралізації не тільки конкретних атак, але і їх можливих варіацій, що забезпечує захист від загроз типу Zero-Day.

«Цифрова вакцина» доставляється замовникам щотижня, а у разі виявлення критичних уразливостей – негайно. Встановлюватись вона може автоматично без участі користувача, що спрощує для користувачів процедуру оновлення системи безпеки.

На сьогоднішній день флагманським продуктом компанії є HP TippingPoin Next-Generation Intrusion Prevention System, що дозволяє найбільше ефективно контролювати всі рівні мережевої активності компанії за рахунок:

• Власних баз даних Application DV та Reputation DV
• Прийняття рішення на основі багатьох факторів, об'єднаних системою HP TippingPoin Security Management System;
• Легка інтеграція з іншими сервісами HP DVLabs

Висновки

Ринок IPS-систем не можна назвати спокійним. 2013 приніс дві важливі угоди, здатні внести серйозні корективи, як у російському, так і у світовому масштабі. Йдеться про протистояння двох "тандемів": Cisco + Sourcefire проти McAfee + Stonesoft. З одного боку, Cisco утримує стабільне перше місце на ринку за кількістю сертифікованих рішень, а поглинання такої відомої компанії, як Sourcefire, має лише зміцнити заслужене перше місце. У той же час поглинання Stonesoft, по суті, відкриває для McAfee відмінні можливості експансії російського ринку, т.к. саме Stonesoft була першою зарубіжною компанією, яка зуміла отримати на свої рішення сертифікат ФСБ (цей сертифікат дає набагато більше можливостей, ніж сертифікат ФСТЕК).

На жаль, вітчизняні виробники поки що не тішать бізнес, воліючи розвивати активність у сфері держзамовлення. Такий стан речей навряд чи позитивно позначиться розвитку цих рішень, оскільки давно відомо, що конкуренції продукт розвивається набагато менш ефективно і, зрештою, деградує.

В даний час захист, що забезпечується фаєрволом і антивірусом, вже неефективна проти мережевих атак імалварів. На перший план виходять рішення класу IDS/IPS, які можуть виявляти і блокувати як відомі, так і ще невідомі загрози.

INFO

• Про Mod_Security і GreenSQL-FW читай у статті «Останній рубіж», ][_12_2010.
• Як навчити iptables «заглядати» всередину пакета, читай у статті «Вогненний щит», ][_12_2010.

Технології IDS/IPS

Щоб зробити вибір між IDS або IPS, слід розуміти їх принципи роботи і призначення. Так, завдання IDS (Intrusion Detection System) полягає у виявленні і реєстрації атак, а також оповіщенні при спрацьовуванні певного правила. В залежності від типу, IDS вміють виявляти різні види мережевих атак, виявляти спроби неавторизованого доступу або підвищення привілеїв, поява шкідливого ПЗ, відстежувати відкриття нового порту тощо. стан зв'язків), IDS «заглядає» всередину пакета (досьомого рівня OSI), аналізуючи дані, що передаються. Існує кілька видів систем виявлення вторгнень. Дуже популярні APIDS (Application protocol-based IDS), які моніторять обмежений список прикладних протоколів на предмет специфічних атак. Типовими представниками цього класу є PHPIDS, що аналізує запити до PHP-додатків, Mod_Security, що захищає веб-сервер (Apache), і GreenSQL-FW, що блокує небезпечні SQL-команди (див. статтю «Останній рубіж» в][_12_2010).

Мережеві NIDS (Network Intrusion Detection System) більш універсальні, що досягається завдяки технології DPI (Deep Packet Inspection, глибоке інспектування пакета). Вони контролюють неодно конкретне додаток, авесь проходить трафік, починаючи сканального рівня.

Для деяких пакетних фільтрів також реалізована можливість "заглянути всередину" і блокувати небезпеку. Як приклад можна навести проекти OpenDPI і Fwsnort. Останній є програмою для перетворення бази сигнатур Snort веквівалентні правила блокування для iptables. Але спочатку фаєрвол заточений під інші завдання, і технологія DPI «накладна» для двигуна, тому функції з обробки додаткових даних обмежені блокуванням або маркуванням строго певних протоколів. IDS лише позначає (alert) всі підозрілі дії. Щоб заблокувати атакуючий хост, адміністратор самостійно переналаштовує брандмауер під час перегляду статистики. Природно, жодному реагуванні в реальному часі тут мови не йде. Саме тому сьогодні більш цікаві IPS (Intrusion Prevention System, система запобігання атакам). Вони засновані на IDS і можуть самостійно перебудовувати пакетний фільтр або переривати сеанс, надсилаючи TCP RST. В залежності від принципу роботи, IPS може встановлюватися «вибух» або використовувати дзеркалювання трафіку (SPAN), що отримується з кількох сенсорів. Наприклад, вибух встановлюється Hogwash Light BR , яка працює на другому рівні OSI. Така система може мати IP-адреси, отже, залишається невидимою для зломщика.

У звичайному житті двері не тільки замикають назамок, але й додатково захищають, залишаючи біля них охоронця, адже тільки в цьому випадку можна бути впевненим у безпеці. ВIT як такий сек'юріті виступають хостові IPS (див. «Новий оборонний рубіж» в][_08_2009), що захищають локальну систему отвірусів, руткітів ізлому. Їх часто плутають сантивірусами, які мають модуль проактивного захисту. Але HIPS, як правило, не використовують сигнатури, а значить, не потребують постійного оновлення баз. Вони контролюють набагато більше системних параметрів: процеси, цілісність системних файлів і реєстру, записи в журналах і багато іншого.

Щоб повністю володіти ситуацією, необхідно контролювати і зіставляти події як на мережному рівні, так і на рівні хоста. Для цієї мети були створені гібридні IDS, які колектують дані з різних джерел (подібні системи часто відносять до SIM - Security Information Management). Серед OpenSource-проектів цікавий Prelude Hybrid IDS, що збирає дані практично всіх OpenSource IDS/IPS і розуміє формат журналів різних додатків (підтримка цієї системи призупинена кілька років тому, носібрані пакети ще можна знайти в репозиторіях Linux і * BSD).

У різноманітності запропонованих рішень може заплутатися навіть профі. Сьогодні ми познайомимося з найяскравішими представниками IDS/IPS-систем.

Об'єднаний контроль погроз

Сучасний інтернет несе величезну кількість загроз, тому вузькоспеціалізовані системи вже не актуальні. Необхідно використовувати комплексне багатофункціональне рішення, що включає всі компоненти захисту: фаєрвол, IDS/IPS, антивірус, проксі-сервер, контентний фільтр та антиспам-фільтр. Такі пристрої отримали назву Unified Threat Management (UTM), об'єднаний контроль загроз. В якості прикладів UTM можна навести Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances або спеціалізовані дистрибутиви Linux, такі як Untangle Gateway, IPCop Firewall, pfSense (читай їх огляд в статті [_01_2010).

Suricata

Бета-версія цієї IDS/IPS була представлена ​​на суд громадськості у січні 2010-го після трьох років розробок. Одна з головних цілей проекту - створення та обкатка абсолютно нових технологій виявлення атак. За Suricata стоїть об'єднання OISF, яке користується підтримкою серйозних партнерів, включаючи хлопців з US Department of Homeland Security. Актуальним на сьогодні є реліз під номером 1.1, що вийшов у листопаді 2011 року. Код проекту поширюється під ліцензією GPLv2, але фінансові партнери мають доступ до не GPL-версії двигуна, яку вони можуть використовувати у своїх продуктах. Для досягнення максимального результату до роботи залучається співтовариство, що дозволяє досягти дуже високого темпу розробки. Наприклад, у порівнянні з попередньою версією 1.0, обсяг коду в 1.1 зріс на 70%. Деякі сучасні IDS з довгою історією, в тому числі і Snort, не зовсім ефективно використовують багатопроцесорні / багатоядерні системи, що призводить до проблем при обробці великого обсягу даних. Suricata спочатку працює в багатопотоковому режимі. Тести показують, що вона шестиразово перевершує Snort незабаром (на системі з 24 CPU і 128 ГБ ОЗУ). При складанні з параметром '—enable-cuda' з'являється можливість апаратного прискорення на стороні GPU. Спочатку підтримується IPv6 (Snort активується ключем '—enable-ipv6'), для перехоплення трафіку використовуються стандартні інтерфейси: LibPcap, NFQueue, IPFRing, IPFW. Взагалі модульне компонування дозволяє швидко підключити потрібний елемент для захоплення, декодування, аналізу або обробки пакетів. Блокування здійснюється засобами штатного пакетного фільтра ОС (в Linux для активації режиму IPS необхідно встановити бібліотеки netlink-queue і libnfnetlink). Двигун автоматично визначає іпарсит протоколи (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP і SCTP), тому в правилах необов'язково прив'язуватися до номера порту (як це робить Snort), достатньо лише задати дію для потрібного протоколу . Ivan Ristic, автор Mod_security, створив спеціальну бібліотеку HTP, що застосовується в Suricata для аналізу HTTP-трафіку. Розробники передусім прагнуть домогтися точності виявлення і підвищення швидкості перевірки правил.

Висновок результатів уніфікований, тому можна використовувати стандартні утиліти для їхнього аналізу. Власне, всі бек-енди, інтерфейси і аналізатори, написані для Snort (Barnyard, Snortsnarf, Sguil і т. д.), без доробок працюють з Suricata. Це також великий плюс. Обмін по HTTP докладно журналується у файлі стандартного формату Apache.

Основу механізму детектування в Suricata становлять правила (rules). Тут розробники не стали поки нічого винаходити, а дозволили підключати рулсети, створені для інших проектів: Sourcefire VRT (можна оновлювати через Oinkmaster), і Emerging Threats Pro. У перших релізах підтримка була лише частковою, і двигун не розпізнавав і не завантажував деякі правила, але зараз ця проблема вирішена. Реалізовано і власний формат rules, що зовні нагадує снортовський. Правило складається з трьох компонентів: дія (pass, drop, reject або alert), заголовок (IP/порт джерела і призначення) і опис (що шукати). Вналаштуваннях використовуються змінні (механізм flowint), що дозволяють, наприклад, створювати лічильники. При цьому інформацію з потоку можна зберігати для подальшого використання. Такий підхід, застосовуваний для відстеження спроб підбору пароля, ефективніший, ніж використовуваний метод Snort, який оперує пороговим значенням спрацьовування. Планується створення механізму IP Reputation (на зразок SensorBase Cisco, див. статтю «Помацай Cisco» в][_07_2011).

Резюмуючи, зазначу, що Suricata - це більш швидкий двигун, ніж Snort, повністю сумісний знім поправилам ібек-ендам і здатний перевіряти великі мережеві потоки. Єдиний недолік проекту - мізерна документація, хоча досвідченому адміну нічого не варто розібратися з снабудовами. У репозиторіях дистрибутивів вже з'явилися пакети для встановлення, на сайті проекту доступні виразні інструкції по самостійному складання вихідників. Є готовий дистрибутив Smooth-sec, побудований на базі Suricata.

Samhain

Samhain, що випускається під OpenSource-ліцензією, відноситься до хостових IDS, що захищає окремий комп'ютер. Він використовує кілька методів аналізу, що дозволяють повністю охопити всі події, що відбуваються в системі:

• створення при першому запуску бази даних сигнатур важливих файлів її порівняння в подальшому з «живою» системою;
• моніторинг і аналіз записів в журналах;
• контроль входу/виходу в систему;
• моніторинг підключень коткритим мережевим портам;
• контроль файлів зіставленим SUID критих процесів.

Програма може бути запущена в режимі невидимості (задіюється модуль ядра), коли процеси ядра неможливо виявити в пам'яті. Samhain також підтримує моніторинг кількох вузлів, які працюють під управлінням різних ОС, реєстрацією всіх подій водній точці. При цьому встановлені на видалених вузлах агенти відсилають всю зібрану інформацію (TCP, AES, підпис) позашифрованому каналу на сервер (yule), який зберігає її в БД (MySQL, PostgreSQL, Oracle). Крім того, сервер відповідає за перевірку статусу клієнтських систем, поширення оновлень і конфігураційних файлів. Реалізовано кілька варіантів для сповіщень та відсилання зібраної інформації: e-mail (пошта підписується, щоб уникнути підробки), syslog, лог-файл (підписується), Nagios, консоль та ін Управління можна здійснювати за допомогою кількох адміністраторів лічильником встановленими ролями.

Пакет доступний в репозиторіях практично всіх дистрибутивів Linux, але проекту є опис, як встановити Samhain під Windows.

StoneGate Intrusion Prevention System

Це рішення розроблено фінською компанією, яка займається створенням продуктів корпоративного класу у сфері мережевої безпеки. В ньому реалізовані всі затребувані функції: IPS, захист від DDoS-і0day-атак, веб-фільтрація, підтримка зашифрованого трафіку тощо. Для веб-фільтрації використовується постійно оновлювана база сайтів, розділених на кілька категорій. Особлива увага приділяється захисту від систем безпеки AET (Advanced Evasion Techniques). Технологія Transparent Access Control дозволяє розбити корпоративну мережу на кілька віртуальних сегментів без зміни реальної топології і встановити для кожного з них індивідуальні політики безпеки. Політики перевірки трафіку налаштовуються за допомогою шаблонів, що містять типові правила. Ці політики створюються в онлайн-режимі. Адміністратор перевіряє створені політики та завантажує їх на видалені вузли IPS. Подібні події в StoneGate IPS обробляються за принципом, що використовується в SIM/SIEM-системах, що суттєво полегшує аналіз. Декілька пристроїв легко можна об'єднати вкластер інтегрувати з іншими рішеннями StoneSoft - StoneGate Firewall / VPN і StoneGate SSL VPN. Управління при цьому забезпечується з єдиної консолі управління (StoneGate Management Center), що складається з трьох компонентів: Management Server, Log Server і Management Client. Консоль дозволяє не тільки налаштовувати роботу IPS і створювати нові правила і політики, але проводити моніторинг і переглядати журнали. Вона написана на Java, тому доступні версії для Windows і Linux.

StoneGate IPS поставляється як у вигляді апаратного комплексу, так і у вигляді образу VMware. Останній призначений для встановлення на власному устаткуванні або у віртуальній інфраструктурі. До речі, на відміну від творців багатьох подібних рішень, компанія-розробник пропонує завантажити тестову версію образу.

IBM Security Network Intrusion Prevention System

Система запобігання атакам, розроблена IBM, використовує запатентовану технологію аналізу протоколів, яка забезпечує превентивний захист у тому числі иот0day-загроз. Як і у всіх продуктів серії IBM Security, його основою є модуль аналізу протоколів - PAM (Protocol Analysis Module), що поєднує традиційний сигнатурний метод виявлення атак (Proventia OpenSignature) і поведінковий аналізатор. При цьому PAM розрізняє 218 протоколів рівня додатків (атаки через VoIP, RPC, HTTP тощо) і такі формати даних, як DOC, XLS, PDF, ANI, JPG, щоб передбачати, куди може бути впроваджений шкідливий код. Для аналізу трафіку використовується понад 3000 алгоритмів, 200 з них «відловлюють» DoS. Функції міжмережевого екрану дозволяють дозволити доступ лише певним портам і IP, крім необхідності залучення додаткового пристрою. Технологія Virtual Patch блокує віруси на етапі поширення і захищає комп'ютери до установки оновлення, що усуває критичну вразливість. При необхідності адміністратор сам може створити та використовувати сигнатуру. Модуль контролю програм дозволяє керувати P2P, IM, ActiveX-елементами, засобами VPN і т. д. і при необхідності блокувати їх. Реалізовано модуль DLP, який відстежує спроби передачі конфіденційної інформації та переміщення даних в мережі, що дозволяє оцінювати ризики і блокувати витік. За замовчуванням розпізнається вісім типів даних (номери кредиток, телефони ...), іншу специфічну для організації інформацію адмін задає самостійно за допомогою регулярних виразів. В даний час більша частина вразливостей припадає на веб-додатки, тому в продукт IBM входить спеціальний модуль Web Application Security, який захищає системи від поширених видів атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF іт д.

Передбачено кілька варіантів дій при виявленні атаки - блокування хоста, відправлення попередження, запис трафіку атаки (вфайл, сумісний сtcpdump), приміщення вузла вкарантин, виконання дії, що настроюється користувачем, і деякі інші. Політики прописуються аж до кожного порту, IP-адреси або зони VLAN. Режим High Availability гарантує, що в разі виходу пристрою одного з кількох пристроїв IPS, наявних в мережі, трафік піде через інше, а встановлені з'єднання не перервуться. Усі підсистеми всередині залізниці – RAID, блок живлення, вентилятор охолодження – дубльовані. Налаштування, що здійснюється за допомогою веб-консолі, максимально просте (курси навчання тривають лише один день). За наявності кількох пристроїв зазвичай купується IBM Security SiteProtector, який забезпечує централізоване управління, виконує аналіз логів та створює звіти.

McAfee Network Security Platform 7

IntruShield IPS, що випускався компанією McAfee, свого часу був одним із популярних IPS-рішень. Тепер на його основі розроблено McAfee Network Security Platform 7 (NSP). На додаток до функцій класичного NIPS новий продукт отримав інструменти для аналізу пакетів, що передаються по внутрішній корпоративній мережі, що допомагає виявляти шкідливий трафік, ініційований зараженими комп'ютерами. В McAfee використовується технологія Global Threat Intelligence, яка збирає інформацію з сотень тисяч датчиків, встановлених по всьому світу, і оцінює репутацію всіх унікальних файлів, що проходять, IP-і URL-адрес і протоколів. Завдяки цьому NSP може виявляти трафік ботнета, виявляти 0day-загрози і DDoS-атаки, атакою широке охоплення дозволяє звести кнулю ймовірність помилкового спрацьовування.

Кожна IDS/IPS може працювати серед віртуальних машин, адже весь обмін відбувається за внутрішніми інтерфейсами. Але NSP не має проблем з цим, він вміє аналізувати трафік між VM, а також між VM і фізичним хостом. Для спостереження за вузлами використовується агентський модуль від компанії Reflex Systems, який збирає інформацію про отрафіку в VM і передає її в фізичне середовище для аналізу.

Двигун розрізняє більше 1100 додатків, що працюють на сьомому рівні OSI. Він переглядає трафік за допомогою механізму контент-аналізу та надає прості інструменти управління.

Окрім NIPS, McAfee випускає хостову IPS - Host Intrusion Prevention for Desktop, яка забезпечує комплексний захист ПК, використовуючи такі методи детектування загроз, як аналіз поведінки і сигнатур, контроль стану з'єднань за допомогою міжмережевого екрану, оцінка репутації для блокування атак.

Де розгорнути IDS/IPS?

Щоб максимально ефективно використовувати IDS/IPS, потрібно дотримуватись наступних рекомендацій:

• Систему необхідно розвертати на вході мережі або підмережі, що захищається і зазвичай закордонним мережевим екраном (немає сенсу контролювати трафік, який буде блокований) - так ми знизимо навантаження. У деяких випадках датчики встановлюють і всередині сегмента.
• Перед активацією функції IPS слід деякий час поганяти систему в режимі, що не блокує IDS. Надалі потрібно буде періодично коригувати правила.
• Більшість налаштувань IPS встановлені з розрахунком натипові мережі. У окремих випадках вони можуть виявитися неефективними, тому необхідно обов'язково вказати IP внутрішніх підмереж і використовувані додатки (порти). Це допоможе залізниці краще зрозуміти, навіщо вона має справу.
• Якщо IPS-система встановлюється «розрив», необхідно контролювати її працездатність, інакше вихід пристрою може запросто паралізувати всю мережу.

Висновок

Переможців визначати не будемо. Вибір у кожному конкретному випадку залежить від бюджету, топології мережі, необхідних функцій захисту, бажання адміна возитися з снабудовами і, звичайно ж, ризиків. Комерційні рішення отримують підтримку і забезпечуються сертифікатами, що дозволяє використовувати ці рішення в організаціях, що займаються в тому числі обробкою персональних даних. Сумісний знімок Suricata цілком може захистити мережу з великим трафіком і, головне, абсолютно безкоштовний.