Security

IDS и IPS

IDS обнаруживает атаки и сообщает о них, IPS стоит в разрыве трафика и блокирует их на лету.

Что такое IDS и IPS

IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений (по-русски СОВ). IPS — Intrusion Prevention System, система предотвращения вторжений (СПВ). Обе анализируют трафик и события в поисках атак. Разница ровно одна — что происходит при обнаружении:

IDS IPS
Реакция Оповещает Блокирует
Включение Копия трафика (SPAN/TAP) В разрыв (inline)
Влияние на трафик Нулевое Задержка, точка отказа
Цена ошибки Лишний алерт Заблокированный клиент
Отказ устройства Трафик идёт как шёл Сеть встала (если не настроен bypass)

Отсюда практический выбор. IPS сильнее, но опаснее: ложное срабатывание в inline-режиме означает не письмо аналитику, а недоступность сервиса для реальных пользователей. Поэтому новую систему всегда запускают как IDS, неделями смотрят, что она ловит, глушат ложные срабатывания — и только потом переводят критичные сигнатуры в блокировку.

Не путайте с межсетевым экраном: firewall решает, разрешено ли соединение по адресам и портам, IDS/IPS смотрит внутрь разрешённого и ищет там атаку. В современных NGFW обе функции живут в одной коробке, но логически это разные механизмы.

Небольшая оговорка на случай, если вы искали не то: IPS также означает In-Plane Switching — тип матрицы монитора. К безопасности отношения не имеет.

Сетевые и хостовые

  • NIDS/NIPS (сетевые) — анализируют трафик сегмента. Видят сканирование, эксплойты, C2-каналы. Слепы к тому, что происходит внутри TLS, и не видят ничего внутри хоста.
  • HIDS/HIPS (хостовые) — агент на сервере. Смотрит логи, целостность файлов, процессы, попытки входа. Видит результат атаки даже там, где трафик был зашифрован.

Они дополняют друг друга: сетевая система замечает попытку, хостовая — что попытка удалась.

Как обнаруживают

  • Сигнатурный метод. Сравнение с базой известных атак. Точен, почти не даёт ложных срабатываний, но бессилен против нового — сигнатуры нужно постоянно обновлять.
  • Аномалии. Строится профиль нормального поведения, отклонения помечаются. Ловит неизвестные атаки, но щедро сыплет ложными срабатываниями и требует «чистого» периода обучения.
  • Эвристики и репутация. Правила и фиды индикаторов компрометации.

Работающие системы комбинируют все три.

Инструменты

Suricata — актуальный выбор для сети: многопоточная, умеет и IDS, и IPS, разбирает протоколы, пишет метаданные о соединениях. Snort — исторический стандарт, его формат правил стал общим языком. Zeek — не столько IDS, сколько анализатор трафика: не кричит «атака», а даёт детальную картину сетевых событий для расследований. Wazuh — самый распространённый HIDS: агент, контроль целостности файлов, анализ логов, встроенная связка с SIEM.

# suricata.yaml — IDS-режим: слушаем копию трафика
af-packet:
  - interface: eth0
    cluster-type: cluster_flow

# IPS-режим: трафик проходит через NFQUEUE
# iptables -I FORWARD -j NFQUEUE --queue-num 0
# правило: сигнатура + действие
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"SQLi attempt"; \
  content:"union select"; nocase; sid:1000001; rev:1;)
drop  tcp  $EXTERNAL_NET any -> $HOME_NET 22 (msg:"SSH brute force"; \
  threshold:type both, track by_src, count 10, seconds 60; sid:1000002; rev:1;)

alert — режим IDS, drop — IPS. Одна буква отделяет наблюдение от блокировки.

Российская сертификация

Для аттестуемых систем — ИСПДн, государственных, объектов КИИ — требуется сертифицированное средство: приказ ФСТЭК России № 638 от 06.12.2011 задаёт требования к системам обнаружения вторжений, деля их на уровни (сетевой и узловой) и шесть классов защиты. Suricata в таком контуре формально не подходит, каким бы хорошим движком ни была: нужны сертифицированные продукты — «Континент», ViPNet IDS, PT NAD, «Рубикон». Подробнее — в статье про СЗИ.

Практика

  • Дайте системе нужные данные. NIDS на облачном сервере без зеркала порта не увидит ничего — планируйте включение заранее.
  • Не пытайтесь читать весь HTTPS. Инспекция TLS с подменой сертификата ломает pinning и порождает юридические вопросы. Часто дешевле поставить HIDS на хост.
  • Считайте ресурсы. Разбор трафика на 10 Гбит/с — это реальная нагрузка на CPU, а не «поставим на свободную виртуалку».
  • Алерты должны куда-то идти. IDS без SIEM и дежурного — это лог, который никто не читает.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер