IDS и IPS
IDS обнаруживает атаки и сообщает о них, IPS стоит в разрыве трафика и блокирует их на лету.
Что такое IDS и IPS
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений (по-русски СОВ). IPS — Intrusion Prevention System, система предотвращения вторжений (СПВ). Обе анализируют трафик и события в поисках атак. Разница ровно одна — что происходит при обнаружении:
| IDS | IPS | |
|---|---|---|
| Реакция | Оповещает | Блокирует |
| Включение | Копия трафика (SPAN/TAP) | В разрыв (inline) |
| Влияние на трафик | Нулевое | Задержка, точка отказа |
| Цена ошибки | Лишний алерт | Заблокированный клиент |
| Отказ устройства | Трафик идёт как шёл | Сеть встала (если не настроен bypass) |
Отсюда практический выбор. IPS сильнее, но опаснее: ложное срабатывание в inline-режиме означает не письмо аналитику, а недоступность сервиса для реальных пользователей. Поэтому новую систему всегда запускают как IDS, неделями смотрят, что она ловит, глушат ложные срабатывания — и только потом переводят критичные сигнатуры в блокировку.
Не путайте с межсетевым экраном: firewall решает, разрешено ли соединение по адресам и портам, IDS/IPS смотрит внутрь разрешённого и ищет там атаку. В современных NGFW обе функции живут в одной коробке, но логически это разные механизмы.
Небольшая оговорка на случай, если вы искали не то: IPS также означает In-Plane Switching — тип матрицы монитора. К безопасности отношения не имеет.
Сетевые и хостовые
- NIDS/NIPS (сетевые) — анализируют трафик сегмента. Видят сканирование, эксплойты, C2-каналы. Слепы к тому, что происходит внутри TLS, и не видят ничего внутри хоста.
- HIDS/HIPS (хостовые) — агент на сервере. Смотрит логи, целостность файлов, процессы, попытки входа. Видит результат атаки даже там, где трафик был зашифрован.
Они дополняют друг друга: сетевая система замечает попытку, хостовая — что попытка удалась.
Как обнаруживают
- Сигнатурный метод. Сравнение с базой известных атак. Точен, почти не даёт ложных срабатываний, но бессилен против нового — сигнатуры нужно постоянно обновлять.
- Аномалии. Строится профиль нормального поведения, отклонения помечаются. Ловит неизвестные атаки, но щедро сыплет ложными срабатываниями и требует «чистого» периода обучения.
- Эвристики и репутация. Правила и фиды индикаторов компрометации.
Работающие системы комбинируют все три.
Инструменты
Suricata — актуальный выбор для сети: многопоточная, умеет и IDS, и IPS, разбирает протоколы, пишет метаданные о соединениях. Snort — исторический стандарт, его формат правил стал общим языком. Zeek — не столько IDS, сколько анализатор трафика: не кричит «атака», а даёт детальную картину сетевых событий для расследований. Wazuh — самый распространённый HIDS: агент, контроль целостности файлов, анализ логов, встроенная связка с SIEM.
# suricata.yaml — IDS-режим: слушаем копию трафика
af-packet:
- interface: eth0
cluster-type: cluster_flow
# IPS-режим: трафик проходит через NFQUEUE
# iptables -I FORWARD -j NFQUEUE --queue-num 0
# правило: сигнатура + действие
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"SQLi attempt"; \
content:"union select"; nocase; sid:1000001; rev:1;)
drop tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"SSH brute force"; \
threshold:type both, track by_src, count 10, seconds 60; sid:1000002; rev:1;)
alert — режим IDS, drop — IPS. Одна буква отделяет наблюдение от блокировки.
Российская сертификация
Для аттестуемых систем — ИСПДн, государственных, объектов КИИ — требуется сертифицированное средство: приказ ФСТЭК России № 638 от 06.12.2011 задаёт требования к системам обнаружения вторжений, деля их на уровни (сетевой и узловой) и шесть классов защиты. Suricata в таком контуре формально не подходит, каким бы хорошим движком ни была: нужны сертифицированные продукты — «Континент», ViPNet IDS, PT NAD, «Рубикон». Подробнее — в статье про СЗИ.
Практика
- Дайте системе нужные данные. NIDS на облачном сервере без зеркала порта не увидит ничего — планируйте включение заранее.
- Не пытайтесь читать весь HTTPS. Инспекция TLS с подменой сертификата ломает pinning и порождает юридические вопросы. Часто дешевле поставить HIDS на хост.
- Считайте ресурсы. Разбор трафика на 10 Гбит/с — это реальная нагрузка на CPU, а не «поставим на свободную виртуалку».
- Алерты должны куда-то идти. IDS без SIEM и дежурного — это лог, который никто не читает.
Связанные термины
- Межсетевые экраны / WAF — соседний рубеж защиты
- SIEM — куда стекаются события IDS
- SOC — кто разбирает срабатывания
- DDoS-атаки — один из типов обнаруживаемых атак
- СЗИ и СДЗ — требования к сертифицированным СОВ
- Несанкционированный доступ — что пытается предотвратить IPS
Готовы запустить GPU-задачу?
Запустить GPU-сервер