Бүгүнкү санариптик доордо тармактын коопсуздугу ишканалар жана жеке адамдар туш болушу керек болгон маанилүү маселе болуп калды. Тармактык чабуулдардын тынымсыз эволюциясы менен салттуу коопсуздук чаралары жетишсиз болуп калды. Бул контекстте, Интрузияны аныктоо системасы (IDS) жана интрузияны алдын алуу системасы (IPS) The Times талап кылгандай пайда болуп, тармактын коопсуздугу жаатында эки негизги камкорчу болуп калышат. Алар окшош сезилиши мүмкүн, бирок алар иш жана колдонуу боюнча бир топ айырмаланат. Бул макалада IDS менен IPSтин ортосундагы айырмачылыктар терең изилденип, тармактык коопсуздуктун бул эки коргоочусу чечилет.
IDS: Тармак коопсуздугунун чалгынчысы
1. IDS интрузияны аныктоо системасынын (IDS) негизги түшүнүктөрүтармак трафигин көзөмөлдөө жана мүмкүн болуучу зыяндуу аракеттерди же бузууларды аныктоо үчүн арналган тармактык коопсуздук түзмөгү же программалык тиркеме. Тармак пакеттерин, журнал файлдарын жана башка маалыматты талдоо менен, IDS анормалдуу трафикти аныктайт жана администраторлорго тиешелүү каршы чараларды көрүүнү эскертет. IDSти тармактагы ар бир кыймылды байкап турган кунт коюп скаут катары элестетиңиз. Тармакта шектүү жүрүм-турум болгондо, IDS биринчи жолу байкап, эскертүү берет, бирок ал активдүү чара көрбөйт. Анын милдети "көйгөйлөрдү табуу" эмес, аларды чечүү.
2. IDS кантип иштейт IDS кантип иштейт негизинен төмөнкү ыкмаларга таянат:
Кол тамганы аныктоо:IDS белгилүү кол салуулардын колдорун камтыган колдордун чоң маалымат базасына ээ. Тармак трафиги маалымат базасындагы кол тамгага дал келгенде IDS эскертүү берет. Бул полиция шектүүлөрдү аныктоо үчүн манжа изинин маалымат базасын колдонгон сыяктуу, эффективдүү, бирок белгилүү маалыматка көз каранды.
Аномалияны аныктоо:IDS тармактын нормалдуу жүрүм-турум үлгүлөрүн үйрөнөт жана кадимки схемадан четтеген трафикти тапкандан кийин, аны потенциалдуу коркунуч катары карайт. Мисалы, эгерде кызматкердин компьютери күтүлбөгөн жерден түн ичинде чоң көлөмдөгү маалыматтарды жөнөтсө, IDS аномалдуу жүрүм-турумду белгилей алат. Бул кошунанын күнүмдүк иштери менен тааныш жана аномалиялар табылганда сергек боло турган тажрыйбалуу күзөтчү сыяктуу.
Протоколду талдоо:IDS бузуулар же анормалдуу протокол колдонуу бар же жок экенин аныктоо үчүн тармактык протоколдорго терең талдоо жүргүзөт. Мисалы, эгерде белгилүү бир пакеттин протокол форматы стандартка туура келбесе, IDS аны потенциалдуу чабуул катары карашы мүмкүн.
3. Артыкчылыктары жана кемчиликтери
IDS артыкчылыктары:
реалдуу убакыт мониторинг:IDS коопсуздук коркунучтарын өз убагында табуу үчүн реалдуу убакыт режиминде тармак трафигин көзөмөлдөй алат. Уйкусуз күзөтчүдөй, ар дайым тармактын коопсуздугун сактаңыз.
Ийкемдүүлүк:IDS бир нече деңгээлдеги коргоону камсыз кылган чек аралар, ички тармактар ж.б. сыяктуу тармактын ар кандай жерлеринде жайгаштырылышы мүмкүн. Бул тышкы чабуул болобу же ички коркунуч болобу, IDS аны аныктай алат.
Окуяларды каттоо:IDS өлүмдөн кийинки анализ жана криминалистика үчүн тармактык иш-аракеттердин деталдуу журналдарын жаза алат. Бул тармактагы ар бир майда-чүйдөсүнө чейин эсепке алган ишенимдүү катчы сыяктуу.
IDS кемчиликтери:
Жалган позитивдердин жогорку деңгээли:IDS кол коюуга жана аномалияны аныктоого таянгандыктан, кадимки трафикти зыяндуу аракет катары туура эмес баалоого болот, бул жалган позитивдерге алып келет. Жеткирүүчүнү ууру деп адаштырышы мүмкүн болгон өтө сезимтал күзөтчүдөй.
Проактивдүү коргой албайт:IDS эскертүүлөрдү гана аныктап, көтөрө алат, бирок зыяндуу трафикти алдын ала бөгөттөй албайт. Администраторлордун кол менен кийлигишүүсү да көйгөй табылгандан кийин талап кылынат, бул узак жооп берүү убактысына алып келиши мүмкүн.
Ресурстарды колдонуу:IDS өзгөчө трафик көп чөйрөдө системалык ресурстардын көптү ээлей турган чоң көлөмдөгү тармактык трафикти талдап чыгышы керек.
IPS: Тармак коопсуздугунун "Коргоочусу"
1. IPS Intrusion Prevention System (IPS) негизги концепциясыIDSтин негизинде иштелип чыккан тармактык коопсуздук түзүлүш же программалык тиркеме. Ал зыяндуу аракеттерди гана аныктабастан, реалдуу убакытта аларды алдын алып, тармакты чабуулдардан коргой алат. Эгерде IDS чалгынчы болсо, IPS эр жүрөк сакчы. Ал бир гана душманды таап тим болбостон, душмандын чабуулун токтотуу демилгесин да колго алат. IPSтин максаты - реалдуу убакытта кийлигишүү аркылуу тармактын коопсуздугун коргоо үчүн "көйгөйлөрдү табуу жана аларды оңдоо".
2. IPS кантип иштейт
IDS аныктоо функциясынын негизинде, IPS төмөнкү коргонуу механизмин кошот:
Трафик бөгөттөө:IPS зыяндуу трафикти аныктаганда, ал тармакка кирүүсүн алдын алуу үчүн бул трафикти дароо бөгөттөй алат. Мисалы, белгилүү бир кемчиликти колдонууга аракет кылган пакет табылса, IPS аны жөн эле таштайт.
Сеансты токтотуу:IPS зыяндуу хост ортосундагы сеансты токтотуп, чабуулчунун байланышын үзө алат. Мисалы, эгер IPS IP дарекке катаал чабуул жасалып жатканын аныктаса, ал IP менен байланышты жөн эле ажыратат.
Мазмунду чыпкалоо:IPS зыяндуу кодду же маалыматтарды берүүнү бөгөттөө үчүн тармак трафигинде мазмунду чыпкалоону аткара алат. Мисалы, эгер электрондук почта тиркемесинде зыяндуу программа бар экени аныкталса, IPS ал электрондук почтанын өткөрүлүшүнө бөгөт коёт.
IPS дарбазачы сыяктуу иштейт, шектүү адамдарды байкап гана койбостон, аларды артка кайтарат. Ал тез жооп берет жана коркунучтарды жайыла электе жок кыла алат.
3. IPSтин артыкчылыктары жана кемчиликтери
IPS артыкчылыктары:
Проактивдүү коргонуу:IPS реалдуу убакытта зыяндуу трафиктин алдын алып, тармактын коопсуздугун эффективдүү коргой алат. Бул жакшы даярдалган күзөтчү сыяктуу, душманды алар жакындай электе кайтара алат.
Автоматташтырылган жооп:IPS администраторлордун жүгүн азайтып, алдын ала аныкталган коргонуу саясатын автоматтык түрдө аткара алат. Мисалы, DDoS чабуулу аныкталганда, IPS байланышкан трафикти автоматтык түрдө чектей алат.
Терең коргоо:IPS коргоонун тереңирээк деңгээлин камсыз кылуу үчүн брандмауэрлер, коопсуздук шлюздары жана башка түзмөктөр менен иштей алат. Ал тармактын чек арасын гана коргобостон, ички критикалык активдерди да коргойт.
IPS кемчиликтери:
Жалган бөгөттөө тобокелдиги:IPS жаңылыштык менен кадимки трафикти бөгөттөп, тармактын нормалдуу иштешине таасирин тийгизиши мүмкүн. Мисалы, эгерде мыйзамдуу трафик зыяндуу катары туура эмес классификацияланса, ал кызматтын үзгүлтүккө учурашына алып келиши мүмкүн.
Аткаруу таасири:IPS тармактык трафикти реалдуу убакыт режиминде талдоону жана иштетүүнү талап кылат, бул тармактын иштешине кандайдыр бир таасирин тийгизиши мүмкүн. Айрыкча, жол кыймылынын көп чөйрөсүндө, бул кечигүүгө алып келиши мүмкүн.
Татаал конфигурация:IPSтин конфигурациясы жана тейлөөсү салыштырмалуу татаал жана башкаруу үчүн кесипкөй кызматкерлерди талап кылат. Эгерде ал туура конфигурацияланбаса, ал начар коргонуу эффектине алып келиши мүмкүн же жалган бөгөттөө маселесин курчутушу мүмкүн.
IDS жана IPS ортосундагы айырма
IDS жана IPS аталышында бир гана сөз айырмасы бар болсо да, алар функцияда жана колдонууда олуттуу айырмачылыктарга ээ. Бул жерде IDS жана IPS ортосундагы негизги айырмачылыктар болуп саналат:
1. Функционалдык позициялоо
IDS: Ал негизинен пассивдүү коргонууга тиешелүү болгон тармактагы коопсуздук коркунучтарын көзөмөлдөө жана аныктоо үчүн колдонулат. Ал чалгынчы сыяктуу иштейт, душманды көргөндө коңгуроо кылат, бирок чабуулга чыгуу демилгесин көтөрбөйт.
IPS: IDSке активдүү коргонуу функциясы кошулду, ал реалдуу убакытта зыяндуу трафикти бөгөттөй алат. Бул күзөтчү сыяктуу, душманды байкап гана тим болбостон, аларды сыртка чыгара да алат.
2. Жооп берүү стили
IDS: эскертүүлөр администратордун кол менен кийлигишүүсүн талап кылган коркунуч аныкталгандан кийин берилет. Бул күзөтчү душманды байкап, начальнигине отчет берип, көрсөтмө күтүп жаткандай.
IPS: Коргоо стратегиялары адамдын кийлигишүүсүз коркунуч аныкталгандан кийин автоматтык түрдө аткарылат. Душманды көрүп, кайра кагып салган кароолдой.
3. Жайгаштыруу жерлери
IDS: Адатта тармактын айланып өтүүчү жеринде жайгаштырылат жана тармак трафигине түздөн-түз таасирин тийгизбейт. Анын ролу байкоо жана жазуу болуп саналат, ал кадимки байланышка тоскоолдук кылбайт.
IPS: Адатта тармактын онлайн жайгашкан жеринде жайгаштырылат, ал тармак трафигин түздөн-түз башкарат. Бул реалдуу убакыт анализин жана трафиктин кийлигишүүсүн талап кылат, ошондуктан ал жогорку көрсөткүчкө ээ.
4. Жалган сигнализация/жалган блоктоо коркунучу
IDS: Жалган позитивдер тармак иштерине түздөн-түз таасир этпейт, бирок администраторлордун күрөшүнө алып келиши мүмкүн. Ашыкча сезгич күзөтчүдөй болуп, сиз тез-тез ойготкучтарды кагып, ишиңизди көбөйтө аласыз.
IPS: Жалган бөгөттөө кадимки кызматтын үзгүлтүккө учурашына жана тармактын жеткиликтүүлүгүнө таасир этиши мүмкүн. Бул өтө агрессивдүү жана дос аскерлерге зыян келтире турган күзөтчү сыяктуу.
5. Колдонуу учурлары
IDS: Коопсуздук аудити, инциденттерге жооп берүү ж.б. сыяктуу тармактык иш-аракеттерди терең талдоо жана мониторинг жүргүзүүнү талап кылган сценарийлер үчүн ылайыктуу. Мисалы, ишкана кызматкерлердин онлайн жүрүм-турумун көзөмөлдөө жана маалыматтарды бузууларды аныктоо үчүн IDS колдонушу мүмкүн.
IPS: Бул чек араны коргоо, критикалык кызматты коргоо ж.б. сыяктуу реалдуу убакыт режиминде тармакты чабуулдардан коргоону талап кылган сценарийлер үчүн ылайыктуу. Мисалы, ишкана өзүнүн тармагына тышкы чабуулчулардын киришине жол бербөө үчүн IPS колдонушу мүмкүн.
IDS жана IPS практикалык колдонулушу
IDS жана IPS ортосундагы айырманы жакшыраак түшүнүү үчүн, биз төмөнкү практикалык колдонуу сценарийин көрсөтө алабыз:
1. Ишкана тармагынын коопсуздугун коргоо Ишкана тармагында IDS кызматкерлердин онлайн жүрүм-турумун көзөмөлдөө жана мыйзамсыз кирүү же маалыматтардын агып кетүүсүн аныктоо үчүн ички тармакта жайгаштырылышы мүмкүн. Мисалы, эгерде кызматкердин компьютери зыяндуу веб-сайтка кирип жатканы аныкталса, IDS эскертүү берип, администраторду текшерүү үчүн эскертет.
IPS, экинчи жагынан, тышкы чабуулчулардын ишкана тармагын басып алышына жол бербөө үчүн тармактын чегинде жайгаштырылышы мүмкүн. Мисалы, IP дареги SQL инъекциялык чабуулга дуушар болгону аныкталса, IPS ишкананын маалымат базасынын коопсуздугун коргоо үчүн IP трафигин түздөн-түз бөгөттөйт.
2. Маалымат борборлорунун коопсуздугу Маалымат борборлорунда IDS анормалдуу байланыштын же зыяндуу программанын бар экендигин аныктоо үчүн серверлер ортосундагы трафикти көзөмөлдөө үчүн колдонулушу мүмкүн. Мисалы, сервер тышкы дүйнөгө көп сандагы шектүү маалыматтарды жөнөтүп жатса, IDS анормалдуу жүрүм-турумду белгилейт жана администраторго аны текшерүү үчүн эскертет.
IPS, экинчи жагынан, DDoS чабуулдарын, SQL инъекциясын жана башка зыяндуу трафикти бөгөттөө үчүн маалымат борборлорунун кире беришинде жайгаштырылышы мүмкүн. Мисалы, DDoS чабуулу маалымат борборун кыйратууга аракет кылып жатканын аныктасак, IPS кызматтын нормалдуу иштешин камсыз кылуу үчүн байланышкан трафикти автоматтык түрдө чектейт.
3. Булут коопсуздугу Булут чөйрөсүндө IDS булут кызматтарынын колдонулушун көзөмөлдөө жана ресурстарды уруксатсыз же туура эмес пайдаланууну аныктоо үчүн колдонулушу мүмкүн. Мисалы, эгер колдонуучу уруксатсыз булут ресурстарына кирүүгө аракет кылса, IDS эскертүү берип, администраторго чара көрүү үчүн эскертет.
IPS, экинчи жагынан, булут кызматтарын тышкы чабуулдардан коргоо үчүн булут тармагынын четине жайгаштырылышы мүмкүн. Мисалы, булут кызматына катаал чабуул жасоо үчүн IP дареги аныкталса, IPS булут кызматынын коопсуздугун коргоо үчүн IPден түздөн-түз ажыратылат.
IDS жана IPS биргелешкен колдонуу
Иш жүзүндө, IDS жана IPS өзүнчө жок, бирок тармактын коопсуздугун комплекстүү коргоону камсыз кылуу үчүн чогуу иштей алат. Мисалы:
IDS IPSке кошумча катары:IDS IPS коркунучтарды жакшыраак аныктоого жана бөгөт коюуга жардам берүү үчүн трафиктин терең анализин жана окуялардын журналын камсыздай алат. Мисалы, IDS узак мөөнөттүү мониторинг аркылуу жашыруун чабуул моделдерин аныктай алат, андан кийин коргонуу стратегиясын оптималдаштыруу үчүн бул маалыматты кайра IPSке берет.
IPS IDSтин аткаруучусу катары иштейт:IDS коркунучту аныктагандан кийин, автоматташтырылган жоопко жетүү үчүн тиешелүү коргонуу стратегиясын аткаруу үчүн IPSти иштете алат. Мисалы, эгер IDS IP дареги кара ниеттик менен сканерленип жатканын аныктаса, ал ошол IPден трафикти түздөн-түз бөгөттөө үчүн IPSке кабарлай алат.
IDS жана IPS айкалыштыруу менен ишканалар жана уюмдар ар кандай тармактык коркунучтарга натыйжалуу каршы туруу үчүн тармактык коопсуздукту коргоонун күчтүү тутумун кура алышат. IDS көйгөйдү табуу үчүн жооп берет, IPS көйгөйдү чечүү үчүн жооп берет, экөө бири-бирин толуктап турат, экөө тең иштебейт.
Туура тапNetwork Packet Brokerсиздин IDS (Интрузияны аныктоо системасы) менен иштөө үчүн
Туура тапInline Bypass Tap Switchсиздин IPS (Интрузиянын алдын алуу системасы) менен иштөө үчүн
Посттун убактысы: 23-апрель-2025
