Бүгүнкү санарип доорунда тармактык коопсуздук ишканалар жана жеке адамдар туш болушу керек болгон маанилүү маселеге айланды. Тармактык чабуулдардын тынымсыз өнүгүшү менен салттуу коопсуздук чаралары жетишсиз болуп калды. Бул контекстте, The Times талап кылгандай, кирүүлөрдү аныктоо системасы (IDS) жана кирүүлөрдүн алдын алуу системасы (IPS) пайда болуп, тармактык коопсуздук жаатындагы эки негизги коргоочуга айланды. Алар окшош көрүнүшү мүмкүн, бирок алар функционалдуулугу жана колдонулушу боюнча бир топ айырмаланат. Бул макалада IDS менен IPSтин ортосундагы айырмачылыктар терең каралат жана тармактык коопсуздуктун бул эки коргоочусунун сырларын чечмелейт.
IDS: Тармактык коопсуздук боюнча скаут
1. IDS басып кирүүнү аныктоо системасынын (IDS) негизги түшүнүктөрүтармактык трафикти көзөмөлдөө жана потенциалдуу зыяндуу аракеттерди же бузууларды аныктоо үчүн иштелип чыккан тармактык коопсуздук түзмөгү же программалык тиркемеси. Тармактык пакеттерди, журнал файлдарын жана башка маалыматтарды талдоо менен, IDS анормалдуу трафикти аныктайт жана администраторлорго тиешелүү каршы чараларды көрүү жөнүндө эскертет. IDSти тармактагы ар бир кыймылды байкап турган көңүл буруучу чалгынчы катары элестетиңиз. Тармакта шектүү жүрүм-турум болгондо, IDS биринчи жолу аныктап, эскертүү берет, бирок ал активдүү аракеттерди көрбөйт. Анын милдети - "көйгөйлөрдү табуу", "аларды чечүү" эмес.
2. IDS кантип иштейт IDS кантип иштейт негизинен төмөнкү ыкмаларга таянат:
Кол тамганы аныктоо:IDS белгилүү чабуулдардын кол тамгаларын камтыган кол тамгалардын чоң маалымат базасына ээ. Тармак трафиги маалымат базасындагы кол тамгага дал келгенде, IDS эскертүү берет. Бул полициянын шектүүлөрдү аныктоо үчүн манжа изинин маалымат базасын колдонгонуна окшош, натыйжалуу, бирок белгилүү маалыматка көз каранды.
Аномалияны аныктоо:IDS тармактын кадимки жүрүм-турум үлгүлөрүн үйрөнөт жана кадимки үлгүдөн четтеген трафикти тапкандан кийин, аны потенциалдуу коркунуч катары карайт. Мисалы, эгерде кызматкердин компьютери түнкүсүн күтүүсүздөн көп көлөмдөгү маалыматтарды жөнөтсө, IDS аномалдуу жүрүм-турумду белгилеши мүмкүн. Бул коңшулуктун күнүмдүк иш-аракеттери менен тааныш болгон жана аномалиялар аныкталганда сергек боло турган тажрыйбалуу күзөтчүгө окшош.
Протоколду талдоо:IDS тармактык протоколдорду терең талдоо жүргүзүп, алардын бузулгандыгын же протоколдун анормалдуу колдонулушун аныктайт. Мисалы, эгерде белгилүү бир пакеттин протокол форматы стандартка туура келбесе, IDS муну потенциалдуу чабуул катары карашы мүмкүн.
3. Артыкчылыктары жана кемчиликтери
IDSтин артыкчылыктары:
Реалдуу убакыт режиминде мониторинг жүргүзүү:IDS коопсуздук коркунучтарын өз убагында табуу үчүн тармактык трафикти реалдуу убакыт режиминде көзөмөлдөй алат. Уйкусуз күзөтчү сыяктуу, ар дайым тармактын коопсуздугун сактаңыз.
Ийкемдүүлүк:IDS тармактын ар кайсы жерлеринде, мисалы, чек араларда, ички тармактарда ж.б. жайгаштырылышы мүмкүн, бул бир нече деңгээлдеги коргоону камсыз кылат. Тышкы чабуулбу же ички коркунучпу, IDS аны аныктай алат.
Иш-чараларды каттоо:IDS өлгөндөн кийинки талдоо жана соттук-медициналык экспертиза үчүн тармактын деталдуу иш-аракеттер журналдарын жазып ала алат. Бул тармактагы ар бир деталдын эсебин жүргүзгөн ишенимдүү катчыга окшош.
IDS кемчиликтери:
Жалган оң натыйжалардын жогорку көрсөткүчү:IDS кол тамгаларга жана аномалияларды аныктоого таянгандыктан, кадимки трафикти зыяндуу иш-аракет катары туура эмес баалап, жалган оң натыйжаларга алып келиши мүмкүн. Жеткирүүчүнү ууру деп жаңылыштырып алышы мүмкүн болгон өтө сезимтал коопсуздук кызматкери сыяктуу.
Алдын ала коргонууга мүмкүн эмес:IDS эскертүүлөрдү гана аныктап жана жөнөтө алат, бирок зыяндуу трафикти алдын ала бөгөттөй албайт. Көйгөй табылгандан кийин администраторлордун кол менен кийлигишүүсү да талап кылынат, бул жооп берүү убактысынын узак болушуна алып келиши мүмкүн.
Ресурстарды колдонуу:IDS тармактык трафиктин көп көлөмүн талдоосу керек, ал, айрыкча, трафик көп болгон чөйрөдө, системалык ресурстардын көп бөлүгүн ээлеп алышы мүмкүн.
IPS: Тармак коопсуздугунун "коргоочусу"
1. IPS кирүүсүнүн алдын алуу системасынын (IPS) негизги концепциясыIDS негизинде иштелип чыккан тармактык коопсуздук түзмөгү же программалык тиркеме. Ал зыяндуу аракеттерди гана аныктабастан, аларды реалдуу убакытта алдын алып, тармакты чабуулдардан коргой алат. Эгерде IDS чалгынчы болсо, IPS эр жүрөк күзөтчү. Ал душманды гана аныктабастан, душмандын чабуулун токтотуу үчүн демилгени колго алат. IPSтин максаты - реалдуу убакыттагы кийлигишүү аркылуу тармактык коопсуздукту коргоо үчүн "көйгөйлөрдү таап, аларды оңдоо".
2. IPS кантип иштейт
IDS аныктоо функциясына негизделген IPS төмөнкү коргонуу механизмин кошот:
Жол кыймылын бөгөттөө:IPS зыяндуу трафикти аныктаганда, ал бул трафиктин тармакка киришине жол бербөө үчүн дароо бөгөттөй алат. Мисалы, эгерде пакет белгилүү бир алсыздыкты пайдаланууга аракет кылып жатса, IPS аны жөн гана өчүрүп салат.
Сессиянын аякташы:IPS зыяндуу хосттун ортосундагы сеансты токтотуп, чабуулчунун байланышын үзө алат. Мисалы, эгер IPS IP дарекке bruteforce чабуулу жасалып жатканын аныктаса, ал жөн гана ошол IP менен байланышты үзөт.
Мазмунду чыпкалоо:IPS зыяндуу коддун же маалыматтардын берилишин бөгөттөө үчүн тармактык трафиктеги мазмунду чыпкалай алат. Мисалы, эгерде электрондук почта тиркемесинде зыяндуу программа бар экени аныкталса, IPS ал электрондук почтанын берилишин бөгөттөйт.
IPS эшик кайтаруучудай иштейт, шектүү адамдарды байкап гана тим болбостон, аларды четке кагат. Ал тез жооп берет жана коркунучтарды жайыла электе жок кыла алат.
3. IPSтин артыкчылыктары жана кемчиликтери
IPSтин артыкчылыктары:
Проактивдүү коргонуу:IPS зыяндуу трафикти реалдуу убакытта алдын алып, тармактын коопсуздугун натыйжалуу коргой алат. Бул душмандар жакындай электе аларды кууп жете алган жакшы үйрөтүлгөн күзөтчү сыяктуу.
Автоматташтырылган жооп:IPS алдын ала аныкталган коргонуу саясатын автоматтык түрдө аткара алат, бул администраторлордун жүгүн азайтат. Мисалы, DDoS чабуулу аныкталганда, IPS байланышкан трафикти автоматтык түрдө чектей алат.
Терең коргоо:IPS брандмауэрлер, коопсуздук шлюздары жана башка түзмөктөр менен тереңирээк коргоону камсыз кылуу үчүн иштей алат. Ал тармактын чек арасын гана эмес, ички маанилүү активдерди да коргойт.
IPSтин кемчиликтери:
Жалган бөгөттөө коркунучу:IPS ката менен кадимки трафикти бөгөттөп, тармактын кадимки иштешине таасир этиши мүмкүн. Мисалы, эгерде мыйзамдуу трафик зыяндуу деп туура эмес классификацияланса, ал кызматтын үзгүлтүккө учурашына алып келиши мүмкүн.
Иштин натыйжалуулугуна тийгизген таасири:IPS тармактык трафикти реалдуу убакыт режиминде талдоону жана иштетүүнү талап кылат, бул тармактын иштешине кандайдыр бир таасирин тийгизиши мүмкүн. Айрыкча, трафик көп болгон чөйрөдө, бул кечигүүнүн көбөйүшүнө алып келиши мүмкүн.
Татаал конфигурация:IPSти конфигурациялоо жана тейлөө салыштырмалуу татаал жана аны башкаруу үчүн кесипкөй персонал талап кылынат. Эгерде ал туура конфигурацияланбаса, ал коргонуу эффектинин начарлашына же жалган бөгөттөө көйгөйүн күчөтүшү мүмкүн.
IDS жана IPS ортосундагы айырмачылыктар
IDS жана IPS аталыштарында бир гана сөз айырмасы болгону менен, алардын функциясы жана колдонулушу боюнча олуттуу айырмачылыктар бар. IDS менен IPSтин негизги айырмачылыктары төмөнкүлөр:
1. Функционалдык позициялоо
IDS: Ал негизинен тармактагы коопсуздук коркунучтарын көзөмөлдөө жана аныктоо үчүн колдонулат, бул пассивдүү коргонууга кирет. Ал чалгынчы сыяктуу иштейт, душманды көргөндө коңгуроо кагат, бирок чабуул коюу демилгесин колго албайт.
IPS: IDSке активдүү коргонуу функциясы кошулган, ал зыяндуу трафикти реалдуу убакытта бөгөттөй алат. Ал күзөтчү сыяктуу, душманды аныктап гана тим болбостон, аларды алыс кармай да алат.
2. Жооп берүү стили
IDS: Коркунуч аныкталгандан кийин эскертүүлөр берилет, бул администратордун кол менен кийлигишүүсүн талап кылат. Бул күзөтчүнүн душманды байкап, көрсөтмөлөрдү күтүп, жетекчилерине кабарлаганына окшош.
IPS: Коргонуу стратегиялары адамдын кийлигишүүсүз коркунуч аныкталгандан кийин автоматтык түрдө аткарылат. Бул душманды көрүп, аны артка чегинткен күзөтчүгө окшош.
3. Жайгаштыруу жерлери
IDS: Адатта тармактын айланып өтүүчү жеринде жайгаштырылат жана тармактык трафикке түздөн-түз таасир этпейт. Анын ролу байкоо жүргүзүү жана жаздыруу болуп саналат жана ал кадимки байланышка тоскоол болбойт.
IPS: Адатта тармактын онлайн жайгашкан жеринде жайгаштырылат, ал тармактык трафикти түздөн-түз иштетет. Ал реалдуу убакыт режиминде талдоону жана трафикке кийлигишүүнү талап кылат, ошондуктан ал жогорку өндүрүмдүүлүккө ээ.
4. Жалган сигнал берүү/жалган блоктоо коркунучу
IDS: Жалган оң натыйжалар тармактын иштешине түздөн-түз таасир этпейт, бирок администраторлорго кыйынчылык жаратышы мүмкүн. Өтө сезимтал күзөтчү сыяктуу, сиз тез-тез коңгуроо кагып, жумуш жүгүңүздү көбөйтүшүңүз мүмкүн.
IPS: Жалган бөгөттөө кадимки кызматтын үзгүлтүккө учурашына алып келиши жана тармактын жеткиликтүүлүгүнө таасир этиши мүмкүн. Бул өтө агрессивдүү жана достук мамиледеги аскерлерге зыян келтире турган күзөтчүгө окшош.
5. Колдонуу учурлары
IDS: Коопсуздук аудити, окуяларга жооп кайтаруу ж.б. сыяктуу тармактык иш-аракеттерди терең талдоону жана мониторинг жүргүзүүнү талап кылган сценарийлер үчүн ылайыктуу. Мисалы, ишкана кызматкерлердин онлайн жүрүм-турумун көзөмөлдөө жана маалыматтардын бузулушун аныктоо үчүн IDSти колдонушу мүмкүн.
IPS: Ал чек араны коргоо, маанилүү кызматтарды коргоо ж.б. сыяктуу тармакты реалдуу убакыт режиминде чабуулдардан коргоону талап кылган сценарийлер үчүн ылайыктуу. Мисалы, ишкана тышкы чабуулчулардын анын тармагына кирүүсүнө жол бербөө үчүн IPSти колдонушу мүмкүн.
IDS жана IPSтин практикалык колдонулушу
IDS жана IPS ортосундагы айырмачылыкты жакшыраак түшүнүү үчүн, биз төмөнкү практикалык колдонуу сценарийин көрсөтө алабыз:
1. Ишкананын тармагынын коопсуздугун коргоо Ишкананын тармагында IDS кызматкерлердин онлайн жүрүм-турумун көзөмөлдөө жана мыйзамсыз кирүү же маалыматтардын агып кетишин аныктоо үчүн ички тармакка жайгаштырылышы мүмкүн. Мисалы, эгерде кызматкердин компьютери зыяндуу веб-сайтка кирип жатканы аныкталса, IDS эскертүү берип, администраторго иликтөө жүргүзүүнү эскертет.
Ал эми IPS тышкы чабуулчулардын ишкана тармагына кирип кетишине жол бербөө үчүн тармактын чек арасында жайгаштырылышы мүмкүн. Мисалы, эгерде IP дареги SQL инъекциялык чабуулуна кабылгандыгы аныкталса, IPS ишкана маалымат базасынын коопсуздугун коргоо үчүн IP трафигин түздөн-түз бөгөттөйт.
2. Маалымат борборунун коопсуздугу Маалымат борборлорунда IDS серверлердин ортосундагы трафикти көзөмөлдөө жана анормалдуу байланыштын же зыяндуу программалык камсыздоонун бар экендигин аныктоо үчүн колдонулушу мүмкүн. Мисалы, эгер сервер тышкы дүйнөгө көп көлөмдөгү шектүү маалыматтарды жөнөтүп жатса, IDS анормалдуу жүрүм-турумду белгилеп, администраторго аны текшерүү жөнүндө эскертет.
Ал эми IPS маалымат борборлорунун кире беришине DDoS чабуулдарын, SQL инъекциясын жана башка зыяндуу трафикти бөгөттөө үчүн жайгаштырылышы мүмкүн. Мисалы, эгерде биз DDoS чабуулу маалымат борборун иштен чыгарууга аракет кылып жатканын аныктасак, IPS кызматтын кадимки иштешин камсыз кылуу үчүн байланышкан трафикти автоматтык түрдө чектейт.
3. Булут коопсуздугу Булут чөйрөсүндө IDS булут кызматтарын колдонууну көзөмөлдөө жана ресурстарга уруксатсыз кирүү же туура эмес пайдалануу бар-жогун аныктоо үчүн колдонулушу мүмкүн. Мисалы, эгерде колдонуучу уруксатсыз булут ресурстарына кирүүгө аракет кылып жатса, IDS эскертүү берип, администраторго чара көрүү жөнүндө эскертет.
Ал эми IPS булут кызматтарын тышкы чабуулдардан коргоо үчүн булут тармагынын четине жайгаштырылышы мүмкүн. Мисалы, эгерде булут кызматына каршы күч чабуулун баштоо үчүн IP дареги аныкталса, IPS булут кызматынын коопсуздугун коргоо үчүн IPден түздөн-түз ажырайт.
IDS жана IPS биргелешип колдонуу
Иш жүзүндө, IDS жана IPS өзүнчө жашай алышпайт, бирок тармактык коопсуздукту комплекстүү коргоону камсыз кылуу үчүн биргелешип иштей алышат. Мисалы:
IPSке кошумча катары IDS:IDS IPSке коркунучтарды жакшыраак аныктоого жана бөгөттөөгө жардам берүү үчүн трафикти тереңирээк талдоону жана окуяларды каттоону камсыздай алат. Мисалы, IDS узак мөөнөттүү мониторинг аркылуу жашыруун чабуул схемаларын аныктай алат, андан кийин бул маалыматты IPSке коргонуу стратегиясын оптималдаштыруу үчүн кайтарып бере алат.
IPS IDSтин аткаруучусу катары иштейт:IDS коркунучту аныктагандан кийин, ал IPSти автоматташтырылган жоопко жетүү үчүн тиешелүү коргонуу стратегиясын аткарууга түрткү бере алат. Мисалы, эгер IDS IP дареги зыяндуу түрдө сканерленип жатканын аныктаса, ал IPSке ошол IPден түз трафикти бөгөттөө жөнүндө кабарлай алат.
IDS жана IPSти айкалыштыруу менен, ишканалар жана уюмдар ар кандай тармактык коркунучтарга натыйжалуу каршы туруу үчүн тармактык коопсуздукту коргоонун күчтүүрөөк системасын кура алышат. IDS көйгөйдү табууга, IPS көйгөйдү чечүүгө жооптуу, экөө бири-бирин толуктап турат, экөө тең сөзсүз эмес.
Туурасын табууТармактык пакет брокериIDS (кирип кирүүлөрдү аныктоо системасы) менен иштөө үчүн
Туурасын табууСап ичиндеги айланып өтүүчү баскыч которгучуIPS (кирип кирүүнүн алдын алуу системасы) менен иштөө үчүн
Жарыяланган убактысы: 2025-жылдын 23-апрели
