Ips - Nips
Menu | Index
Systemy NIPS są zaprojektowane jako integralne składniki (działają in-line) sieci, w której są instalowane. Pozwala im to na lepsze zabezpieczanie sieci, ale też nakłada dużą odpowiedzialność na system NIPS, który staje się ważnym składnikiem sieci, a co za tym idzie - jego uszkodzenie powoduje poważne konsekwencje.
Podział systemów NIPS:
- content based - analizują zawartość przesyłanych pakietów w poszukiwaniu sygnatur ataków
- rate based - analizują ilość i "rodzaj" ruchu sieciowego - wyszukują anomalii, np. uczą się jak wygląda ruch w danej sieci w weekendy i traktują wszelkie odstępstwa od normy jako zagrożenie
Korzyści związane z używaniem systemów typu NIPS:
- dzięki temu, że systemy NIPS działają in-line, tysiące maszyn może być chronionych przed atakami w jednym miejscu co pozwala dostosowywać rodzaj zabezpieczeń w oderwaniu od architektury reszty sieci
- łatwiejsza instalacja niż w przypadku systemów HIPS - wystarczy zainstalować i skonfigurować system NIPS jako składnik sieci, nie trzeba niczego instalować na pojedynczych maszynach
- system NIPS ma lepszy "przegląd sytuacji" w sieci niż system HIPS związany z pojedynczą maszyną - system NIPS ma dostęp do całego ruchu sieciowego, może analizować ruch sieciowy w kontekście pracy całej sieci, a nie jednego komputera
- system NIPS nie zużywa zasobów komputerów, które chroni
- chroni wszystkie urządzenia podłączone do sieci (serwery druku, routery itp.) - nie tylko stacje robocze czy komputery, na których można zainstalować systemy HIPS
- systemy NIPS nie są uzależnione od konkretnego systemu operacyjnego, podczas gdy systemy HIPS muszą być zintegrowane z systemem, na którym pracują
- systemy NIPS chronią przed atakami typowo sieciowymi - ataki typu flood, DDoS, ataki zorientowane na przeciążenie łącza - w tych sytuacjach systemy HIPS mogą co najwyżej walczyć ze skutkami ataków na pojedynczej maszynie
W związku z tym, że system NIPS jest bardzo ważnym składnikiem sieci, wymaga się od niego:
- wysokiej niezawodności - np. w przypadku ataku DDoS, po uszkodzeniu systemu NIPS, chronione przez niego maszyny tracą dostęp do Internetu - potrzeba implementacji technik failover (w przypadku awarii jednego systemu, sieć przełączana jest na inny, zapasowy)
- dostępności - wszelkie aktualizacje powinny być wykonywane bez potrzeby restartu systemu
- wysokiej wydajności - przetwarzanie pakietów powinno się odbywać na tyle szybko, żeby system NIPS nie powodował zauważalnych opóźnień w sieci (idealna wydajność systemów NIPS to wydajność zbliżona do urządzeń 2-3 warstwy sieciowej, czyli np. switch, systemy NIPS nie powinny być wolniejsze niż urządzenia 4 warstwy sieciowej, czyli np. firewalle), poza tym powinny być stosowane techniki optymalizacyjne, w szczególności np. rozmiar bazy sygnatur nie powinien drastycznie wpływać na wydajność przetwarzania ruchu sieciowego
- dokładności w wykrywaniu zagrożeń - na systemie NIPS polega znajdująca się za nim część sieci, system powinien jak najlepiej ją chronić, poza tym nie powinien generować dużej ilości fałszywych alarmów (false positives), bo może to spowodować atak DDoS jeśli atakujący znają bazę sygnatur i wiedzą co powoduje fałszywe alarmy w systemie NIPS
- możliwości elastycznej konfiguracji i zarządzania - administrator powinien mieć możliwość zaawansowanej analizy logów systemu NIPS oraz konfiguracji sposobu pracy systemu
IPS - NIPS vs NIDS