Выбрать язык


Выбрать язык | Show only


Русский | English


пятница, 26 февраля 2016 г.

Проектирование IDS/IPS. Тезисы.

    В условиях непрекращающейся компьютеризации сетевые технологии развиваются и проникают практически во все сферы современного бизнеса. Вместе с технологиями растут возможности взлома, проникновения, выведения серверов и сервисов из строя и прочих видов деструктивной активности как снаружи корпоративной сети, так и изнутри ее. Одной защиты с помощью межсетевого экрана явно недостаточно, и поэтому необходимо применять системы обнаружения и предотвращения вторжений. Для рационального использования финансов на обеспечение сетевой безопасности необходимо правильно рассчитать технические требования к системам IDS/IPS.

    Для начала необходимо правильно выбрать место установки в текущей архитектуре корпоративной сети. Ошибка на данном этапе может грозить:
- отсутствием возможности анализа трафика и предотвращения атак;
- дубликацией анализируемых пакетов;
- некорректной обработкой трафика;
- нерациональным распределением сенсоров в корпоративной сети;
- чрезмерными финансовыми затратами.
Более детально описано в статье "Архитектура".

    Затем важно определить пропускную способность сетевого сенсора для каждого участка сети. Поскольку производительность является одним из главных технических и ценообразующих факторов для систем IDS/IPS, неверный расчет либо его отсутствие чреваты:
- установкой дополнительного «узкого места» в сети;
- отсутствием возможности анализа трафика и предотвращения атак;
- нерациональным использованием инвестиций в сетевую безопасность.

    После проведения расчетов может возникнуть вопрос, какое использовать решение: коммерческое либо с открытым исходным кодом.
    Недостатки коммерческих продуктов:
- высокая стоимость;
- невысокая гибкость при адаптации под нужды заказчика;
- отсутствие гибкости при необходимости смены поставщика решения: проблемы миграции.
    Недостатки продуктов на базе открытого ПО:
- необходимость содержания своих разработчиков, квалифицированных инженеров, либо принятие рисков их отсутствия;
- необходимость приобретения аппаратных средств;
- гарантии, ответственность, SLA разграничиваются внутри компании либо отсутствуют.
    Как коммерческие, так и Open Source решения также имеют свои преимущества, которые описаны в работе.
Более детально описано в статье "Выбор решения".

    Немаловажным компонентом инфраструктуры систем обнаружения и предотвращения вторжений является система управления. От нее зависит скорость и качество выполнения многих задач информационной безопасности, связанных с человеческим фактором. Выделены условные модули системы управления, определены минимальные требования к наличию компонентов и их функционалу полноценно системы управления IDS/IPS.
Более детально описано в статье "Система управления".

    Если информации о принципах работы систем обнаружения и предотвращения вторжений, алгоритмах обработки трафика и реакции на атаки достаточно много, то особенности проектирования и внедрения инфраструктуры IDS/IPS были выведены в ходе работы самостоятельно. Исследование проводилось в течение трех лет на инфраструктуре с использованием 20 сетевых сенсоров систем обнаружения вторжений двух разных производителей.

Комментариев нет:

Отправить комментарий