Для того чтобы разобраться в различиях IPS и файрволов, нужно выяснить, на каком уровне стека протоколов TCP/IP работают эти системы и от чего они защищают.

Традиционный файрвол запрещает четко определенный трафик или вид действий, например, попытки установки соединения с устройством с использованием telnet-протокола, в то время как корпоративная политика безопасности запрещает telnet-доступ. Вместе с тем, файрвол должен разрешать проход некоторого трафика (например, web) на внутренний сервер.

Проблема в том, что большинство современных эксплойтов пытаются использовать уязвимость в самих протоколах трафика, разрешенного на вход межсетевыми экранами. Таким образом, любой сетевой червь или эксплойт, проникающий в сеть через разрешенный файрволом трафик и использующий уязвимость web-сервера, может скомпрометировать последний, атакуя с его помощью другие хосты во внутренней сети. К тому же процесс дальнейшего заражения упрощается, поскольку на взломанном сервере устанавливается rootkit или backdoor, и хакеру предоставляется полный и постоянный доступ к пораженной машине.

Файрволы обычно используются только по периметру сети, не защищая от атак внутренних, а, например, виртуальные частные сети (VPN), лэптопы, и беспроводные сети предоставляют доступ к ресурсам внутренней сети в обход файрволов.
IPS vs IDS

Межсетевые экраны пропускают/запрещают трафик по определенным правилам, но не "заглядывают" внутрь пересылаемых данных, фокусируясь только на заголовке IP-пакета. Системы IDS, напротив, анализируют то, что упускается из виду файрволами, но не имеют возможности отразить атаку просто потому, что пакеты через них не проходят.

Единственной реакцией на атаки со стороны традиционных IDS могут стать alert’ы, то есть сигналы тревоги и оповещения. Последние черви, такие как Slammer и Blaster, имели настолько высокую скорость распространения, что в момент подачи сигнала от IDS жертва уже была атакована, и распространение угрозы с пораженной машины уже началось.

Deep Packet Inspection (DPI)

Deep Packet Inspection дословно переводится как "глубокое инспектирование пакета", и в соответствии с названием представляет технологию, позволяющую проверять пересылаемые данные, а не только протоколосодержащую информацию. DPI-устройства способны работать со 2-го по 7-ой уровни OSI и выявляют:

* Типы передаваемых данных (P2P, VoIP, online-игры, почта, видео…), позволяя контролировать и блокировать трафик согласно установленной политике.
* Использование в сети наиболее распространенных приложений (например, для P2P: BitTorrent, KaZaa, eDonkey, Gnutella, MP2P, FastTrack).
* Загрузку сети тем или иным сервисом, формируя на основе анализа механизмы, гарантирующие определенную производительность сети (QoS).
* Злонамеренный трафик в сети (не только эксплойты, но и червей, троянов, и прочих зловредов).
* Аномалии в протоколах (например, обнаружение в SMTP-трафике вставки пользователем команды "MSG From:" перед "RCPT To:")

Intrusion Prevention Systems (IPS)

При объединении возможностей брэндмауэра и глубокого исследования трафика посредством IDS, мы получим новый инструмент, называемый системой предотвращения вторжений IPS(Intrusion Prevention System).

Нужно отметить, что на этапе появления концепции IPS многие специалисты с осторожностью подходили к оценке данного термина, поскольку считалось, что часть организаций используют его лишь для маркетинговых целей. Несмотря на то, что отчасти это является правдой, сегодня системой предотвращения вторжений принято считать некое аппаратное или программное средство, способное обнаруживать как известные, так и неизвестные атаки и предотвращать их осуществление.

Таким образом, можно выделить основные преимущества технологии IPS по сравнению с традиционными файрволами и IDS:

* IPS являются in-line системами. Пропуская через себя корпоративный трафик, они способны не только его анализировать, но и предотвращать атаки в режиме реального времени.
* Современные IPS, работая на скоростях до 5 Гбит/с, не являются слабым звеном в цепочке передачи информации.
* Для анализа содержимого пакетов используются различные методы обнаружения атак: сигнатурный, поведенческий, а также выявление аномалий в протоколах.
* Системы IPS в состоянии блокировать вредоносный трафик различными методами, а не только путем разрыва соединения с помощью команды RESET протокола TCP или отправки сообщения ICMP Unreachable.
* IPS, применяя технологию Deep Packet Inspection, осуществляют не только фильтрацию заголовка пакета, но и производят разбор всего стека с целью глубокого проникновения в тело данных и анализа передаваемых протоколов.

Следовательно, IPS способны обнаруживать в сети работу запрещенных политикой безопасности приложений, например, систем мгновенного обмена сообщениями, таких как .NET Messenger Service, AOL Instant Messenger, Google Talk, ICQ, Jabber, Skype и Yahoo! Messenger. Это возможно благодаря анализу HTTP-трафика и выявлению в нем, например, ICQ-данных.

Дополнительно анализируя протоколы на отклонение от стандартов RFC, IPS способны выявлять активность по-настоящему злонамеренных приложений в разрешенном трафике. А решения TippingPoint или Juniper Network's Netscreen, способные выявлять изменения в сетевом трафике, могут строить предположения и о возможных атаках.

IPS-стандартом де-факто является система Snort ( ее коммерческий аналог SourceFire). Основные ее преимущества - это, конечно же, открытый исходный код, кросс-платформенность, свободное распространение, а также гибкость настройки и возможность самостоятельного создания правил фильтрации.
Эволюция сетевых угроз

Для того чтобы понять, как и какими методами нужно бороться с угрозами, важно иметь представление о способах современного взлома.

Совершенствование систем предотвращения атак напрямую связано с развитием сетевых опасностей.

Существует целый ряд угроз, и процесс их моделирования стал неотъемлемой частью процесса разработки приложений. Например, корпорация Microsoft (оставим за скобками количество багов в ее программах) имеет весьма продвинутый и многими используемый процесс моделирования угроз, называемый Microsoft's SDL (Security Development Lifecycle).

Еще пять лет назад среди других преобладали сетевые атаки, то есть атаки, использующие слабости протоколов сетевого уровня, такие как ICMP-flooding и другие DoS/DDoS-угрозы. Сегодня же приходится иметь дело с атаками уровня приложений (7-го уровня модели OSI). Это и почтовые вирусы, и сетевые черви/трояны, и IP/P2P атаки, и Mail VoIP атаки, и spyware, и фишинг, и фарминг, против которых большинство файрволов бессильны.

Если хакер производит DoS-атаку, он заражает тысячи и даже сотни тысяч машин, образуя таким образом бот-сеть. Затем бот зараженной машины входит в IRC и ждет команд атакующего. Атакующий передает нечто вроде "$flood ICMP www.site.com", и бот начинает передавать ICMP-пакеты удаленной цели. Ввиду того, что атакующий имеет огромное количество ботов, атака обычно завершается либо перезагрузкой атакуемого сервера, либо отказом в обслуживании легитимным пользователям.

Последние атаки, производимые червем Sasser, еще более изощренны. Атакующий выполняет сканирование жертв на наличие уязвимого сервиса Microsoft Windows LSASS, принимающего соединения на 445 порте. Дальнейшее размножение червя происходит следующим образом. При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%WINDIR%\avserve.exe"

Затем сканирует IP-адреса в поиске компьютеров, подверженных уязвимости lsass.exe. Уязвимый компьютер на TCP-порте 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порте 5554 и по запросу с уязвимого компьютера загружает туда свою копию.
Анализ трафика

Ядра современных IPS включают процедуры декодирования и анализа протоколов. Разборщик стека TCP/IP выделяет протоколы седьмого уровня модели OSI (уровня приложений), такие как SMTP, HTTP, FTP. Далее декодеры IPS убирают из трафика всю протоколо-зависящую информацию и передают декодированные данные анализаторам на исследование эвристикой, выявление отклонений от RFC и прочих аномалий. Например, заголовки в HTTP GET/POST запросах могут содержать слишком длинные строки или большие бинарные объекты, что, скорее всего, является попыткой эксплуатирования некой уязвимости. Кроме этого, IPS не допускают переполнения буфера для примерно 20 наиболее распространенных программ и сервисов Windows, включая Word, Excel, Internet Explorer, Outlook и SQL Server.
Потоковые сигнатуры

На самом деле IPS и средства антивирусной защиты очень похожи. Во-первых, многие современные антивирусы включают средства обнаружения и блокировки вторжений. Так Kaspersky Internet Security в рамках системы Анти-Хакер содержит модуль защиты от сетевых атак. Таким образом, некоторые антивирусные средства представляют собой IPS класса Hosted IPS, то есть IPS, размещенные на защищаемых хостах. Но главное то, что системы IPS, также как и антивирусы, используют сигнатурный поиск зловредов. Конечно же, сигнатуры в силу специфики сканирования используются другие. В IPS применяются так называемые потоковые сигнатуры для осуществления пакетного сканирования - в этом случае нет необходимости выделять отдельные объекты, как это происходит при использовании классических антивирусных сигнатур. Потоковые сигнатуры обычно оперируют с данными протоколов уровня сессий и уровня приложений и необходимы в чувствительных к задержке решениях, например, HTTP и VoIP роутерах и шлюзах. При этом возможно достижение скорости, близкой скорости передачи кабеля, то есть сканирование на лету, без задержек, благодаря использованию аппаратной акселерации в интегрированных схемах ASIC/SoC, FPGA. Основной минус сигнатур - это уровень детектирования, который составляет порядка 80-85% из-за невозможности обнаружения, например, полиморфных вирусов и червей. Но такой недостаток, как мы уже знаем, компенсируется использованием эвристических алгоритмов.

Сама сигнатура в общем случае представляет собой байт-код последовательность различной длины (в среднем - 255 байт). Сигнатура может также содержать регулярные выражения, что позволяет детектировать целое подмножество вирусов одной сигнатурой. Нужно отметить, что на практике оказывается легче выпустить новую сигнатуру, чем иметь сигнатуры, содержащие RegEx-последовательности, поскольку возникают дополнительные проблемы с ложными срабатываниями. Помимо самих сигнатур зловредов аналитики часто добавляют в базы данных IPS дополнительные поля, такие как уникальный идентификатор, характеристика, имя зловреда, уровень опасности и другие. Пример потоковой сигнатуры приведен ниже:

0000001 Danger_High Exploit.HTML.Iframe.FileDownload
/
\x30\x33\x31\x34\x30\x31\x4D\x66\x64\x61\x62\x34\x24\x33
\x66\x33\x64\x4C\x37\x38\x30\x24\x37\x33\x33\x38\x37\x30
\x31\x38\x40\x35\x37\x57\x38\x31\x66\x61\x37\x30\x52\x65
\x20\x68\x65\x69\x67\x68\x74\x3D\x30\x20\x77\x69\x64\x74
\x68\x3D\x30\x3E\x77\x77\x77\x2E\x66\x72\x65\x65\x2E\x66
\x72\x2F\x69\x6E\x62\x6F\x78\x2F\x61\x74
/

Естественно, в конечном виде, файл, содержащий сигнатуры, имеет бинарный формат, поскольку строится некое бинарное дерево для скорейшей работы методов информационного поиска сигнатур и сопоставления с образцом Pattern Matching.
Виды IPS

В настоящее время на рынке IPS распространены две основных категории продуктов: Host IPS (HIPS) и Network IPS (NIPS). Рассмотрим подробно каждый из них.
Host IPS (HIPS)

Host IPS устанавливаются непосредственно на защищаемой системе. Точнее сказать, HIPS взаимодействуют с целевой системой посредством своих агентов. HIPS тесно интегрированы с ядром и сервисами операционной системы для наблюдения и перехвата системных вызовов к ядру или API.

HIPS, работающие на стороне сервера, призваны защищать серверное ПО, например, web-серверы и серверы баз данных от атак обхода директорий и SQL-инъекций. HIPS могут также мониторить окружение, специфичное для каждого конкретного приложения, например, расположение файлов и значения параметров реестра для web-сервера с целью защиты приложения от эксплойтов, сигнатуры для которых еще не выпущены. HIPS для рабочих станций могут дополнительно иметь список приложений, запрещенных или разрешенных на запуск, и контролировать этот процесс.

Существенным недостатком в использовании данных систем является невозможность или затрудненность апгрейда операционной системы в дальнейшем из-за необходимости плотной интеграции c HIPS. Более того, поскольку агенты Host IPS перехватывают все запросы к системе, которую они защищают, накладываются дополнительные требования, такие как минимальное влияние на производительность системы и исключение ложных срабатываний. Системы HIPS, не удовлетворяющие этим минимальным требованиям, вряд ли будут широко востребованы вне зависимости от того, насколько эффективно они блокируют атаки.
Network IPS (NIPS)

Сетевые IPS сочетают функциональность стандартных IDS, IPS и файрволов, и часто упоминаются как In-line IDS или Gateway IDS (GIDS). NIPS являются специализированными программно-аппаратными платформами, расположенными отдельно от защищаемого хоста, чаще всего на front-end серверах.

Как и типичный файрвол, NIPS имеет по крайней мере два сетевых интерфейса, один из которых внутренний, а другой - внешний. По мере того как пакеты появляются на одном из интерфейсов, они передаются сканирующему движку. В случае обнаружения злонамеренного пакета, NIPS способны не только генерировать alert’ы, но и отбросить пакет, а поток пометить как представляющий опасность. В результате, оставшиеся пакеты, отправленные в единой TCP-сессии, попадая на IPS-устройство, немедленно отвергаются. Легитимные же пакеты переправляются на второй интерфейс для доставки к месту назначения.

Дополнительным преимуществом продуктов класса NIPS является наличие так называемой "packet scrubbing"-функциональности, то есть возможности очистки неконсистентной информации в протоколах, возникающей из-за различных интерпретаций спецификации TCP/IP или намеренной манипуляции пакетами. Такая функциональность доступна благодаря тому, что она является частью механизма детектирования.

Таким образом, любые фрагментированные пакеты, нестандартные пакеты с изменением последовательности или пакеты с перекрывающимися IP-фрагментами будут приведены в порядок и пересобраны перед передачей хосту назначения, а нелегальные пакеты – отброшены.

Однако, по сравнению с HIPS, у NIPS также есть недостатки. HIPS не зависит от типа передаваемого трафика, в то время как NIPS могут столкнуться с передаваемым по сети шифрованным трафиком. Большинство NIPS-систем на сегодня не поддерживают инспекцию такого трафика.
Комплексные решения

Тенденции развития вирусных и других угроз безопасности корпоративной сети таковы, что просто приобретение и установка одного из разновидностей IPS не решит задачу защиты от вторжений. Более того, система обнаружения и блокировки вторжений должна быть неотъемлемой частью системы защиты информации сети. Не помешает, а в большинстве случаев будет просто необходим и анализ сети корпоративного заказчика. Это поможет определить информационные потоки, выделить уязвимые и технически слабые места сети и оптимально распределить разные виды IPS-решений внутри организации.

Очевидно, что первой точкой соприкосновения внутренней сети с внешним миром являются сетевые маршрутизаторы периметра. Следовательно, NIPS-решения выгоднее всего внедрять в рамках таких front-end серверов. NIPS-решение McAfee IntruShield сможет защитить даже от шифрованных атак – применяемая ими технология позволяет расшифровывать и анализировать SSL-шифрованный трафик, сохраняя целостность шифрованных данных и ключей шифрования.

Поскольку NIPS, встроенные в брендмауэр, не способны защищать внутренние ресурсы, противодействуя лишь атакам по периметру сети, то вторым местом внедрения NIPS являются свитчи, шлюзы и маршрутизаторы локальной сети.

Также необходимо защищать все дополнительные устройства сети, через которые может поступать информация извне. Чаще это беспроводные точки доступа, реализованные с использованием технологий Wi-Fi и WiMAX.

Ну и, конечно же, необходимо защищать клиентские рабочие станции и серверы. Как мы уже знаем, для этого служат решения класса HIPS. Такие системы часто оснащены дополнительным функционалом, включая антивирусную защиту и файрвол (Kaspersky Internet Security), дополнительную web-фильтрацию, например, на наличие порнографических данных (Snort, Source Fire), предотвращение атак переполнения буфера (McAfee Host Intrusion Prevention), анализ системы на наличие известных уязвимостей (продукты Symantec). А продукт Cisco Security Agent, располагаясь на десктоп-решениях и серверах, имеет возможность защищать от еще не известных атак благодаря использованию технологии "Zero Update", в основе которой лежит поведенческий анализатор.
Проблемы IPS и их решение

Наверное, самой большой проблемой систем IPS является высокий процент ложных срабатываний. Причиной тому, с одной стороны, неэффективность и несовершенство некоторых эвристических алгоритмов и поведенческих анализаторов. Такой недостаток лечится наличием "Training"-функциональности, то есть возможностью обучения системы. С другой стороны, злоумышленники могут нарочно запутывать следы, атакуя несуществующие сервисы и отводя внимание администраторов от реальной цели. Для решения таких проблем используются системы корреляции событий, позволяющие определить соответствие атаки атакуемой цели и сделать вероятностный вывод о существовании реальной угрозы. Также в этом случае продуктивно использовать Honeypot’ы - подставные сети, содержащие намеренно уязвимые хосты, с целью обнаружения атак и определения их источников.

Еще одним недостатком является то, что IPS-технологии, несмотря на успешное отражение атак хакеров, бесфайловых червей и вирусов, неэффективны в борьбе с почтовыми червями, классическими вирусами и троянскими программами. Решением является использование IPS в комплексе с другими системами защиты.

Несигнатурные методы выявления атак часто привязаны к конкретным, наиболее распространенным приложениям (MS SQL Server, MS IIS Server, Apache Server, MS Internet Explorer). Таким образом, всплывает проблема неэффективности борьбы с атаками на новые, мало известные приложения.
IPS-системы также остаются самыми "капризными" средствами защиты, требуя тонкой настройки и постоянной периодической подстройки, а также анализа получаемых логов и alert’ов. Автор статьи сталкивался с жалобами администраторов, получавших до миллиона оповещений безопасности ежемесячно. Вендоры IPS постоянно совершенствуют подсистемы отчетов и оповещений, однако избежать этой проблемы, как и проблемы ложных срабатываний, вряд ли удастся.

Напоследок, хочу напомнить, что системы IPS из разряда только лишь продуктов и приложений давно перекочевали в категорию сервиса. Многие xSP предоставляют услуги по анализу стороннего трафика на выявление вредоносных объектов и попыток несанкционированного проникновения в систему. Использовать подобные системы, называемые Hosted Security, часто бывает выгоднее и удобнее из-за отсутствия необходимости содержать дополнительный квалифицированный IT-персонал для обслуживания IPS-систем.