← DDoS: типы и митигацияМониторинг, логи и SIEM →

IDS и IPS: Snort и Suricata

Урок про то, как сеть сама сообщает о подозрительной активности и блокирует её.

IDS обнаруживает подозрительный трафик и оповещает; IPS — то же, но ещё и блокирует его в реальном времени.

Зачем нужны IDS/IPS

Firewall решает, кого пускать, по адресам и портам, но не смотрит вглубь. IDS/IPS анализируют содержимое трафика и ловят то, что выглядит как атака: сканирование, эксплойты, аномалии. Это «датчик движения» внутри сети — он и обнаруживает разведку, о которой мы говорили ранее.

IDS против IPS

СвойствоIDSIPS
Действиеоповещаетоповещает и блокирует
Расположениезеркало трафика (вне разрыва)в разрыве трафика (inline)
Рискпропустить атакузаблокировать легитимное (false positive)

Два подхода к детекту

  • Сигнатурный: сравнение с базой известных паттернов атак. Точно ловит известное, слеп к новому.
  • Поведенческий/аномалийный: отклонение от нормального профиля. Может заметить новое, но даёт больше ложных срабатываний.

Snort и Suricata

Snort — классическая открытая система с богатой базой правил. Suricata — современная, многопоточная, совместима с правилами Snort и умеет извлекать метаданные (HTTP, TLS, файлы). Правила описывают, что искать: например, «трафик к множеству портов с одного источника» — признак сканирования.

# концептуальный вид правила (псевдо-Snort)
alert tcp any any -> $HOME_NET any (msg:"Port scan detected"; \
  flags:S; threshold: type both, track by_src, count 30, seconds 5; sid:1000001;)

Как работает под капотом

IDS читает копию трафика (например, со SPAN-порта коммутатора) и прогоняет каждый пакет/поток через движок правил. При совпадении генерируется событие. IPS стоит «в разрыве»: пакет проходит через него, и при срабатывании правила пакет отбрасывается, не доходя до цели. Поэтому IPS требует надёжности — его сбой влияет на трафик.

Частые ошибки

  • Поставить IPS в блокирующем режиме без обкатки правил — заблокирует легитимный трафик.
  • Не обновлять сигнатуры — система слепнет к новым угрозам.
  • Игнорировать поток оповещений (alert fatigue) — события некому разбирать.
  • Ставить IDS там, где он не видит нужный трафик (нет зеркала).

Итоги

  • IDS оповещает, IPS оповещает и блокирует в разрыве.
  • Сигнатуры точны для известного, поведенческий анализ ловит новое ценой ложных срабатываний.
  • Snort и Suricata — основные открытые решения; правила нужно обновлять и разбирать.
Проверьте себя
1. Чем IPS отличается от IDS?
AIPS только логирует
BIPS не только оповещает, но и блокирует трафик в разрыве
CIDS блокирует, а IPS нет
DМежду ними нет разницы
2. В чём слабость чисто сигнатурного подхода?
AОн слишком медленный
BОн слеп к новым, ещё не описанным атакам
CОн не работает с TCP
DОн требует шифрования
3. Какой риск у IPS в блокирующем режиме без обкатки правил?
AОн замедлит DNS
BЛожные срабатывания заблокируют легитимный трафик
CОн перестанет логировать
DОн раскроет IP-адреса