HLBR - Hogwash Light BR

Перевод http://hlbr.sourceforge.net/ips-en.html на русский язык: Юрий Носырев (nua a mail ru).

Дата последнего обновления: 13 января 2006.

IPS (Intrusion Prevention System, Система предотвращения вторжения) – это система, подобная IDS (Intrusion Detection System, Система обнаружения вторжения), которая предотвращает атаки на компьютерные сети. Основное отличие между IPS и IDS состоит в том, что первая, помимо определения аномального (подозрительного) сетевого трафика, способна бороться с ним. Таким образом, страновится возмоным постоение системы защиты компьютерных сетей высокого уровня. IPS является частью firewall-систем.

Большинство людей не знает точное значение понятия “firewall”. “Firewall” - это интегрированная система защиты, используемая в компьютерных сетях. Это комплексная система, состоящая из фильтров пакетов, фильтра состояния пакетов, IDS, IPS, прокси-серверов (для различных сетевых служб), антивирусной системы. Вот почему не совсем правильно говорить, что сервер, использующий iptables является firewall’ом для сети. Iptables – это просто фильтр пакетов и их состояний, анализирующий данные, содержащиеся в заголовке ip-пакета, проходящего через iptables (адреса источника и получателя пакета, порты, протоколы и т.д.) . Но iptables не проверяет содержимое ip-пакетов – только их заголовки, таким образом, если предположить, что любой компьютер в сети интернет имеет доступ к 80-ому порту нашего веб-сервера или 25-ому порту нашего почтового сервера, сетевой пакет, в том числе и включающий в себя возможную угрозу для указанных (равно как и других) сетевых сервисов, беспрепятственно проходит через цепочки правил iptables и попадает внутрь нашей сети.

Следующая картинка показывает пример firewall-системы (выделена серым цветом)

В данном случае HLBR расположена перед компьютером, осуществляющим фильтрацию фильтром пакетов. который (компьютер) таким образом мы можем защитить. Глядя на эту картинку, становится понятно, что обеспечить достаточный уровень защиты компьютерной сети только с помощью iptables (или другого фильтра пакетов), чем обычно ограничиваются люди, нельзя.

Теперь посмотрим на другую схему:

Здесь еще одна HLBR находится между внутренней компьютерной сетью и сетевыми серверами. Это сделано для обеспечения гораздо более высокого уровня защиты этих серверов. В этом же варианте firewall-системы honeypot и/или honeynet помещены сразу на входе в интернет, поскольку HLBR может перенаправлять сетевые атаки к ним.

Итак, основное заключение состоит в следующем: firewall-система дожна быть создана из нескольких элементов, обеспечивающих компьютерную безопасность. Все эти элементы работают в различных направлениях, и ни один элемент не может заметить другие.