# Сетевые средства защиты Технологии зеркалирования трафика (англ. port mirroring) позволяют настроить коммутатор так, чтобы все фреймы, приходящие на один порт или группу портов, дублировались на другом порту. Группа портов может быть выбрана на основании какого-либо признака, например, номеру VLAN. В оборудовании Cisco технология зеркалирования называется SPAN - Switch Port Analyzer (работает в пределах одного коммутатора) и RSPAN - Remote Switch Port Analyzer (зеркалирует трафик между коммутаторами). **IDS/IPS** – это программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. После выявления атаки система IDS информирует специалистов ИБ в Компании о срабатывании. Если в систему включен функционал IPS, то данная система отправит команду на сетевое оборудование (например, межсетевой экран) для блокирования вредоносной активности. Использование NIDS обходится дешевле HIDS и позволяет отслеживать сетевую активность от большого числа АРМ и серверов, чем не может похвастаться HIDS. Хотя хостовой IDS более детально отслеживает изменения в системе, но вероятность подмены данных в ОС гораздо ниже, чем вероятность подмены данных в сетевом трафике. Поэтому NIDS эффективнее с точки зрения ИБ и бюджетов. Включение NIDS в сеть. IDS/IPS включается в сеть либо через SPAN-порт коммутатора, куда зеркалируется весь трафик, который проходит через коммутатор, либо через разрыв. Вариант включения IDS в концентратор будем считать нерабочим ввиду морального устаревания сетевого оборудования данного класса. Очевидно, что размещать IDS предпочтительнее в локальной, а не внешней сети, чтобы не дублировать функции межсетевого экрана. При ограниченном бюджете стоит контролировать только критичный сегмент сети. Традиционно IDS включает в себя следующие модули: 1. Сбор событий (сенсор); 2. Анализ данных, полученных в результате их сбора; 3. Хранение событий и результатов анализа; 4. Консоль администрирования (позволяет конфигурировать IDS и просматривать выявленные модулем анализа инциденты). Принцип выявления инцидентов ИБ в сетевом трафике аналогичен МСЭ. Разница заключается лишь в том, что IDS/IPS должна содержать в своей базе описания аномалий и вредоносной сетевой активности (читай "сигнатуры"). А дальше как и в МСЭ, IDS проверяет трафик на наличие сигнатур - каждую по очереди. Если хоть одна из них срабатывает, то IDS выдаёт событие ИБ. А дальше либо направляется уведомление администратору ИБ, либо IDS/IPS самостоятельно блокирует активность. Сетевые IDS обычно классифицируются на основе используемого метода обнаружения: метод на основе сигнатур или на основе обнаружения аномалий (эвристическое выявление). Метод на основе сигнатур, также известный как основанный на правилах на неправильном использовании, позволяет выявить атаку, сравнивая известные сигнатуры атак или шаблоны с отслеживаемым трафиком. Совпадение сигнализирует о потенциальной атаке. Этот метод имеет малое время работы, позволяет обнаруживать большинство известных атак, и, как правило, имеет низкую частоту ложных срабатываний, т. е. не создает сигнал тревоги для легального трафика. IDS на основе аномалий, также известные как основанные на поведении, работают, сравнивая поведение сетевого трафика с предыдущим "нормальным" поведением трафика. Любое отклонение считается признаком атаки. Система приобретает нормальный профиль трафика обычно посредством обучения и отслеживает трафик на предмет любых различий с нормальным профилем. Обученный трафик используется для определения порогового значения для будущего обнаружения. Выявленные аномалии помогают обнаружить неизвестные атаки; однако эвристика идёт нога в ногу с ложными срабатываниями (False Positive) по той причине, что эвристические правила несовершенны. Эффект FP для сигнатурного выявления существенно ниже, но всё равно присутствует. **NTA** (Анализаторы сетевого трафика (или Network traffic analysis)) - это новая категория продуктов безопасности, которая предназначена для перехвата и анализа сетевого трафика в режиме реального времени. В случае если трафик зашифрован, то система NTA применяет механизм SSL inspection. Сетевые коммуникации используются в качестве основного источника данных для обнаружения и расследования угроз ИБ, аномального или вредоносного поведения в сети, а также для обнаружения целевых атак. Данная категория продуктов передает всю необходимую информацию о событиях, происходящих внутри сети, в центры мониторинга и реагирования (SOC) и SIEM-системы, а также позволяет выполнять ретроспективный поиск. Традиционные методы сетевой защиты не спасают от атак на веб-приложения. Межсетевые экраны ориентированы на угрозы сетевого и транспортного уровней (L3/L4), тогда как веб-приложения работают на прикладном уровне (L7). Системы предотвращения вторжений также не учитывают логику работы web-приложений (сессии, cookies и т. д.), а применяемые ими сигнатуры не учитывают неизвестные атаки (0-day), часто применяемые киберпреступниками. По этой причине для борьбы с веб-угрозами используют специализированные решения — WAF. Они позволяют эффективно блокировать атаки из списка OWASP Top 10 (SQL-инъекции, XSS и т. д.), DoS-атаки уровня приложений и атаки 0-day. Кроме того, с их помощью можно заблокировать уязвимости веб-приложений до тех пор, пока разработчики не устранят их в исходном коде. **Web Application Firewall (сокращенно — WAF)** - средства фильтрации трафика прикладного уровня, специально ориентированные на веб-приложения. Применение Web Application Firewall традиционно считается наиболее эффективным подходом к защите веб-ресурсов. WAF может быть реализован как облачный сервис, агент на веб-сервере или специализированное железное или виртуальное устройство. WAF обладает функционалом SSL inspection. Это позволяет анализировать HTTPS-трафик на наличие атак и эксплуатации уязвимостей. Классическое размещение WAF в сети — в режиме обратного прокси-сервера, перед защищаемыми веб-cерверами. Иначе говоря, WAF устанавливается в разрыв канала связи между сетевым оборудованием и веб-сервером. В некоторых случаях, когда требуется обучить WAF или провести его тестирование, его могут подключать в SPAN-порт сетевого оборудования или к концентратору (если он где-то ещё используется, ха) – такой режим называется пассивным, - это когда продукт работает с репликацией трафика. Кроме того, WAF способен добавлять новые заголовки в HTTP-запрос или подменять уже существующие, а также в случае блокирования активности WAF может подменять запрашиваемую страницу на код HTML о том, что запрос заблокирован. Иначе говоря, информация о блокировании запроса будет явным образом передана на веб-клиент.