Что такое IPS-монитор? Гид по типам матриц мониторов
Преимущества IPS-матриц:
- Более быстрое время отклика
- Более широкие углы обзора
- Лучшая цветопередача/контраст, чем на многих VA и TN матрицах
- Превосходная точность цветопередачи и однородность экрана
Если вы когда-либо выбирали новый компьютерный монитор, скорее всего, вы сталкивались с понятием IPS. Возможно, вы спрашивали себя, что такое IPS-монитор? И как узнать, подходит ли он вам?
Чтобы ответить на эти вопросы, для начала нужно прояснить два момента:
- IPS-мониторы — это один из четырех основных типов матриц. К остальным типам относятся TN, VA и OLED.
- Все вышеперечисленные типы матриц относятся к семейству LCD-матриц.
Итак, почему это важно? Технология, используемая в матрице монитора, важна, потому что она определяет, на что способен монитор и для каких целей он лучше подходит
Выбор типа матрицы при покупке монитора во многом зависит от ваших личных предпочтений и целей его использования. В конце концов, у геймеров, графических дизайнеров и офисных работников разные требования к экранам. Некоторые типы матриц больше других подходят для конкретных сценариев использования.
Как тип LCD-матрицы влияет на производительность
Каждый конкретный тип LCD-матрицы влияет на производительность экрана в разнообразных аспектах, среди которых:
- Время отклика и задержка ввода
- Угол обзора
- Цветопередача
- Контрастность
- Уровни черного цвета
Различные технологии матриц предлагают собственные уникальные профили, при этом определить лучший тип LCD-дисплея можно только субъективно и на основе личных предпочтений.
Причина в том, что ни один из типов матриц нельзя классифицировать как «превосходный» по всем перечисленным выше параметрам.
Ниже мы рассмотрим, как мониторы IPS, TN и VA влияют на производительность экрана, и предложим краткие отчеты по их сильным и слабым сторонам, а также наилучшим вариантам использования по каждому типу матричных технологий.
Что такое IPS-монитор (технология IPS-мониторов)
В IPS-мониторах или мониторах «in-plane switching» используются жидкие кристаллы, выровненные параллельно для получения насыщенных цветов. Отличительная особенность матриц IPS заключается в характере смещения жидких кристаллов. Эти мониторы были разработаны с целью преодолеть ограничения матриц TN. Способность жидкого кристалла смещаться по горизонтали обеспечивает лучшие углы обзора.
Мониторы IPS по-прежнему являются предпочтительной технологией дисплеев для пользователей, которым необходима точная цветопередача и цветовое соответствие. Мониторы IPS действительно хорошо себя показывают в плане
IPS-мониторы бывают следующих разновидностей: S-IPS, H-IPS, e-IPS, P-IPS и PLS (Plane-to-Line Switching). Последняя — самая современная. Поскольку эти типы очень похожи между собой, все они называются матрицами «IPS-типа». Заявляется, что все они обладают основными преимуществами IPS-мониторов — великолепной цветопередачей и сверхширокими углами обзора.
По точности цветопередачи IPS-мониторы с легкостью превосходят мониторы TN и VA по этому параметру. В то время как технологии VA последнего поколения предлагают сопоставимые характеристики производительности, профессиональные пользователи по-прежнему утверждают, что в этом отношении IPS-мониторы не имеют себе равных.
Другой важной характеристикой мониторов IPS является то, что они могут поддерживать такие профессиональные технологии цветового пространства, как Adobe RGB. Это связано с тем, что мониторы IPS способны отобразить больше цветов, что повышает точность цветопередачи.
В прошлом время отклика и контраст были характерной слабостью технологии IPS. Тем не менее, сегодня время отклика IPS-мониторов увеличилось до такой степени, что они способны даже удовлетворить потребности геймеров, что привело к росту популярности IPS-мониторов для гейминга.
Что касается игр, то среди критических претензий к IPS-монитором можно назвать заметное размытие при движении из-за более медленного времени отклика. Тем не менее, эффект размытия при движении будет отличаться у разных пользователей. Вообще, противоречивые мнения о «недостатках» IPS-мониторов для игр можно найти по всему интернету. Процитируем, например, отрывок из текста одного из авторов, пишущего об игровых технологиях:
IPS-мониторы: выводы
IPS-мониторы дают сверхширокие углы обзора 178 градусов по вертикали и горизонтали и отлично подойдут графическим дизайнерам, инженерам САПР, профессиональным фотографам и редакторам видео. Многие ценят преимущества цветопередачи IPS-мониторов, при этом технический прогресс позволил улучшить скорость, контраст и разрешение IPS-матрицы. IPS-матрицы как никогда подходят для обычной настольной работы и для многих видов игр. Они даже достаточно универсальны, чтобы их можно было использовать в различных конфигурациях, так что если вы когда-либо сравнивали конфигурации со сверхшироким монитором или двумя мониторами или изучали плюсы изогнутых мониторов по сравнению с плоскими, то, скорее всего, вы уже сталкивались с IPS-матрицами.
Преимущества IPS-мониторов:
- Превосходная цветопередача и соответствие цветов.
- Максимально доступные углы обзора.
- Времени отклика будет достаточно для большинства пользователей.
- Практически полное отсутствие искажений цвета/контраста, которые можно увидеть на некоторых VA-матрицах.
Недостатки IPS-мониторов:
- Коэффициент статической контрастности ниже среднего.
- Возможное белое свечение при просмотре темного контента под углом. Обычно проблема возникает только на низкокачественных IPS-мониторах и мониторах неизвестных производителей.
- Больше размытости в движении, чем на TN-мониторах.
IPS-мониторы лучше всего подходят для:
- требовательных к цвету профессиональных приложений,
- людей, интересующихся технологиями;
- высокотехнологичного бизнеса/домашнего использования;
- геймеров, для которых качество изображения важнее времени отклика.
Что такое монитор Twisted Nematic (технология TN-мониторов)
TN-мониторы или мониторы «Twisted Nematic» — это самый старый тип LCD-матриц. Матрицы TN стоят меньше, чем их аналоги IPS и VA, и являются наиболее распространенной технологией дисплеев для экранов ПК и ноутбуков.
Дисплеи, основанные на этой матричной технологии, идеально подходят для экономных потребителей и многоцелевого использования начального уровня.
Несмотря на их более низкую субъективную ценность, киберспортсмены предпочитают дисплеи с TN-матрицей. Причина в том, что TN-матрицы обеспечивают очень быстрый отклик и самую быструю частоту обновления на рынке
Но с другой стороны, технология TN-матриц, как правило, не подходит для приложений, которым требуются более широкие углы обзора, более высокие коэффициенты контрастности и более точная цветопередача. Тем не менее, светодиодная технология помогла исправила положение, и поэтому современные TN-модели с LED-подсветкой могут похвастаться более высокой яркостью, а также более глубокими оттенками черного и высокими коэффициентами контрастности.
Однако самым большим ограничением технологии TN-матриц является более узкий угол обзора, поскольку мониторы TN демонстрируют самое большое искажение цвета, чем другие матрицы при просмотре под углом.
Максимально возможные углы обзора сегодня составляют 178 градусов по горизонтали и вертикали (178º/178º), в то время как матрицы TN ограничены углами обзора около 170 градусов по горизонтали и 160 градусов по вертикали (170º/160º).
Фактически TN-монитор иногда можно легко идентифицировать по искажению цвета и сдвигу контрастности, которые видны по краям экрана. По мере увеличения размеров экрана эта проблема становится более заметной, поскольку ухудшение цветопередачи можно увидеть, даже смотря на экран из мертвой точки.
При обычном использовании эти искажения цвета и контраста зачастую не имеют значения, и на них не обращаешь внимания. Однако подобная вариативность цвета делает мониторы TN плохим выбором для использования в таких требовательных к цвету областях, как графический дизайн и редактирование фотографий. Графические дизайнеры и другие пользователи, для которых важна правильная цветопередача, должны избегать использования TN-дисплеев из-за более ограниченного диапазона отображаемых цветов по сравнению с другими технологиями.
TN-мониторы: выводы
TN-мониторы — это наименее дорогая матричная технология, что делает ее идеальным решением для экономичных организаций и потребителей. В дополнение к этому, TN-мониторы пользуются невероятной популярностью среди киберспортсменов и других пользователей, которым требуется быстрое отображение графики.
Преимущества TN-мониторов:
- Быстрый отклик
- Более низкая цена
- Достаточный контраст для решения большинства рабочих и повседневных задач
Недостатки TN-мониторов:
- Самые ограниченные углы обзора, особенно в вертикальной плоскости
- Не рекомендуется для использования с приложениями, требовательными к цвету
TN-мониторы лучше всего подходят для:
- гейминга
- новичков
- повседневных задач
Что такое мониторы Vertical Alignment (Технология VA-мониторов)
Технология матриц «вертикального позиционирования» (VA) была разработана, чтобы исправить недостатки технологии TN. Современные VA-мониторы обеспечивают гораздо более высокие коэффициенты контраста, более точное отображение цветов и более широкие углы обзора. Вы можете встретить VA-матрицы следующих типов: P-MVA, S-MVA и AMVA (Advanced MVA).
Эти высококачественные VA-мониторы соперничают с IPS-мониторами за звание лучшей матричной технологии для профессиональных приложений, требовательных к цвету. Одна из выдающихся особенностей технологии VA заключается в том, что она крайне эффективно блокирует свет от задней подсветки, когда в ней нет необходимости. Это позволяет VA-матрицам отображать более глубокий черный цвет, а их коэффициент статической контрастности в несколько раз выше, чем у мониторов, работающих на других LCD-технологиях. Поэтому VA-мониторы с высоким коэффициентом контрастности могут отображать более глубокие оттенки черного и более насыщенные цвета.
Коэффициент контрастности — это измеренная разница между самым темным черным тоном и самым ярким белым тоном, который может воспроизвести монитор. Данное измерение показывает количество градаций серого, которое может отобразить монитор. Чем выше коэффициент контрастности, тем больше видимых деталей.
Эти мониторы также демонстрируют более высокую детализацию в темных и высветленных участках, что делает их идеальным выбором для просмотра видео и фильмов. Они также хорошо подходят для игр с богатым визуальным оформлением (например, RPG), но не для скоростных игр (например, FPS-игры).
VA-мониторы: выводы
MVA и другие новейшие VA-технологии могут похвастаться самыми высокими коэффициентами статической контрастности среди всех матричных технологий, что гарантирует огромное удовольствие от просмотра поклонникам кино и другим пользователям, которым нужна глубина деталей. Высокоэффективные многофункциональные MVA-дисплеи обеспечивают единообразное и подлинное отображение цветов, которое требуется графическим дизайнерам и другим профессиональным пользователям.
Преимущества VA-мониторов:
- Максимальные углы обзора
- Высокий коэффициент контрастности
- Времени отклика будет достаточно большинству пользователей
- Ценовой диапазон от среднего до высокого уровня
Недостатки VA-мониторов:
- Время отклика больше, чем на матрицах TN
- Контраст смещается от центра на некоторых моделях
VA-мониторы лучше всего подходят для:
- просмотра фильмов
- работы с фото/видео
- создания контента
- домашнего использования
- геймеров, для которых качество изображения важнее времени отклика
Что такое OLED-дисплей
Что отличает OLED от LCD?
Существует еще один тип матричной технологии, который отличается от типов мониторов, описанных выше, и эта технология называется OLED или «Organic Light Emitting Diode». OLED-дисплеи отличаются от LCD-экранов, поскольку в них используются положительно/отрицательно заряженные ионы, чтобы по отдельности осветить каждый пиксель, в то время как в LCD-дисплеях — подсветка, которая может испускать нежелательное свечение. В OLED-матрицах удается избежать свечения экрана (и тем самым отобразить более темный черный цвет), поскольку в них не используется подсветка. Одним из недостатков технологии OLED является то, что она, как правило, дороже, чем любая другая технология, о которой мы рассказали выше.
Выбор правильной технологии LCD-матрицы
Когда дело доходит до выбора подходящей технологии LCD-матрицы, здесь нет однозначного правильного ответа. Каждая из трех основных технологий имеет свои сильные и слабые стороны. Анализ различных функций и характеристик поможет вам определить, какой монитор лучше всего соответствует вашим потребностям.
Благодаря низкой стоимости и самому быстрому времени отклика TN-мониторы отлично подойдут для повседневных задач и игр. VA-мониторы прекрасно справятся с повседневными и развлекательными задачами. Максимально увеличенные углы обзора и высокая контрастность делают мониторы VA идеальными для просмотра фильмов и игр с насыщенным визуальным оформлением.
Мониторы IPS предлагают самую широкую цветовую функциональность и остаются золотым стандартом для редактирования фотографий и профессионального использования в задачах, требовательных к цвету. Более широкая доступность и низкие цены делают IPS-мониторы идеальным выбором для всех, кто ценит превосходное качество изображения.
Что такое LCD-дисплей
LCD или «жидкокристаллический дисплей» — это тип матриц монитора, в которых используются тонкие слои жидких кристаллов, находящиеся между двумя слоями фильтров и электродов.
В то время как в CRT-мониторах электроны излучались на стеклянные поверхности, принцип работы LCD-мониторов заключается в использовании подсветки и жидких кристаллов. LCD-матрица представляет собой плоский лист материала, который содержит слои фильтров, стекла, электродов, жидких кристаллов и подсветки. Поляризованный свет (то есть только половина света) направляется на прямоугольную сетку жидких кристаллов и светит сквозь нее.
Использование жидких кристаллов (ЖК) обусловлено их уникальной способностью сохранять параллельную форму. Действуя одновременно как твердое тело и как жидкость, ЖК способны быстро реагировать на изменения светового изображения. Оптические свойства ЖК активируются электрическим током, который используется для переключения жидких кристаллов между фазами. В свою очередь, каждый пиксель генерирует цвет гаммы RGB (красный, зеленый, синий) в зависимости от фазы, в которой он находится.
Обратите внимание: когда будете искать монитор, вы рано или поздно обязательно столкнетесь с термином «LED-панель». Светодиодная панель — это LCD-экран с LED-подсветкой (Light Emitting Diode). Светодиоды обеспечивают более яркий источник света при меньшем потреблении энергии. Они также могут воспроизводить белый цвет в дополнение к традиционным цветам RGB. Подобные панели используют в мониторах HDR monitors.
В ранних LCD-панелях использовалась технология пассивной матрицы, подвергаемая критике за размытые изображения, причина появления которых заключалась в том, что для быстрых изменений изображения требовалось, чтобы жидкие кристаллы быстро меняли фазу, а технология пассивной матрицы была ограничена скоростью, с которой жидкие кристаллы могли это делать.
В результате была изобретена технология активной матрицы, а также началось использование транзисторов (TFTs), помогающих жидким кристаллам сохранять заряд и быстрее менять фазу.
Благодаря технологии активной матрицы панели LCD-мониторов стали способны очень быстро менять изображение, и эта технология начала применяться в более новых ЖК-панелях.
В конечном счете, именно имеющийся бюджет и функциональные предпочтения определят, какая матрица больше подходит для каждого конкретного пользователя. Каждый тип матриц также будет представлен рядом ценовых категорий и наборов функций. Кроме того, общее качество может отличаться у разных производителей из-за факторов, связанных с компонентами дисплея, производством и дизайном.
Если вы хотите узнать больше об IPS-мониторах, почитайте про эти модели профессиональных мониторов и решить, подходят ли они вам.
В качестве альтернативы, если вы увлекаетесь играми и хотите купить TN-матрицу, возможно, эти варианты игровых мониторов — именно то, что вы ищете.
TAGS
IPS мониторOLEDтехнология TN мониторовVA-мониторыигровой монитордомашние развлеченияLCD панельentertainment featuredофисный монитор
IPS/IDS — системы обнаружения и предотвращения вторжений
Сегодня мы расскажем про такие системы, как IPS и IDS. В сетевой инфраструктуре они исполняют роль своего рода полицейских, обнаруживая и предотвращая возможные атаки на серверы.
Что такое IPS/IDS?
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений. IPS, или Intrusion Prevention System, — система предотвращения вторжений. По сравнению с традиционными средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо более высокий уровень защиты сети.
Антивирус анализирует файлы, спам-фильтр анализирует письма, файервол — соединения по IP. IDS/IPS анализируют данные и сетевое поведение. Продолжая аналогию с хранителями правопорядка, файервол, почтовые фильтры и антивирус — это рядовые сотрудники, работающие «в поле», а системы обнаружения и предотвращения вторжений — это старшие по рангу офицеры, которые работают в отделении. Рассмотрим эти системы подробнее.
Архитектура и технология IDS
Принцип работы IDS заключается в определении угроз на основании анализа трафика, но дальнейшие действия остаются за администратором. Системы IDS делят на типы по месту установки и принципу действия.
Виды IDS по месту установки
Два самых распространенных вида IDS по месту установки:
- Network Intrusion Detection System (NIDS),
- Host-based Intrusion Detection System (HIDS).
Первая работает на уровне сети, а вторая — только на уровне отдельно взятого хоста.
Сетевые системы обнаружения вторжения (NIDS)
Технология NIDS дает возможность установить систему в стратегически важных местах сети и анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.
NIDS отличается от межсетевого экрана, или файервола. Файервол фиксирует только атаки, поступающие снаружи сети, в то время как NIDS способна обнаружить и внутреннюю угрозу.
Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети. Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые пакеты, что делает сеть уязвимой.
Хостовая система обнаружения вторжений (HIDS)
Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. HIDS лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.
Другие разновидности IDS по месту установки
Кроме NIDS и HIDS, доступны также PIDS (Perimeter Intrusion Detection Systems), которые охраняют не всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена Трампа».
Еще одна разновидность — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет обойтись без развертывания системы обнаружения на отдельном устройстве. Достаточно развернуть защиту на виртуальной машине, которая будет отслеживать любую подозрительную активность.
Виды IDS по принципу действия
Все системы обнаружения атак IDS работают по одному принципу — поиск угрозы путем анализа трафика. Отличия кроются в самом процессе анализа. Существует три основных вида: сигнатурные, основанные на аномалиях и основанные на правилах.
Сигнатурные IDS
IDS этой разновидности работают по схожему с антивирусным программным обеспечением принципу. Они анализируют сигнатуры и сопоставляют их с базой, которая должна постоянно обновляться для обеспечения корректной работы. Соответственно, в этом заключается главный недостаток сигнатурных IDS: если по каким-то причинам база недоступна, сеть становится уязвимой. Также если атака новая и ее сигнатура неизвестна, есть риск того, что угроза не будет обнаружена.
Сигнатурные IDS способны отслеживать шаблоны или состояния. Шаблоны — это те сигнатуры, которые хранятся в постоянно обновляемой базе. Состояния — это любые действия внутри системы.
Начальное состояние системы — нормальная работа, отсутствие атаки. После успешной атаки система переходит в скомпрометированное состояние, то есть заражение прошло успешно. Каждое действие (например, установка соединения по протоколу, не соответствующему политике безопасности компании, активизация ПО и т.д.) способно изменить состояние. Поэтому сигнатурные IDS отслеживают не действия, а состояние системы.
Как можно понять из описания выше, NIDS чаще отслеживают шаблоны, а HIDS — в основном состояния.
IDS, основанные на аномалиях
Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только имеет больший охват.
IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После тестового периода она готова к работе.
Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет аномалии. Аномалии делятся на три категории:
- статистические;
- аномалии протоколов;
- аномалии трафика.
Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности (объем входящего/исходящего трафика, запускаемые приложения и т.д.) и сравнивает его с текущим профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
Для выявления аномалий протоколов IDS-система анализирует коммуникационные протоколы, их связи с пользователями, приложениями и составляет профили. Например, веб-сервер должен работать на порте 80 для HTTP и 443 для HTTPS. Если для передачи информации по HTTP или HTTPS будет использоваться другой порт, IDS пришлет уведомление.
Также IDS способны выявлять аномалии, любую небезопасную или даже угрожающую активность в сетевом трафике. Рассмотрим, к примеру, случай DoS-атаки. Если попытаться провести такую атаку «в лоб», ее распознает и остановит даже файервол. Креативные злоумышленники могут рассылать пакеты с разных адресов (DDoS), что уже сложнее выявить. Технологии IDS позволяют анализируют сетевой трафик и заблаговременно предотвращают подобные атаки.
Open Source проекты и некоторые вендоры на рынке IDS
Snort
Классическая NIDS — Snort. Это система с открытым кодом, созданная еще в 1998 году. Система Snort разрабатывалась как независимое ПО, а в 2008 году ее приобрела компания Cisco, которая теперь является партнером и разработчиком. Snort лучше подходит маленьким и средним компаниям. Утилита включает в себя сниффер пакетов, поддерживает настройку правил и многое другое. Snort — инструмент для тех, кто ищет понятную и функциональную систему предотвращения вторжений.
Suricata
Конкурент Snort на рынке среднего бизнеса — система с открытым исходным кодом Suricata, впервые представлена в 2010 году. Suricata — довольно молодая система, и это ее преимущество. В Suricata нет большого количества legacy-кода,также система использует более новые разработки, чем у конкурентов. Благодаря этому Suricata работает быстрее. Кроме того, разработчики позаботились о совместимости со стандартными утилитами анализа результатов. Это значит, что Suricata поддерживает те же модули, что и Snort. Она способна выявлять угрозы по сигнатурам и подходит для средних и больших компаний.
McAfee Network Security Platform
Если вы — большая компания, располагающая значительным бюджетом, можете рассмотреть McAfee Network Security Platform со стартовой ценой около $10 000. IDS блокирует огромное количество угроз, доступ к вредоносным сайтам, предотвращает DDoS-атаки и т.д. В силу монументальности McAfee Network Security Platform может замедлять работу сети, поэтому тут требуется решить, что более значимо — интеграция с другими сервисами или максимальная безопасность.
Zeek (Bro)
Полностью бесплатная IDS с открытым исходным кодом. Поддерживает работу как в стандартном режиме обнаружения вторжений, так и в режиме обнаружения вредоносных сигнатур. Zeek может также обнаруживать события и позволяет задавать собственные скрипты политик. Недостаток Zeek — сложность общения с инструментом, так как разработка ведется с упором на функционал, а не графический интерфейс.
Дальнейшее развитие IDS
IPS и IDPS
IPS, или система предотвращения вторжения, — следующий шаг в развитии систем сетевой защиты. IPS сообщает об угрозе, а также предпринимает самостоятельные действия. Сегодня практически не осталось чистых IPS, рынок предлагает большой выбор IDPS (Intrusion Detection and Prevention Systems). IDPS выявляют атаки и принимают запрограммированные действия: Pass, Alert, Drop, Reject.
Правила IDPS
IDPS-системы допускают некоторый процент ложных отрицательных (false negative) и ложных положительных (false positive) реакций. Чтобы минимизировать ложные срабатывания, IDPS позволяют задать пороговые значения для реакций — например, установить значение допустимого увеличения трафика в будние дни. Администратор, ответственный за IDS, задает его в консоли управления.
К примеру, если текущий сетевой трафик ниже заданного порога, то он будет пропускаться (pass). Если трафик превышает порог, то на консоль поступит уведомление или тревога (alert). Пакеты, соответствующие заданным условиям (содержат вредоносный скрипт), будут отброшены (drop). Также консоль позволяет задать уровень угрозы— указать, насколько опасна та или иная угроза. Пакет может быть не только отброшен, но и отклонен (reject) с уведомлением адресата и отправителя. Кроме того, IDPS умеют отправлять письма ответственному лицу в случае угрозы.
Вместе с каждым правилом прописывается и дальнейшее действие. Например, не только прекратить дальнейший анализ пакета или отбросить его, но также сделать об этом запись в лог.
UTM — Unified Threat Management
UTM — это универсальный пакет утилит, сочетающий в себе множество мелких модулей защиты, своеобразный полицейский участок внутри сети. UTM бывают программными или аппаратными и, как правило, включают в себя сразу IDS, IPS, файервол, а зачастую и антивирус, прокси-сервер, почтовые фильтры, VPN и т.д. Объединенный контроль угроз — это единая система, поэтому не нужно платить за каждый модуль в отдельности. Вы экономите не только деньги, но и время на установку и настройку ПО — ключевое преимущество UTM.
В этом же заключается недостаток: UTM — единственная точка защиты, хоть и хорошо защищенная. Злоумышленники столкнутся не с несколькими системами, а только с одной, победив которую они получат доступ к сети.
DPI и NGFW
Файервол нового поколения — это следующий виток развития систем сетевой защиты. Если UTM набирали популярность с 2009, то файервол нового поколения — наши дни. Несмотря на то, что появление NGFW датируется тем же 2009 годом, распространялись они медленно. Главные отличия NGFW в том, что они открывают возможность DPI (Deep Packet Inspection) и позволяют выбирать только те функции защиты, которые нужны сейчас.
DPI — это глубокий анализ пакетов. Файервол нового поколения, который читает содержимое пакетов, перехватывает только те, что имеют запрещенное содержимое.
Где развернуть защиту?
Если вы решаете установить в сеть защиту, будь то IDS/IPS, UTM или NGFW, встает вопрос, в каком месте ее ставить. В первую очередь это зависит от типа выбранной системы. Так, PIDS не имеет смысла ставить перед файерволом, внутри сети, а NGFW включает сразу все элементы, поэтому ее можно ставить куда угодно.
Система обнаружения вторжений может быть установлена перед файерволом c внутренней стороны сети. В таком случае IDS будет анализировать не весь трафик, а только тот, что не был заблокирован файерволом. Это логично: зачем анализировать данные, которые блокируются. К тому же это снижает нагрузку на систему.
IDS ставят также и на внешней границе сети, после файервола. В таком случае она фильтрует лишний шум глобальной сети, а также защищает от возможности картирования сети извне. При таком расположении система контролирует уровни сети с 4 по 7 и относится к сигнатурному типу. Такое развертывание сокращает число ложноположительных срабатываний.
Другая частая практика — установка нескольких копий системы обнаружения вторжений в критичных местах для защиты сети по приоритету важности. Также допускается установка IDS внутри сети для обнаружения подозрительной активности.
Место установки необходимо выбирать в соответствии с вашими требованиями к IDS, располагаемыми средствами и размерами сети.
Как настроить комплексную защиту?
Когда речь заходит о защите своих данных, сайтов и приложений, располагаемых в инфраструктуре облачного провайдера, сложно выбрать одно решение которое решит все возможные проблемы. Но, если вы не хотите переплачивать, разумным решением могут стать комплексные продукты. Современные инструменты — к примеру, межсетевые экраны — включают набор базовых функций и целый список дополнительных инструментов для решения ваших задач.
Один из таких — аппаратный межсетевой экран Fortinet FG-100E, использование которого предлагается для повышения сетевой безопасности выделенных серверов и виртуальных машин в публичном облаке. Межсетевые экраны уже смонтированы в наших дата-центрах соответствующих уровню Tier III, подключены к локальной сети и интернету, Selectel обеспечивает их электропитание и обслуживание. Все, что требуется, — в простом интерфейсе настроить межсетевой экран в несколько кликов. Подробнее — в базе знаний.
Базовые функции Fortinet FG-100E включают Firewall и VPN. Пропускная способность которых ограничена только производительностью оборудования. Кроме того, клиенты Selectel могут «прокачать» функции межсетевого экрана за счет дополнительных подписок. Они позволяют противодействовать актуальным угрозам и оптимизировать траты на инфраструктуру для системы защиты.
Для начала работы с межсетевым экраном необходимо заказать его в панели управления.
- Перейдите в панели управления в раздел Сетевые сервисы → Межсетевые экраны.
- Нажмите кнопку Заказать межсетевой экран.
- Выберите локацию (доступные модели устройств в локациях могут отличаться).
- Выберите устройство.
- Нажмите кнопку Оплатить.
- В открывшемся окне укажите период оплаты и нажмите кнопку Оплатить услугу.
- В поступившем тикете укажите информацию о блоке IP-адресов, который надо защитить межсетевым экраном.
Что такое система предотвращения вторжений (IPS) и чем она не является – Network Box USA
Недавно я обнаружил, что в киберпространстве люди часто неправильно понимают, что такое система предотвращения вторжений ( IPS ), а что нет . Что он может и чего не может. Уровень защиты, который он им предоставляет. И на самом деле, это заставило меня понять, почему так много компаний не имеют брандмауэра веб-приложений ( WAF ), когда они так остро в нем нуждаются.
Во-первых, IPS — это инструмент уровня 3. Он отслеживает входящие и исходящие пакеты, по одному пакету за раз. Это очень полезно для глубокой проверки пакетов, но имеет ли ограничения, основным из которых является то, что это то, чем оно является — инструмент уровня 3. Он понимает только пакеты, отдельные пакеты. Не сделки. Не протоколы уровня 7 (, т. е. HTTP ), и уж точно не приложения.
Но самое главное, то, чем IPS не является, так же важно, как и то, чем является IPS.
И IPS НЕ является прокси.
Не может перехватить трафик для правильного сканирования. Он сканирует « на лету ». Это означает, что он не может расшифровать зашифрованный трафик, следовательно, он не может защитить ваш сервер, если порт 443 открыт.
Когда браузер подключается к серверу, первое, что происходит, это сервер выдает ключ для этого сеанса. Если тот же пользователь, с тех же рабочих станций, даже из того же браузера, открывает новый сеанс ( новая вкладка, новое окно ) и подключается к тому же серверу, шифрование этого нового сеанса отличается от шифрования текущего сеанса. предыдущий сеанс. Каждая сессия шифруется своим ключом. Выдается сервером. Каждый раз начинается новая сессия.
Таким образом, IPS не сможет читать транзакцию HTTPS. Если на то пошло, он также никогда не сможет читать правильно зашифрованный поток. Такова природа шифрования. Предназначен для защиты таким образом. В противном случае, какой смысл в шифровании, если любой инструмент может его сломать?
Итак, ваш IPS не может сканировать входящий зашифрованный трафик « атакующий » ваш сервер. Он не может сканировать такой трафик, даже если вы являетесь клиентом, а сервер находится за пределами вашей сети. Но для этого у большинства из нас (, надеюсь, у всех ) уже есть то, что мы называем исходящим прокси. Мы используем его для обеспечения соблюдения политики. И если у нас есть обновленный сертификат, у нас есть общедоступный сертификат, предоставленный поставщиком, который установлен на нашем клиенте, что позволяет прокси-серверу выполнять исходящие соединения HTTPS от нашего имени.
И просканируйте этот трафик.
Но для входящего трафика ( , когда у вас есть свой сервер и ему нужна защита от интернет-атак ), это совсем другая история. Обычный прокси не может защитить вас, так как он создан для защиты браузера клиента от заражения на сервере. Здесь мы говорим совсем об обратном. Защита сервера от атак, исходящих от клиента. Для этого вам понадобится так называемый входящий прокси. Или то, что чаще всего называют WAF ( Брандмауэр веб-приложений ).
Так что же такое WAF?
Это инструмент уровня 7. Прокси, понимающий протокол HTTP. Он может перехватывать обращения браузера к веб-серверу, чтобы защитить его от таких вещей, как SQL-инъекции. Недавний пример — уязвимость Citrix — CVE-2019-19781.
Citrix использует HTTPS. IPS, у которого есть надлежащая сигнатура для блокировки эксплойтов этой уязвимости, не может правильно выполнять свою работу, поскольку трафик зашифрован. WAF будет перехватывать эти вызовы, расшифровывать трафик, передавать его на IPS, и это блокирует атаки. Существенная разница, как видите.
WAF делает гораздо больше для защиты ваших серверов.
Но основная идея здесь в том, что большая часть трафика зашифрована .
И чтобы сканировать на наличие атак, вам нужно расшифровать его. И только инструмент уровня 7, такой как WAF, может это сделать. WAF будет выполнять разгрузку HTTPS, что означает, что вы установите частный ЦС веб-сервера, сертификаты и ключи на WAF, и ваши удаленные браузеры будут общаться с WAF.
Никогда на сервер. Затем WAF сможет расшифровать трафик и проанализировать его на наличие угроз. Если трафик считается безопасным, он повторно шифрует его и передает на сервер ( на самом деле, если сервер локально подключен к WAF, это второе шифрование может даже не понадобиться ).
Итак, в следующий раз, когда вы будете устанавливать веб-сервер, и кто-то скажет, что для его защиты достаточно только IPS, теперь вы знаете, что это совершенно неправда.
Если вы действительно хотите защитить веб-сервер, вам нужен инструмент, который понимает протоколы уровня 7, которые использует этот сервер, и может расшифровывать трафик для поиска угроз.
И этот инструмент — WAF.
Что такое расшифровка SSL? | Определение и основные концепции
Почему важна расшифровка SSL?
С ростом популярности облачных и SaaS-приложений возрастает вероятность того, что конкретный файл или строка данных в какой-то момент попадет в Интернет. Если эти данные являются конфиденциальными или конфиденциальными, они могут быть целью. Поэтому шифрование необходимо для обеспечения безопасности людей и данных. Вот почему большинство браузеров, веб-сайтов и облачных приложений сегодня шифруют исходящие данные, а также обмениваются этими данными через зашифрованные соединения.
Конечно, это работает в обе стороны — если конфиденциальные данные можно скрыть с помощью шифрования, то и угрозы тоже. Это делает эффективное дешифрование SSL столь же важным, поскольку оно позволяет организации полностью проверять содержимое расшифрованного трафика перед его блокировкой или повторным шифрованием, чтобы он мог продолжить свой путь.
SSL против TLS
Время для устранения неоднозначности. Secure Sockets Layer (SSL) и Transport Layer Security (TLS) — это криптографические протоколы, управляющие шифрованием и передачей данных между двумя точками. Итак, в чем разница?
Ныне несуществующая компания Netscape разработала SSL в 1990-х годах, выпустив SSL 3.0 в конце 1996 года. TLS 1.0, основанный на улучшенной версии SSL 3.0, появился в 1999 году. TLS 1.3, выпущенный Инженерной группой Интернета (IETF) в 2018 году, является самой последней и безопасной версией на момент написания этой статьи. Сегодня SSL больше не разрабатывается и не поддерживается — к 2015 году IETF объявила все версии SSL устаревшими из-за уязвимостей (например, для атак «человек посередине») и отсутствия критически важных функций безопасности.
Несмотря на это и десятилетия изменений, помимо строго технического смысла, большинство людей по-прежнему говорят «SSL» в качестве универсального для криптографических протоколов. Другими словами, когда вы видите SSL, TLS, SSL/TLS, HTTPS и т. д., в большинстве случаев все они означают одно и то же. Для целей этой статьи мы уточним по мере необходимости.
Преимущества расшифровки SSL
Внедрение расшифровки и проверки SSL помогает современным организациям обеспечивать безопасность своих конечных пользователей, клиентов и данных с возможностью:
- Предотвращайте утечку данных, находя скрытые вредоносные программы и не давая хакерам проникнуть через средства защиты
- Видеть и понимать, что сотрудники отправляют за пределы организации, намеренно или случайно
- Соблюдайте нормативные требования, гарантируя, что сотрудники не подвергают риску конфиденциальные данные
- Поддержка многоуровневой стратегии защиты, обеспечивающей безопасность всей организации
В период с января по сентябрь 2021 года Zscaler заблокировал 20,7 миллиарда угроз через HTTPS. Это представляет собой увеличение более чем на 314 процентов по сравнению с 6,6 миллиардами угроз, заблокированных в 2020 году, что само по себе почти на 260 процентов больше, чем годом ранее.
ThreatLabz: состояние шифрованных атак, 2021 г.
Необходимость расшифровки SSL
Несмотря на более широкое использование шифрования, многие организации по-прежнему проверяют лишь часть своего трафика SSL/TLS, позволяя не проверять трафик из сетей доставки контента (CDN) и определенных «доверенных» сайтов. Это может быть рискованно, потому что:
- W ebpages могут легко измениться. Некоторые извлекают данные из нескольких источников для отображения сотен объектов, каждый из которых следует считать ненадежным независимо от его источника.
- M alware Авторы часто используют шифрование, чтобы скрыть свои эксплойты. Сегодня по всему миру работает более 100 центров сертификации, поэтому получить действующий SSL-сертификат несложно и недорого.
- Большая часть трафика зашифрована. В любой момент времени около 70 % трафика, обрабатываемого Zscaler Cloud, шифруется, что подчеркивает важность возможности расшифровки SSL-трафика.
Так почему же не все так делают? Просто для расшифровки, проверки и повторного шифрования трафика SSL требуется много вычислений, и без правильной технологии это может снизить производительность вашей сети. Большинство компаний не могут позволить себе остановить бизнес и рабочие процессы, поэтому у них нет другого выбора, кроме как обойти проверку с помощью устройств, которые не справляются с требованиями обработки.
Как работает расшифровка SSL
Существует несколько различных подходов к расшифровке и проверке SSL. Давайте рассмотрим наиболее распространенные из них и ключевые соображения для каждого из них.
Метод проверки SSL
Как это работает
Режим терминальной точки доступа (TAP)
Простое аппаратное устройство копирует весь сетевой трафик для автономного анализа, включая проверку SSL.
Брандмауэр нового поколения (NGFW)
Сетевые подключения проходят через NGFW с видимостью только на уровне пакетов, что ограничивает обнаружение угроз.
Прокси
Между клиентом и сервером создаются два отдельных соединения с полной проверкой сетевого потока и сеансов.
Влияние проверки SSL
Режим терминальной точки доступа (TAP)
Требуется дорогостоящее оборудование (например, сетевые TAP 10G), чтобы весь трафик копировался на полной скорости линии без потери данных.
Брандмауэр нового поколения (NGFW)
NGFW видят только часть вредоносных программ, что позволяет доставлять их по частям. Они требуют дополнительных функций прокси-сервера и, как правило, работают хуже, когда включены ключевые функции, такие как предотвращение угроз.
Прокси
Целые объекты можно собирать и сканировать, что позволяет сканировать их с помощью дополнительных механизмов обнаружения угроз, таких как песочница и DLP.
Влияние после внедрения TLS 1.3
Режим терминальной точки доступа (TAP)
Ретроспективная проверка SSL больше не работает из-за «совершенной прямой секретности», которая требует новых ключей для каждого сеанса SSL.
Брандмауэр нового поколения (NGFW)
Производительность заметно падает из-за более высоких требований к производительности и масштабируемости шифров TLS 1.3, для преодоления которых требуется обновление оборудования.
Прокси
В случае облачного прокси-сервера, предоставляемого как услуга, на стороне клиента не требуется обновление устройства для удовлетворения потребностей в производительности и масштабировании TLS 1.3.
Рекомендации по расшифровке SSL
Необходимость реализации функции расшифровки и проверки SSL для защиты вашей организации стала слишком большой, чтобы ее игнорировать. Тем не менее, при развертывании проверки SSL следует учитывать важные моменты (некоторые более технические, чем другие): это шире.
Как насчет последствий проверки SSL для конфиденциальности?
Расшифровка и проверка SSL могут значительно улучшить вашу гигиену безопасности, но это может быть не так просто, как расшифровка всего. В зависимости от вашей отрасли, региона и законов и правил, которым вы подчиняетесь, вы можете иметь дело с определенным трафиком, который не следует расшифровывать, например медицинскими или финансовыми данными. В этом случае вам нужно будет настроить фильтры и политики, чтобы сохранить конфиденциальность этих типов подключений.
Помимо юридических и нормативных соображений, ваша организация обычно должна проверять как можно больше SSL-трафика, чтобы снизить риск и обеспечить безопасность ваших пользователей и данных.
Zscaler и расшифровка SSL
Платформа Zscaler Zero Trust Exchange™ обеспечивает полную проверку SSL в любом масштабе без ограничений по задержке или емкости. Объединив проверку SSL с нашим полным стеком безопасности в виде облачной службы, вы получите превосходную защиту без ограничений, связанных с устройствами.
Неограниченная емкость
Проверяйте SSL-трафик всех ваших пользователей в сети или за ее пределами с помощью службы, которая эластично масштабируется в соответствии с вашими потребностями в трафике.
Leaner Administration
Прекращение индивидуального управления сертификатами на всех шлюзах. Сертификаты, загруженные в Zscaler Cloud, сразу же доступны в более чем 150 центрах обработки данных Zscaler по всему миру.
Гранулярный контроль политик
Обеспечьте соблюдение гибкости, чтобы исключить зашифрованный пользовательский трафик для конфиденциальных категорий веб-сайтов, таких как здравоохранение или банковское дело.