Dans un monde idéal, seuls ceux qui ont besoin d'entrer dans votre réseau - collègues, amis, employés de l'entreprise .. En d'autres termes, ceux que vous connaissez et en qui vous avez confiance.

Dans le monde réel, il est souvent nécessaire de donner accès au réseau interne à des clients, des éditeurs de logiciels, etc. Parallèlement, grâce à la mondialisation et au développement généralisé de la pige, l'accès à des personnes que vous ne connaissez pas très bien et ne pas faire confiance devient déjà une nécessité.

Mais dès que vous décidez d'ouvrir l'accès à votre réseau interne 24h/24 et 7j/7, vous devez comprendre que non seulement les "bons" utiliseront cette "porte". Habituellement, en réponse à une telle déclaration, vous pouvez entendre quelque chose comme « eh bien, il ne s'agit pas de nous, nous avons une petite entreprise », « mais qui a besoin de nous », « que nous n'avons rien à casser ».

Et ce n'est pas tout à fait vrai. Même si vous imaginez une entreprise dans laquelle les ordinateurs n'ont rien d'autre qu'un système d'exploitation fraîchement installé, ce sont des ressources. Des ressources qui peuvent fonctionner. Et pas seulement sur vous.

Par conséquent, même dans ce cas, ces machines peuvent devenir la cible d'attaquants, par exemple pour créer un botnet, miner des bitcoins, cracker des hachages…

Une autre option consiste à utiliser des machines de votre réseau pour envoyer par proxy les requêtes des attaquants. Ainsi, leurs activités illégales vous enchaîneront dans la chaîne des colis et ajouteront au moins un casse-tête à l'entreprise en cas de litige.

Et ici la question se pose : comment distinguer les actions légales des actions illégales ?

En fait, le système de détection d'intrusion devrait répondre à cette question. Avec lui, vous pouvez détecter la plupart des attaques bien connues sur votre réseau et avoir le temps d'arrêter les attaquants avant qu'ils n'atteignent quelque chose d'important.

Habituellement, à ce stade du raisonnement, l'idée surgit que ce qui est décrit ci-dessus peut être exécuté par un pare-feu ordinaire. Et c'est correct, mais pas dans tout.

La différence entre les fonctions de pare-feu et IDS peut ne pas être visible à première vue. Mais un IDS est généralement capable de comprendre le contenu des paquets, les en-têtes et le contenu, les drapeaux et les options, pas seulement les ports et les adresses IP. Autrement dit, IDS comprend le contexte, qui n'est généralement pas en mesure de pare-feu. Sur cette base, nous pouvons dire que l'IDS remplit les fonctions d'un pare-feu, mais de manière plus intelligente. Pour un pare-feu classique, il n'est pas courant d'autoriser, par exemple, les connexions au port 22 (ssh), mais de ne bloquer que certains paquets contenant certaines signatures.

Les pare-feu modernes peuvent être étendus avec divers plugins qui peuvent faire des choses similaires liées à l'inspection approfondie des packages. Souvent, ces plug-ins sont proposés par les fournisseurs d'IDS eux-mêmes pour renforcer la connexion Firewall-IDS.

En tant qu'abstraction, vous pouvez considérer l'IDS comme le système d'alarme de votre maison ou de votre bureau. IDS surveillera le périmètre et vous fera savoir quand quelque chose d'imprévu se produit. Mais en même temps, IDS n'empêchera en aucune façon la pénétration.

Et cette fonctionnalité conduit au fait que, dans sa forme pure, IDS n'est très probablement pas ce que vous attendez de votre système de sécurité (très probablement, vous ne voudrez pas qu'un tel système protège votre maison ou votre bureau - il n'y a pas de serrures dedans ).

Par conséquent, presque tous les IDS sont désormais une combinaison d'IDS et d'IPS (Intrusion Prevention System - Intrusion Prevention System).

De plus, il est nécessaire de bien comprendre la différence entre IDS et VS (Vulnerability Scanner - Vulnerability Scanner). Et ils diffèrent par le principe d'action. Les scanners de vulnérabilité sont une mesure préventive. Vous pouvez scanner toutes vos ressources. Si le scanner trouve quelque chose, vous pouvez le réparer.

Mais, après le moment où vous avez effectué une analyse et avant la prochaine analyse, des changements peuvent se produire dans l'infrastructure, et votre analyse perd tout son sens, car elle ne reflète plus l'état réel des choses. Des éléments tels que des configurations, des paramètres de services individuels, de nouveaux utilisateurs, des droits d'utilisateurs existants, de nouvelles ressources et de nouveaux services peuvent être ajoutés au réseau.

La différence entre les IDS est qu'ils effectuent la détection en temps réel, avec la configuration actuelle.

Il est important de comprendre qu'IDS, en fait, ne sait rien des vulnérabilités des services sur le réseau. Elle n'en a pas besoin. Il détecte les attaques selon ses propres règles - dès l'apparition de signatures dans le trafic sur le réseau. Ainsi, si l'IDS contient, par exemple, des signatures pour des attaques sur Apache WebServer, et que vous ne l'avez nulle part, l'IDS détectera toujours les paquets avec de telles signatures (peut-être que quelqu'un essaie d'envoyer un exploit d'Apache à nginx hors de l'ignorance, ou cela fait une boîte à outils automatisée).

Bien sûr, une telle attaque contre un service inexistant ne mènera à rien, mais avec IDS, vous saurez qu'une telle activité a lieu.

Une bonne solution consiste à combiner des analyses de vulnérabilité périodiques avec IDS/IPS activé.

Méthodes de détection d'intrusion. Solutions logicielles et matérielles.

Aujourd'hui, de nombreux fournisseurs proposent leurs propres solutions IDS/IPS. Et ils vendent tous leurs produits de différentes manières.

Les différentes approches sont dues aux différentes approches de la catégorisation des événements de sécurité, des attaques et des intrusions.

La première chose à considérer est l'échelle : l'IDS/IPS ne fonctionnera-t-il qu'avec le trafic d'un hôte spécifique, ou examinera-t-il le trafic de l'ensemble du réseau.

Deuxièmement, c'est ainsi que le produit est initialement positionné : il peut s'agir d'une solution logicielle, ou il peut s'agir d'une solution matérielle.

Regardons le soi-disant IDS basé sur l'hôte (HIDS - Host-based Intrusion Detection System)

HIDS n'est qu'un exemple d'implémentation logicielle d'un produit et est installé sur une machine. Ainsi, un système de ce type ne "voit" que les informations disponibles sur une machine donnée et, par conséquent, ne détecte les attaques affectant que cette machine. L'avantage des systèmes de ce type est qu'étant sur la machine, ils voient toute sa structure interne et peuvent contrôler et vérifier beaucoup plus d'objets. Pas seulement le trafic externe.

Ces systèmes surveillent généralement les fichiers journaux, essaient de détecter les anomalies dans les flux d'événements, stockent les sommes de contrôle des fichiers de configuration critiques et comparent périodiquement si quelqu'un a modifié ces fichiers.

Comparons maintenant ces systèmes avec les systèmes basés sur le réseau (NIDS) dont nous avons parlé au tout début.

Essentiellement, NIDS ne nécessite qu'une interface réseau à partir de laquelle NIDS peut recevoir du trafic.

De plus, tout ce que NIDS fait est de comparer le trafic avec des modèles d'attaque prédéfinis (signatures), et dès que quelque chose tombe sous la signature d'attaque, vous recevez une notification concernant une tentative d'intrusion. NIDS est également capable de détecter DoS et certains autres types d'attaques que HIDS ne peut tout simplement pas voir.

Vous pouvez également aborder la comparaison de l'autre côté :

Si vous choisissez IDS/IPS implémenté comme solution logicielle, vous avez le contrôle sur le matériel sur lequel vous l'installez. Et, si vous avez déjà du matériel, vous pouvez économiser de l'argent.

Il existe également des versions gratuites d'IDS / IPS dans la mise en œuvre logicielle. Bien sûr, vous devez comprendre qu'en utilisant des systèmes gratuits, vous n'obtenez pas le même support, la même vitesse de mise à jour et la même résolution de problèmes qu'avec les options payantes. Mais c'est un bon point de départ. En eux, vous pouvez comprendre ce dont vous avez vraiment besoin de ces systèmes, voir ce qui manque, ce qui est inutile, identifier les problèmes et vous saurez quoi demander aux fournisseurs de systèmes payants au tout début.

Si vous choisissez une solution matérielle, vous obtenez une boîte presque prête à l'emploi. Les avantages d'une telle implémentation sont évidents - le matériel est choisi par le vendeur, et il doit garantir que sur ce matériel sa solution fonctionne avec les caractéristiques déclarées (ne ralentit pas, ne se bloque pas). Habituellement, à l'intérieur, il y a une sorte de distribution Linux avec un logiciel déjà installé. De telles distributions sont généralement sévèrement coupées pour assurer un fonctionnement rapide, ne laissant que les packages et utilitaires nécessaires (en même temps, le problème de la taille du kit sur le disque est résolu - plus le disque dur est petit - plus le coût est bas - plus le profit est important !).

Les solutions logicielles sont souvent très gourmandes en ressources informatiques.

En partie à cause du fait que seul IDS / IPS fonctionne dans la "boîte", et sur les serveurs avec logiciel IDS / IPS, il y a généralement toujours beaucoup de choses supplémentaires en cours d'exécution.

Actuellement, la protection offerte par le pare-feu et l'antivirus n'est plus efficace contre les attaques réseau et les logiciels malveillants. Les solutions de classe IDS / IPS viennent au premier plan, qui peuvent détecter et bloquer les menaces connues et encore inconnues.

INFO

• Pour Mod_Security et GreenSQL-FW, voir "The Last Frontier", ][_12_2010.
• Comment apprendre à iptables à "regarder" à l'intérieur du paquet, lisez l'article "Fire Shield", ][_12_2010.

Technologies IDS/IPS

Pour faire un choix entre IDS ou IPS, vous devez comprendre leurs principes de fonctionnement et leur objectif. Ainsi, la tâche de l'IDS (Intrusion Detection System) est de détecter et d'enregistrer les attaques, ainsi que de notifier le déclenchement d'une certaine règle. Selon le type, IDS peut détecter différents types d'attaques réseau, détecter les tentatives d'accès non autorisées ou d'élévation de privilèges, les logiciels malveillants, surveiller l'ouverture d'un nouveau port, etc. Contrairement à un pare-feu qui ne contrôle que les paramètres de session (IP, numéro de port et l'état des liens), IDS "regarde" à l'intérieur du paquet (jusqu'au septième niveau OSI), analysant les données transmises. Il existe plusieurs types de systèmes de détection d'intrusion. Les APIDS (Application protocol-based IDS), qui surveillent une liste limitée de protocoles d'application pour des attaques spécifiques, sont très populaires. Les représentants typiques de cette classe sont PHPIDS , qui parse les requêtes aux applications PHP, Mod_Security, qui protège le serveur web (Apache), et GreenSQL-FW, qui bloque les commandes SQL dangereuses (voir l'article "Last Frontier" dans][_12_2010).

Les réseaux NIDS (Network Intrusion Detection System) sont plus polyvalents, grâce à la technologie DPI (Deep Packet Inspection). Ils ne contrôlent pas une application spécifique, mais tout le trafic passant, à partir de la couche liaison.

Pour certains filtres de paquets, la possibilité de "regarder à l'intérieur" et de bloquer le danger est également implémentée. Les exemples incluent les projets OpenDPI et Fwsnort. Ce dernier est un programme pour convertir la base de données de signatures Snort en règles de blocage équivalentes pour iptables. Mais dans un premier temps, le pare-feu est affûté pour d'autres tâches, et la technologie DPI est "overhead" pour le moteur, de sorte que les fonctions de traitement de données supplémentaires se limitent au blocage ou au marquage de protocoles strictement définis. L'IDS alerte uniquement toute activité suspecte. Pour bloquer l'hôte attaquant, l'administrateur reconfigure lui-même le pare-feu en consultant les statistiques. Naturellement, aucune réponse en temps réel n'est hors de question ici. C'est pourquoi les IPS (Intrusion Prevention System, système de prévention des attaques) sont plus intéressants aujourd'hui. Ils sont basés sur IDS et peuvent indépendamment reconstruire le filtre de paquets ou terminer la session en envoyant un TCP RST. Selon le principe de fonctionnement, l'IPS peut être installé « en pause » ou utiliser la mise en miroir du trafic (SPAN) reçu de plusieurs capteurs. Par exemple, l'écart est défini par Hogwash Light BR, qui fonctionne au niveau de la deuxième couche OSI. Un tel système peut ne pas avoir d'adresse IP, ce qui signifie qu'il reste invisible pour un intrus.

Dans la vie ordinaire, la porte est non seulement verrouillée, mais également protégée en laissant un garde à proximité, car ce n'est que dans ce cas que vous pouvez être sûr de la sécurité. BIT en tant que tels gardes de sécurité sont des IPS hôtes (voir "The New Defensive Frontier" in][_08_2009), qui protègent le système local contre les virus, les rootkits et le piratage. Ils sont souvent confondus avec les antivirus qui disposent d'un module de protection proactive. Mais HIPS, en règle générale, n'utilise pas de signatures, ce qui signifie qu'ils ne nécessitent pas de mises à jour constantes de la base de données. Ils contrôlent de nombreux autres paramètres système : les processus, l'intégrité des fichiers système et du registre, les entrées dans les journaux, et bien plus encore.

Afin d'avoir un contrôle total sur la situation, il est nécessaire de contrôler et de corréler les événements à la fois au niveau du réseau et au niveau de l'hôte. À cette fin, des IDS hybrides ont été créés, qui collectent des données provenant de diverses sources (ces systèmes sont souvent appelés SIM - Security Information Management). Parmi les projets OpenSource, le Prelude Hybrid IDS est intéressant, collectant les données de presque tous les IDS / IPS OpenSource et comprenant le format de journal de diverses applications (le support de ce système a été suspendu il y a plusieurs années, mais les packages collectés peuvent toujours être trouvés dans le Linux et *dépôts BSD).

Même les pros peuvent s'embrouiller dans la variété des solutions proposées. Aujourd'hui, nous allons faire connaissance avec les représentants les plus brillants des systèmes IDS / IPS.

Contrôle unifié des menaces

L'Internet moderne véhicule un grand nombre de menaces, de sorte que les systèmes hautement spécialisés ne sont plus pertinents. Il est nécessaire d'utiliser une solution multifonctionnelle complète qui inclut tous les composants de protection : pare-feu, IDS/IPS, antivirus, serveur proxy, filtre de contenu et filtre antispam. Ces appareils sont appelés UTM (Unified Threat Management, Unified Threat Management). Des exemples d'UTM incluent Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances ou des distributions Linux spécialisées telles que Untangle Gateway, IPCop Firewall, pfSense (lire leur revue dans l'article Network Regulators, ] [_01_2010).

Suricate

La version bêta de cet IDS/IPS a été rendue publique en janvier 2010 après trois ans de développement. L'un des principaux objectifs du projet est de créer et de tester des technologies de détection d'intrusion entièrement nouvelles. Derrière Suricata se trouve l'OISF, qui a le soutien de partenaires sérieux, dont les gars du département américain de la sécurité intérieure. Le numéro de version 1.1, publié en novembre 2011, est pertinent aujourd'hui. Le code du projet est distribué sous licence GPLv2, mais les partenaires financiers ont accès à une version non GPL du moteur qu'ils peuvent utiliser dans leurs produits. Pour obtenir un maximum de résultats, la communauté est impliquée dans les travaux, ce qui permet d'atteindre un taux de développement très élevé. Par exemple, par rapport à la précédente version 1.0, la quantité de code dans la 1.1 a augmenté de 70 %. Certains IDS modernes avec une longue histoire, y compris Snort, n'utilisent pas les systèmes multiprocesseurs / multicœurs de manière très efficace, ce qui entraîne des problèmes lors du traitement de grandes quantités de données. Suricata fonctionne nativement en mode multi-thread. Les benchmarks montrent qu'il surpasse Snort six fois en vitesse (sur un système avec 24 CPU et 128 Go de RAM). Lorsqu'il est construit avec l'option '--enable-cuda', l'accélération matérielle côté GPU est activée. Initialement, IPv6 est supporté (dans Snort il est activé avec la clé ‘-enable-ipv6’), des interfaces standards sont utilisées pour intercepter le trafic : LibPcap, NFQueue, IPFRing, IPFW. En général, la disposition modulaire vous permet de connecter rapidement le bon élément pour capturer, décoder, analyser ou traiter les paquets. Le blocage est effectué à l'aide du filtre de paquets standard du système d'exploitation (sous Linux, pour activer le mode IPS, vous devez installer les bibliothèques netlink-queue et libnfnetlink). Le moteur détecte et analyse automatiquement les protocoles (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP et SCTP), il n'est donc pas nécessaire de lier le numéro de port dans les règles (comme le fait Snort), vous besoin de définir l'action pour le protocole souhaité. Ivan Ristic, l'auteur de Mod_security, a créé une bibliothèque HTP personnalisée que Suricata utilise pour analyser le trafic HTTP. Les développeurs s'efforcent principalement d'obtenir une précision de détection et d'augmenter la vitesse de vérification des règles.

La sortie des résultats est unifiée, vous pouvez donc utiliser des utilitaires standard pour les analyser. En fait, tous les back-ends, interfaces et analyseurs écrits pour Snort (Barnyard, Snortsnarf, Sguil, etc.) fonctionnent sans modifications avec Suricata. C'est aussi un gros plus. Les échanges HTTP sont journalisés en détail dans un fichier au format standard Apache.

Le mécanisme de détection dans Suricata est basé sur des règles. Ici, les développeurs n'ont encore rien inventé, mais ont permis de connecter des jeux de règles créés pour d'autres projets : Sourcefire VRT (peut être mis à jour via Oinkmaster), et Emerging Threats Pro. Dans les premières versions, le support n'était que partiel et le moteur ne reconnaissait pas et ne chargeait pas certaines règles, mais maintenant ce problème est résolu. Implémentation de son propre format de règles, rappelant extérieurement celui de Snort. Une règle comporte trois composants : une action (réussite, suppression, rejet ou alerte), un en-tête (IP/port source et destination) et une description (ce qu'il faut rechercher). Des variables (mécanisme flowint) sont utilisées dans les paramètres, permettant par exemple de créer des compteurs. Dans le même temps, les informations du flux peuvent être stockées pour une utilisation ultérieure. Cette approche, utilisée pour suivre les tentatives de deviner le mot de passe, est plus efficace que la méthode utilisée dans Snort, qui fonctionne sur une valeur seuil. Il est prévu de créer un mécanisme d'IP Reputation (comme SensorBase Cisco, voir l'article "Touch Cisco" dans][_07_2011).

En résumé, Suricata est un moteur plus rapide que Snort, entièrement compatible avec les back-ends et capable de vérifier de grands flux réseau. Le seul inconvénient du projet est la mauvaise documentation, bien qu'un administrateur expérimenté n'ait besoin de rien pour comprendre les paramètres. Des packages d'installation sont déjà apparus dans les référentiels des distributions, et des instructions claires pour l'auto-assemblage à partir de la source sont disponibles sur le site du projet. Il existe également une distribution Smooth-sec prête à l'emploi basée sur Suricata.

Samain

Publié sous une licence OpenSource, Samhain est un IDS hôte qui protège un seul ordinateur. Il utilise plusieurs méthodes d'analyse pour couvrir entièrement tous les événements se produisant dans le système :

• création au premier démarrage de la base de données des signatures des fichiers importants et sa comparaison dans le futur avec le système « live » ;
• surveillance et analyse des enregistrements dans les revues;
• contrôle des entrées/sorties du système ;
• surveiller les connexions aux ports réseau ouverts ;
• contrôle des fichiers par set SUID des processus cachés.

Le programme peut être exécuté en mode furtif (à l'aide d'un module du noyau) lorsque les processus du noyau ne peuvent pas être détectés en mémoire. Samhain prend également en charge la surveillance de plusieurs nœuds exécutant différents systèmes d'exploitation en enregistrant tous les événements sur un point d'eau. Dans le même temps, les agents installés sur les nœuds distants envoient toutes les informations collectées (TCP, AES, signature) au serveur (yule) via un canal crypté, qui les stocke dans la base de données (MySQL, PostgreSQL, Oracle). De plus, le serveur est chargé de vérifier l'état des systèmes clients et de distribuer les mises à jour des fichiers de configuration. Mise en place de plusieurs options pour les notifications et l'envoi des informations collectées : e-mail (le mail est signé pour éviter la falsification), syslog, fichier journal (signé), Nagios, console, etc. La gestion peut se faire avec l'aide de plusieurs administrateurs avec des les rôles.

Le package est disponible dans les référentiels de presque toutes les distributions Linux, le site Web du projet contient une description de l'installation de Samhain sous Windows.

Système de prévention des intrusions StoneGate

Cette solution a été développée par une société finlandaise qui crée des produits de sécurité réseau de classe entreprise. Il implémente toutes les fonctions nécessaires : IPS, protection contre les attaques DDoS et 0day, filtrage web, support du trafic crypté, etc. Grâce à StoneGate IPS, vous pouvez bloquer les virus, les spywares, certaines applications (P2P, IM, etc.). Pour le filtrage Web, une base de données de sites constamment mise à jour est utilisée, divisée en plusieurs catégories. Une attention particulière est portée à la protection contre le contournement des systèmes de sécurité AET (Advanced Evasion Techniques). La technologie Transparent Access Control vous permet de diviser un réseau d'entreprise en plusieurs segments virtuels sans modifier la topologie réelle et de définir des politiques de sécurité individuelles pour chacun d'eux. Les politiques d'inspection du trafic sont configurées à l'aide de modèles contenant des règles types. Ces politiques sont créées hors ligne. L'administrateur vérifie les politiques qui ont été créées et les télécharge sur les hôtes IPS distants. Les événements similaires dans StoneGate IPS sont traités selon le principe utilisé dans les systèmes SIM/SIEM, ce qui facilite grandement l'analyse. Plusieurs appareils peuvent être facilement regroupés et intégrés à d'autres solutions StoneSoft - StoneGate Firewall/VPN et StoneGate SSL VPN. La gestion est assurée à partir d'une console de gestion unique (StoneGate Management Center), qui se compose de trois composants : Management Server, Log Server et Management Client. La console permet non seulement de configurer le fonctionnement de l'IPS et de créer de nouvelles règles et politiques, mais également de surveiller et d'afficher les journaux. Il est écrit en Java, donc des versions Windows et Linux sont disponibles.

StoneGate IPS est disponible à la fois en tant que package matériel et en tant qu'image VMware. Ce dernier est conçu pour être installé sur votre propre matériel ou dans une infrastructure virtuelle. Soit dit en passant, contrairement aux créateurs de nombreuses solutions similaires, la société de développement vous permet de télécharger une version test de l'image.

Système de prévention des intrusions sur le réseau IBM Security

Le système de prévention des attaques d'IBM utilise une technologie d'analyse de protocole propriétaire qui fournit une protection proactive, y compris contre les menaces 0day. Comme tous les produits de la série IBM Security, il est basé sur le module d'analyse de protocole - PAM (Protocol Analysis Module), qui combine la méthode traditionnelle de détection d'attaque par signature (Proventia OpenSignature) et un analyseur comportemental. Parallèlement, PAM distingue 218 protocoles de couche applicative (attaques via VoIP, RPC, HTTP, etc.) et des formats de données tels que DOC, XLS, PDF, ANI, JPG, afin de prédire où le code malveillant peut être injecté. Plus de 3000 algorithmes sont utilisés pour analyser le trafic, dont 200 « attrapent » les DoS. Les fonctionnalités de pare-feu autorisent l'accès à certains ports et IP uniquement, éliminant ainsi le besoin d'un périphérique supplémentaire. La technologie Virtual Patch bloque les virus pendant la phase de propagation et protège les ordinateurs jusqu'à l'installation d'une mise à jour qui corrige une vulnérabilité critique. Si nécessaire, l'administrateur lui-même peut créer et utiliser la signature. Le module de contrôle des applications vous permet de gérer les contrôles P2P, IM, ActiveX, les outils VPN, etc. et, si nécessaire, de les bloquer. Un module DLP a été implémenté qui surveille les tentatives de transfert d'informations confidentielles et de déplacement de données dans un réseau protégé, ce qui vous permet d'évaluer les risques et de bloquer les fuites. Par défaut, huit types de données sont reconnus (numéros de carte de crédit, numéros de téléphone...), l'administrateur définit lui-même le reste des informations spécifiques à l'organisation à l'aide d'expressions régulières. Actuellement, la plupart des vulnérabilités se trouvent dans les applications Web, c'est pourquoi le produit IBM inclut un module spécial de sécurité des applications Web qui protège les systèmes contre les types d'attaques courants : injection SQL, injection LDAP, XSS, piratage JSON, inclusions de fichiers PHP, CSRF, etc. .d.

Plusieurs options sont disponibles lorsqu'une attaque est détectée : bloquer l'hôte, envoyer une alerte, écrire le trafic d'attaque (dans un fichier compatible tcpdump), mettre l'hôte en quarantaine, effectuer une action configurable par l'utilisateur, et quelques autres. Les politiques sont écrites pour chaque port, adresse IP ou zone VLAN. Le mode haute disponibilité garantit que si l'un des multiples périphériques IPS du réseau tombe en panne, le trafic transitera par l'autre et les connexions établies se poursuivront. Tous les sous-systèmes à l'intérieur du morceau de fer - RAID, alimentation, ventilateur de refroidissement - sont dupliqués. La configuration de la console Web est la plus simple possible (les formations ne durent qu'une journée). Si vous disposez de plusieurs dispositifs, vous achetez généralement IBM Security SiteProtector, qui fournit une gestion centralisée, une analyse des journaux et des rapports.

Plate-forme de sécurité réseau McAfee 7

IntruShield IPS, fabriqué par McAfee, était l'une des solutions IPS populaires à son époque. McAfee Network Security Platform 7 (NSP) en est désormais basé. En plus de toutes les fonctions du NIPS classique, le nouveau produit a reçu des outils d'analyse des paquets transmis par le réseau interne de l'entreprise, ce qui permet de détecter le trafic malveillant initié par les ordinateurs infectés. McAfee utilise la technologie Global Threat Intelligence, qui collecte des informations à partir de centaines de milliers de capteurs installés dans le monde et évalue la réputation de tous les fichiers uniques, adresses IP et URL et protocoles. Grâce à cela, NSP peut détecter le trafic de botnet, détecter les menaces 0day et les attaques DDoS, et une attaque à large couverture peut réduire le risque de faux positif.

Tous les IDS/IPS ne peuvent pas fonctionner dans un environnement de machine virtuelle, car tous les échanges ont lieu sur des interfaces internes. Mais NSP n'a aucun problème avec cela, il peut analyser le trafic entre les VM, ainsi qu'entre la VM et l'hôte physique. Pour la surveillance des nœuds, un module d'agent de Reflex Systems est utilisé, qui collecte les informations de trafic dans la machine virtuelle et les transfère à l'environnement physique pour analyse.

Le moteur distingue plus de 1100 applications exécutées au niveau de la septième couche OSI. Il examine le trafic à l'aide d'un moteur d'analyse de contenu et fournit des outils de gestion simples.

En plus de NIPS, McAfee lance l'IPS hébergé - Host Intrusion Prevention for Desktop, qui offre une protection complète des PC à l'aide de méthodes de détection des menaces telles que l'analyse du comportement des signatures, la surveillance de l'état de la connexion à l'aide d'un pare-feu et l'évaluation de la réputation pour bloquer les attaques.

Où déployer IDS/IPS ?

Pour tirer le meilleur parti d'IDS/IPS, les directives suivantes doivent être suivies :

• Le système doit être déployé à l'entrée d'un réseau ou d'un sous-réseau protégé et généralement derrière un pare-feu (cela n'a aucun sens de contrôler le trafic qui sera bloqué) - de cette façon, nous réduirons la charge. Dans certains cas, des capteurs sont installés à l'intérieur du segment.
• Avant d'activer la fonction IPS, vous devez conduire le système pendant un certain temps en mode IDS non bloquant. À l'avenir, vous devrez ajuster périodiquement les règles.
• La plupart des paramètres IPS sont définis pour des réseaux typiques. Dans certains cas, ils peuvent être inefficaces, il est donc nécessaire de préciser l'IP des sous-réseaux internes et les applications (ports) utilisées. Cela aidera le morceau de fer à mieux comprendre à quoi il a affaire.
• Si le système IPS est installé "hors service", il est nécessaire de contrôler ses performances, sinon la panne de l'appareil peut facilement paralyser l'ensemble du réseau.

Conclusion

Nous ne déterminerons pas les gagnants. Le choix dans chaque cas dépend du budget, de la topologie du réseau, des fonctions de protection requises, de la volonté de l'administrateur de jouer avec les paramètres et, bien sûr, des risques. Les solutions commerciales bénéficient d'un support et sont fournies avec des certificats, ce qui permet à ces solutions d'être utilisées dans les organisations impliquées dans le traitement de données personnelles.Distribué sous licence OpenSource, Snort est bien documenté, dispose d'une base de données suffisamment importante et d'un bon historique pour être demandé par les administrateurs d'utilisateurs. Un snim Suricata compatible peut bien protéger un réseau à fort trafic et, surtout, est absolument gratuit.

La détection d'intrusion est la détection logicielle ou matérielle d'attaques et d'activités malveillantes. Ils aident les réseaux et les systèmes informatiques à réagir de manière appropriée. Pour atteindre cet objectif, IDS collecte des informations à partir de nombreuses sources système ou réseau. Le système IDS l'analyse ensuite pour les attaques. Cet article tentera de répondre à la question : "IDS - qu'est-ce que c'est et à quoi ça sert ?"

A quoi servent les systèmes de détection d'intrusion (IDS) ?

Les systèmes et réseaux d'information sont constamment exposés aux cyberattaques. Les pare-feu et antivirus ne suffisent évidemment pas à repousser toutes ces attaques, puisqu'ils ne sont capables que de protéger la "porte d'entrée" des systèmes et réseaux informatiques. Divers adolescents qui s'imaginent être des hackers parcourent constamment Internet à la recherche de failles dans les systèmes de sécurité.

Grâce au World Wide Web, ils ont à leur disposition de nombreux logiciels malveillants entièrement gratuits - toutes sortes de slammers, d'œillères et de programmes malveillants similaires. Les services de crackers professionnels sont utilisés par des entreprises concurrentes pour se neutraliser. Ainsi, les systèmes qui détectent les intrusions (systèmes de détection d'intrusion) - un besoin urgent. Pas étonnant qu'ils soient de plus en plus utilisés chaque jour.

Éléments IDS

Les éléments d'un IDS comprennent :

• un sous-système détecteur dont le but est l'accumulation d'événements réseau ou système informatique ;
• un sous-système d'analyse qui détecte les cyberattaques et les activités suspectes ;
• stockage pour l'accumulation d'informations sur les événements, ainsi que les résultats de l'analyse des cyberattaques et des actions non autorisées ;
• console de gestion, avec laquelle vous pouvez définir les paramètres IDS, surveiller l'état du réseau (ou du système informatique), avoir accès aux informations sur les attaques et les actions illégales détectées par le sous-système d'analyse.

Soit dit en passant, beaucoup peuvent demander : "Comment IDS est-il traduit ?" La traduction de l'anglais ressemble à "un système qui attrape les invités non invités par temps chaud".

Les principales tâches que les systèmes de détection d'intrusion résolvent

Un système de détection d'intrusion a deux tâches principales : l'analyse et une réponse adéquate basée sur les résultats de cette analyse. Pour effectuer ces tâches, le système IDS effectue les actions suivantes :

• surveille et analyse l'activité des utilisateurs ;
• audite la configuration du système et ses faiblesses ;
• vérifie l'intégrité des fichiers système les plus importants, ainsi que des fichiers de données ;
• effectue une analyse statistique des états du système basée sur la comparaison avec les états qui se sont produits lors d'attaques déjà connues ;
• audite le système d'exploitation.

Ce qu'un système de détection d'intrusion peut et ne peut pas faire

Avec lui, vous pouvez réaliser ce qui suit :

• améliorer les paramètres d'intégrité ;
• tracer l'activité de l'utilisateur depuis le moment de son entrée dans le système et jusqu'au moment où il lui cause du tort ou effectue des actions non autorisées ;
• reconnaître et notifier la modification ou la suppression de données ;
• automatiser les tâches de surveillance Internet pour trouver les dernières attaques ;
• identifier les erreurs dans la configuration du système ;
• détecter le début de l'attaque et en informer.

Le système IDS ne peut pas faire ceci :

• combler les lacunes des protocoles réseau ;
• jouer un rôle de compensation en cas de faiblesse des mécanismes d'identification et d'authentification dans les réseaux ou systèmes informatiques qu'il surveille ;
• il convient également de noter que l'IDS ne fait pas toujours face aux problèmes liés aux attaques au niveau des paquets (niveau paquet).

IPS (système de prévention des intrusions) - suite de l'IDS

IPS signifie "System Intrusion Prevention". Ce sont des variétés étendues et plus fonctionnelles d'IDS. Les systèmes IPS IDS sont réactifs (par opposition à la normale). Cela signifie qu'ils peuvent non seulement détecter, enregistrer et signaler une attaque, mais aussi remplir des fonctions de protection. Ces fonctionnalités incluent l'abandon des connexions et le blocage des paquets de trafic entrants. Un autre avantage des IPS est qu'ils fonctionnent en ligne et peuvent bloquer automatiquement les attaques.

Sous-espèces IDS par méthode de surveillance

Les NIDS (c'est-à-dire les IDS qui surveillent l'ensemble du réseau (réseau)) analysent le trafic de l'ensemble du sous-réseau et sont gérés de manière centralisée. Avec le placement correct de plusieurs NIDS, il est possible de réaliser la surveillance d'un réseau assez important.

Ils fonctionnent en mode promiscuité (c'est-à-dire qu'ils vérifient tous les paquets entrants et ne le font pas de manière sélective), en comparant le trafic du sous-réseau avec les attaques connues de leur bibliothèque. Lorsqu'une attaque est identifiée ou qu'une activité non autorisée est détectée, une alarme est envoyée à l'administrateur. Cependant, il convient de mentionner que dans un grand réseau avec beaucoup de trafic, NIDS échoue parfois à vérifier tous les paquets d'informations. Par conséquent, il est possible que pendant "l'heure de pointe", ils ne soient pas en mesure de reconnaître l'attaque.

Les NIDS (IDS basés sur le réseau) sont des systèmes faciles à intégrer dans de nouvelles topologies de réseau, car ils n'ont pas d'effet particulier sur leur fonctionnement, étant passifs. Ils ne font que réparer, enregistrer et notifier, contrairement au type réactif de systèmes IPS évoqué ci-dessus. Cependant, il convient également de dire à propos des IDS basés sur le réseau qu'il s'agit de systèmes qui ne peuvent pas analyser les informations qui ont été cryptées. Il s'agit d'un inconvénient important, car l'adoption croissante des réseaux privés virtuels (VPN) a rendu les informations cryptées de plus en plus utilisées par les cybercriminels pour attaquer.

De plus, le NIDS ne peut pas déterminer ce qui s'est passé à la suite de l'attaque, qu'elle ait causé des dommages ou non. Tout ce qu'ils peuvent faire, c'est fixer son début. Par conséquent, l'administrateur est obligé de revérifier indépendamment chaque cas d'attaque pour s'assurer que les attaquants ont atteint leur objectif. Un autre problème important est que NIDS a des difficultés à détecter les attaques utilisant des paquets fragmentés. Ils sont particulièrement dangereux car ils peuvent perturber le fonctionnement normal des NIDS. Ce que cela pourrait signifier pour l'ensemble du réseau ou du système informatique n'a pas besoin d'être expliqué.

HIDS (système de détection d'intrusion hôte)

HIDS (IDS, surveillance de l'hôte (hôte)) ne sert qu'un ordinateur spécifique. Cela offre naturellement une efficacité beaucoup plus élevée. HIDS analyse deux types d'informations : les journaux système et les résultats d'audit du système d'exploitation. Ils prennent un instantané des fichiers système et le comparent avec un instantané antérieur. Si des fichiers critiques pour le système ont été modifiés ou supprimés, une alarme est envoyée à l'administrateur.

Un avantage significatif de HIDS est la capacité de faire son travail dans une situation où le trafic réseau peut être crypté. Cela est possible car les sources d'informations basées sur l'hôte peuvent être créées avant que les données puissent être chiffrées ou après qu'elles aient été déchiffrées sur l'hôte de destination.

Les inconvénients de ce système incluent la possibilité de son blocage ou même de son interdiction à l'aide de certains types d'attaques DoS. Le problème ici est que les capteurs et certains des outils d'analyse HIDS se trouvent sur l'hôte qui est attaqué, ce qui signifie qu'ils sont également attaqués. Le fait que HIDS utilise les ressources des hôtes qu'ils surveillent n'est pas non plus un plus, car cela réduit bien sûr leurs performances.

Sous-espèces d'IDS par méthodes de détection d'attaques

La méthode d'anomalie, la méthode d'analyse de signature et la méthode de politique - ces sous-types de méthodes de détection d'attaque ont le système IDS.

Méthode d'analyse des signatures

Dans ce cas, les paquets de données sont vérifiés pour les signatures d'attaque. Une signature d'attaque est une correspondance entre un événement et l'un des modèles décrivant une attaque connue. Cette méthode est assez efficace, car les rapports de fausses attaques sont assez rares lors de son utilisation.

Méthode d'anomalie

Avec son aide, les actions illégales sont détectées sur le réseau et sur les hôtes. Sur la base de l'historique du fonctionnement normal de l'hôte et du réseau, des profils spéciaux sont créés avec des données à ce sujet. Ensuite, des détecteurs spéciaux entrent en jeu pour analyser les événements. À l'aide de divers algorithmes, ils analysent ces événements en les comparant à la « norme » des profils. L'absence de la nécessité d'accumuler un grand nombre de signatures d'attaque est un avantage certain de cette méthode. Cependant, un nombre considérable de faux signaux sur les attaques lors d'événements atypiques, mais tout à fait légitimes sur le réseau, est son inconvénient incontestable.

Méthode politique

Une autre méthode de détection des attaques est la méthode des politiques. Son essence réside dans la création de règles de sécurité réseau, qui, par exemple, peuvent indiquer le principe d'interaction entre les réseaux et les protocoles utilisés dans celui-ci. Cette méthode est prometteuse, mais la complexité réside dans le processus plutôt difficile de création d'une base politique.

ID Systems assurera une protection fiable de vos réseaux et systèmes informatiques

Le groupe d'entreprises ID Systems est aujourd'hui l'un des leaders du marché dans le domaine de la création de systèmes de sécurité pour les réseaux informatiques. Il vous fournira une protection fiable contre les cyber-méchants. Avec les systèmes de protection d'ID Systems, vous ne pouvez plus vous soucier de vos données importantes. Grâce à cela, vous pourrez profiter davantage de la vie, car vous aurez moins de soucis dans votre âme.

Systèmes d'identification - avis d'employés

Une équipe merveilleuse, et le plus important, bien sûr, est l'attitude correcte de la direction de l'entreprise envers ses employés. Tout le monde (même les débutants débutants) a la possibilité de se développer professionnellement. Certes, pour cela, bien sûr, vous devez faire vos preuves, puis tout ira bien.

Il y a une bonne ambiance dans l'équipe. Les débutants apprendront toujours tout et tout sera montré. Il n'y a pas de concurrence malsaine. Les employés qui travaillent dans l'entreprise depuis de nombreuses années sont heureux de partager tous les détails techniques. Ils répondent gentiment, même sans une once de condescendance, aux questions les plus stupides des travailleurs inexpérimentés. En général, il n'y a que des émotions agréables à travailler chez ID Systems.

L'attitude de la direction est agréable. C'est aussi agréable qu'ici, évidemment, ils sachent travailler avec le personnel, car l'équipe est vraiment très professionnelle. L'avis des salariés est quasi unanime : ils se sentent au travail comme à la maison.

L'article traite des solutions IPS populaires dans le contexte des marchés mondial et russe. La définition de la terminologie de base, l'historique de l'émergence et du développement des solutions IPS sont donnés, et le problème général et la portée des solutions IPS sont examinés. Il fournit également un résumé des fonctionnalités des solutions IPS les plus populaires de divers fabricants.

Qu'est-ce qu'IPS ?

Tout d'abord, donnons une définition. Le système de détection d'intrusion (IDS) ou le système de prévention d'intrusion (IPS) sont des outils logiciels et matériels conçus pour détecter et/ou prévenir les intrusions. Ils sont conçus pour détecter et empêcher l'accès non autorisé, l'utilisation ou la perturbation des systèmes informatiques, principalement via Internet ou un réseau local. De telles tentatives peuvent prendre la forme d'attaques par des pirates ou des initiés, ou être le résultat de programmes malveillants.

Les systèmes IDS/IPS sont utilisés pour détecter les activités anormales sur le réseau qui peuvent compromettre la sécurité et la confidentialité des données, telles que : les tentatives d'exploitation des vulnérabilités logicielles ; tentatives de suspendre les privilèges ; accès non autorisé à des données confidentielles ; activité de logiciels malveillants, etc.

L'utilisation des systèmes IPS a plusieurs objectifs :

• Détecter les intrusions ou les attaques réseau et les prévenir ;
• Prédire d'éventuelles attaques futures et identifier les vulnérabilités pour empêcher leur développement ultérieur ;
• Effectuer la documentation des menaces existantes ;
• Assurer le contrôle de la qualité de l'administration en termes de sécurité, en particulier dans les grands réseaux complexes ;
• Obtenir des informations utiles sur les pénétrations qui ont eu lieu afin de restaurer et de corriger les facteurs qui ont causé la pénétration ;
• Déterminez l'emplacement de la source d'attaque par rapport au réseau local (attaques externes ou internes), ce qui est important lors de la prise de décisions concernant l'emplacement des ressources sur le réseau.

En général, les IPS sont similaires aux IDS. La principale différence est qu'ils fonctionnent en temps réel et peuvent automatiquement bloquer les attaques réseau. Chaque IPS comprend un module IDS.

IDS, à son tour, se compose généralement de :

• systèmes de collecte d'événements ;
• des systèmes d'analyse d'événements collectés ;
• le stockage, qui accumule les événements collectés et les résultats de leur analyse ;
• bases de données de vulnérabilités (ce paramètre est clé, car plus la base de données du fabricant est grande, plus le système est capable de détecter de menaces) ;
• console de gestion qui vous permet de configurer tous les systèmes, de surveiller l'état du réseau protégé, de visualiser les violations détectées et les actions suspectes.

Sur la base des méthodes de surveillance, les systèmes IPS peuvent être divisés en deux grands groupes : NIPS (Network Intrusion Prevention System) et HIPS (Host Intrusion Prevention System). Le premier groupe se concentre sur le niveau du réseau et le secteur des entreprises, tandis que les représentants du second traitent des informations collectées à l'intérieur d'un seul ordinateur, et peuvent donc être utilisées sur des ordinateurs personnels. Aujourd'hui, les HIPS sont souvent inclus dans les produits antivirus, par conséquent, dans le cadre de cet article, nous ne considérerons pas ces systèmes.

Parmi NIPS et HIPS, il y a aussi :

• IPS basé sur protocole, PIPS. Représente un système (ou agent) qui surveille et analyse les protocoles de communication avec les systèmes ou utilisateurs associés.
• IPS basé sur le protocole d'application, APIPS. Représente un système (ou un agent) qui surveille et analyse les données transmises à l'aide de protocoles spécifiques à l'application. Par exemple, suivre le contenu des commandes SQL.

En ce qui concerne le facteur de forme, les systèmes IPS peuvent être présentés à la fois comme une solution matérielle distincte et comme une machine virtuelle ou un logiciel.

Développement de la technologie. Problèmes d'IPS.

Les systèmes de prévention d'intrusion sont apparus à l'intersection de deux technologies : les pare-feux (firewall) et les systèmes de détection d'intrusion (IDS). Les premiers étaient capables de faire passer le trafic par eux-mêmes, mais ils n'analysaient que les en-têtes des paquets IP. Ces derniers, au contraire, "pouvaient" tout ce dont les pare-feu étaient privés, c'est-à-dire qu'ils analysaient le trafic, mais ne pouvaient en aucun cas influencer la situation, car ils étaient installés en parallèle et ne permettaient pas au trafic de passer par eux-mêmes. Tirant le meilleur de chaque technologie, les systèmes IPS ont émergé.

La formation des systèmes IPS modernes est passée par quatre directions. Pour ainsi dire, du particulier au général.

La première direction est le développement d'IDS en inline-IDS. En d'autres termes, il fallait intégrer le système IDS dans le réseau non pas en parallèle, mais en série. La solution s'est avérée simple et efficace : l'IDS a été placé entre les ressources protégées et non protégées. De cette direction, très probablement, des variantes logicielles d'IPS se sont développées.

La seconde direction de la formation des IPS n'est pas moins logique : l'évolution des firewalls. Comme vous le comprenez, il leur manquait la profondeur d'analyse du trafic qui les traversait. L'ajout de la fonctionnalité de pénétration profonde dans le corps des données et la compréhension des protocoles transmis ont permis aux pare-feu de devenir de véritables systèmes IPS. De cette direction, très probablement, le matériel IPS s'est développé.

Les antivirus sont devenus la troisième "source". De la lutte contre les "vers", les "chevaux de Troie" et autres programmes malveillants aux systèmes IPS, il s'est avéré très proche. De cette direction, très probablement, HIPS s'est développé.

Enfin, la quatrième direction était la création de systèmes IPS à partir de rien. Ici, en fait, il n'y a rien à ajouter.

Quant aux problèmes, IPS, comme toutes les autres solutions, en avait. Trois problèmes principaux ont été identifiés :

1. un grand nombre de faux positifs ;
2. automatisation de la réponse ;
3. un grand nombre de tâches managériales.

Avec le développement des systèmes, ces problèmes ont été résolus avec succès. Ainsi, par exemple, pour réduire le pourcentage de faux positifs, des systèmes de corrélation d'événements ont commencé à être utilisés, qui «fixent des priorités» pour les événements et aident le système IPS à effectuer ses tâches plus efficacement.

Tout cela a conduit à l'émergence des systèmes IPS de nouvelle génération (Next Generation IPS - NGIPS). NGIPS doit avoir les fonctionnalités minimales suivantes :

• Travailler en temps réel sans impact (ou avec un impact minimal) sur l'activité réseau de l'entreprise ;
• Agir comme une plate-forme unique qui combine tous les avantages de la génération précédente d'IPS, ainsi que de nouvelles fonctionnalités : contrôle et surveillance des applications ; utilisation d'informations provenant de sources tierces (bases de données de vulnérabilités, données de géolocalisation, etc.) ; analyse du contenu des fichiers.

Figure 1. Schéma fonctionnelétapes évolutives des systèmes IPS

Marché mondial et russe des IPS. Principaux acteurs, différences.

Parlant du marché mondial des systèmes IPS, les experts se réfèrent souvent aux rapports de Gartner, et tout d'abord au "carré magique" (Gartner Magic Quadrant for Intrusion Prevention Systems, juillet 2012). Pour 2012, la situation était la suivante :

Figure 2. Répartition des principaux acteurs du marchésystèmes IPS dans le monde. InformationsGartner, juillet 2012

Il y avait des leaders incontestés face à McAfee, Sourcefire et HP, dont le bien connu Cisco était très friand. Cependant, l'été 2013 a fait ses propres ajustements. Début mai, une vague de discussions déferle sur divers blogs et forums thématiques, suscitée par l'annonce d'un accord entre McAfee et Stonesoft. Les Américains allaient acheter le "visionnaire" finlandais, qui s'est déclaré haut et fort il y a quelques années, ouvrant un nouveau type d'attaque AET (Advanced Evasion Techniques).

Cependant, les surprises ne s'arrêtent pas là et, quelques mois plus tard, Cisco annonce avoir conclu un accord avec Sourcefire et racheté cette société pour un montant record de 2,7 milliards de dollars, pour des raisons plus que lourdes. Sourcefire est connu pour son support de deux développements open source : le moteur de détection et de prévention des intrusions Snort et l'antivirus ClamAV. Dans le même temps, la technologie Snort est devenue la norme de facto pour les systèmes d'alerte et de détection d'intrusion. En fin de compte, Cisco Systems est le principal fournisseur de solutions de sécurité réseau sur le marché russe. Il a été l'un des premiers à entrer sur le marché russe, son équipement réseau est installé dans presque toutes les organisations, il n'est donc pas rare que des solutions de sécurité réseau soient également commandées auprès de cette société.

De plus, Cisco Systems est très compétent pour promouvoir sa ligne de sécurité sur le marché russe. Et pour le moment, aucune entreprise ne peut se comparer à Cisco Systems en termes de niveau de travail avec le marché, tant en termes de marketing qu'en termes de collaboration avec des partenaires, des organisations gouvernementales, des régulateurs, etc. Il convient de noter séparément que cette société accorde une grande attention aux problèmes de certification selon les exigences russes, y consacrant beaucoup plus que les autres fabricants occidentaux, ce qui contribue également à maintenir une position de leader sur le marché russe. Tirez vos propres conclusions, comme on dit.

Et, si tout est plus ou moins clair avec le marché mondial des systèmes IPS - il y aura bientôt un "remaniement" des dirigeants - alors avec le marché russe, tout n'est pas si simple et transparent. Comme indiqué ci-dessus, le marché intérieur a ses propres spécificités. Premièrement, la certification joue un grand rôle. Deuxièmement, pour citer Mikhaïl Romanov, qui est l'un des auteurs de l'étude mondiale "Marché de la sécurité de l'information de la Fédération de Russie", puis « Les solutions IPS compétitives fabriquées en Russie sont pratiquement inexistantes. L'auteur ne connaît que trois solutions russes de ce type : "Argus", "Outpost" et "RUCHEI-M" (non positionné comme IPS). Il n'est pas possible de trouver "Argus" ou "RUCHEY-M" sur Internet et de l'acheter. La solution Forpost, produite par RNT, se positionne comme une solution certifiée entièrement basée sur le code SNORT (et les développeurs ne s'en cachent pas). Le développeur ne soumet pas sa solution à des tests, le produit n'est en aucun cas promu sur le marché, c'est-à-dire qu'il semble que RNT ne le promeut que dans ses propres projets. En conséquence, il n'est pas possible de voir l'efficacité de cette solution.

Les trois systèmes ci-dessus incluent également le complexe RUBIKON, qui est positionné par la société Echelon non seulement comme un pare-feu certifié, mais également comme un système de détection d'intrusion. Malheureusement, il n'y a pas beaucoup d'informations à ce sujet.

La dernière solution d'un fabricant russe que nous avons réussi à trouver est un système IPS (inclus dans l'appareil ALTELL NEO UTM), qui, selon eux, est une technologie Surricata ouverte "modifiée" qui utilise des bases de données de signatures à jour de sources ouvertes (base de données nationale sur les vulnérabilités et Bugtrax). Tout cela soulève plus de questions que de compréhension.

Néanmoins, sur la base des propositions des intégrateurs, nous pouvons continuer la liste des systèmes IPS proposés sur le marché russe et donner une brève description pour chacune des solutions :

Cisco IPS (certifié par FSTEC)

Dans le cadre du réseau Cisco Secure Borderless, Cisco IPS offre les fonctionnalités suivantes :

• Prévention des intrusions pour plus de 30 000 exploits connus ;
• Mises à jour automatiques des signatures à partir du site Cisco Global Correlation pour la détection dynamique et la prévention des intrusions des attaques provenant d'Internet ;
• Recherche avancée et expérience des opérations de renseignement de sécurité de Cisco ;
• Interaction avec d'autres composants du réseau pour la prévention des intrusions ;
• Prise en charge d'un large éventail d'options de déploiement en temps quasi réel.

Tout cela permet de protéger le réseau des attaques telles que :

• Attaques directes (attaques dirigées);
• Vers, virus (vers);
• Réseaux de botnets (botnets);
• Programmes malveillants (malwares) ;
• Applications infectées (abus d'application).

Sourcefire IPS, Adaptive IPS et gestion des menaces d'entreprise

Parmi les principaux avantages, citons :

• Développement de systèmes basés sur SNORT ;
• Règles flexibles ;
• Intégration avec MSSP ;
• Technologie d'écoute passive (zéro impact sur le réseau);
• Travaillez en temps réel ;
• Détection des anomalies comportementales du réseau (NBA) ;
• Personnalisation de l'événement.

McAfee Network Security Platform (anciennement IntruShield Network Intrusion Prevention System) (certifié FSTEC)

Avantages des solutions :

• Gestion intelligente de la sécurité

La solution réduit le nombre de spécialistes et le temps requis pour surveiller et enquêter sur les événements de sécurité, tout en simplifiant la gestion des déploiements complexes à grande échelle. Avec une analyse granulaire guidée, la divulgation incrémentielle fournit les bonnes informations quand et où elles sont nécessaires, tandis que le contrôle hiérarchique permet une mise à l'échelle.

• Haut niveau de protection contre les menaces

La protection contre les menaces est assurée par un moteur de signature d'analyse de vulnérabilité qui a été transformé en une plate-forme de nouvelle génération en intégrant une technologie d'analyse comportementale de pointe et une corrélation multi-événements. Les défenses à faible contact et basées sur les signatures aident à maintenir les coûts opérationnels bas et à protéger efficacement contre les menaces connues, tandis que la technologie avancée d'analyse des comportements et de correspondance des événements offre une protection contre les menaces de nouvelle génération et de type « zero-day ».

• Utilisation du système mondial anti-malware
• Infrastructure connectée de sécurité

La solution améliore le niveau de sécurité du réseau, contribue à l'optimisation du système de sécurité du réseau, augmentant son efficacité économique. En outre, la solution vous permet d'aligner la sécurité du réseau sur les programmes commerciaux pour atteindre des objectifs stratégiques.

• Rapidité et évolutivité
• Collecte d'informations et contrôle. Obtenir des informations sur les actions des utilisateurs et des appareils, qui sont directement intégrées dans le processus de contrôle et d'analyse

Stonesoft StoneGate IPS (certifié FSTEC)

StoneGate IPS est basé sur une fonctionnalité de détection et de prévention des intrusions qui utilise diverses méthodes de détection des intrusions : analyse de signature, technologie de décodage de protocole pour détecter les intrusions sans signature, analyse des anomalies de protocole, analyse du comportement d'hôtes spécifiques, détection de tout type d'analyse du réseau , signatures applicatives adaptatives (profilage virtuel).

Une caractéristique de Stonesoft IPS est la présence d'un système intégré d'analyse des événements de sécurité, qui réduit considérablement le trafic transmis de l'IPS au système de contrôle et le nombre de faux positifs. L'analyse initiale des événements est réalisée par le capteur Stonesoft IPS, puis les informations de plusieurs capteurs sont transmises à l'analyseur qui corrèle les événements. Ainsi, plusieurs événements peuvent indiquer une attaque répartie dans le temps ou un ver de réseau - lorsque la décision sur l'activité malveillante est prise sur la base de plusieurs événements de la "vue d'ensemble", et non sur chaque cas individuel.

Principales caractéristiques de StoneGate IPS :

• détection et prévention des tentatives d'UA en temps réel dans un mode transparent pour les utilisateurs du réseau ;
• l'utilisation de la technologie propriétaire AET (Advanced Evasion Techniques) - technologie de protection contre les techniques de contournement dynamique ;
• une longue liste de signatures d'attaque (par contenu, contexte des paquets réseau et autres paramètres) ;
• la capacité à gérer le trafic réseau fragmenté ;
• la possibilité de contrôler plusieurs réseaux avec des vitesses différentes ;
• décodage de protocole pour identifier avec précision des attaques spécifiques, y compris celles à l'intérieur des connexions SSL ;
• la possibilité de mettre à jour la base de données des signatures d'attaques à partir de diverses sources (il est possible d'importer des signatures à partir de bases de données Open Source) ;
• bloquer ou mettre fin aux connexions réseau indésirables ;
• analyse des "historiques" des événements de sécurité ;
• analyse des protocoles de conformité aux RFC ;
• analyseur d'événements intégré qui vous permet de réduire efficacement le flux de faux positifs ;
• création de propres signatures d'attaques, de modèles d'analyse d'attaques, d'anomalies, etc. ;
• fonctionnalité supplémentaire du pare-feu transparent Transparent Access Control, qui permet dans certains cas de refuser l'utilisation du pare-feu sans aucune diminution de l'efficacité de la protection ;
• analyse des tunnels GRE, toute combinaison d'encapsulation IP v6, IPv4 ;
• gestion et surveillance centralisées, système de reporting facile à utiliser et en même temps flexible.

Détecteur d'attaque APKSH "Continent" (Security Code) (certifié par FSTEC et FSB)

Le détecteur d'attaque "Continent" est conçu pour la détection automatique des attaques réseau par analyse dynamique du trafic de la pile de protocoles TCP/IP. Le détecteur d'attaque « Continent » implémente les fonctions d'un système de détection d'intrusion (IDS) et assure le parsing et l'analyse du trafic afin de détecter les attaques informatiques visant les ressources et services d'information.

Les principales caractéristiques du détecteur d'attaque "Continent":

• Gestion centralisée et contrôle du fonctionnement à l'aide du centre de contrôle du système "Continent".
• Une combinaison de méthodes de détection d'attaques par signature et heuristiques.
• Réponse rapide aux intrusions détectées.
• Notification de la CCN sur son activité et sur les événements nécessitant une intervention rapide en temps réel.
• Identification et enregistrement des informations sur les attaques.
• Analyse des informations collectées.

Système de prévention des intrusions réseau IBM Proventia (certifié FSTEC)

Le système de prévention des attaques Proventia Network IPS est conçu pour bloquer les attaques réseau et auditer les performances du réseau. Grâce à une technologie d'analyse de protocole brevetée, IBM Internet Security Systems fournit une protection proactive - une protection rapide d'un réseau d'entreprise contre un large éventail de menaces. La protection proactive est basée sur une surveillance des menaces 24 heures sur 24 et 7 jours sur 7 au centre de sécurité GTOC (gtoc.iss.net) et sur des recherches internes et des recherches de vulnérabilités par les analystes et les développeurs du groupe X-Force.

Principales caractéristiques de Proventia Network IPS :

• Analyse 218 protocoles différents, y compris les protocoles de la couche application et les formats de données ;
• Plus de 3000 algorithmes sont utilisés dans l'analyse du trafic pour se protéger contre les vulnérabilités ;
• Technologie Virtual Patch - protection des ordinateurs jusqu'à l'installation des mises à jour ;
• Mode de surveillance passif et deux modes d'installation par canal ;
• Prise en charge de plusieurs zones de sécurité par un seul appareil, y compris les zones VLAN ;
• La présence de modules de dérivation intégrés et externes pour un transfert de données continu via l'appareil en cas d'erreur système ou de panne de courant ;
• De nombreuses façons de répondre aux événements, y compris la journalisation des paquets d'attaque ;
• Contrôle des fuites d'informations dans les données et dans les documents de bureau transmis via les réseaux peer-to-peer, les services de messagerie instantanée, le courrier Web et d'autres protocoles ;
• Paramètre de politique détaillé ;
• Enregistrement du trafic d'attaque ;
• Prise en charge des signatures personnalisées ;
• La possibilité de bloquer les nouvelles menaces sur la base des recommandations des experts X-Force.

Check Point IPS (pare-feu et certifié UTM)

La lame logicielle Check Point IPS offre des capacités exceptionnelles de prévention des intrusions à des vitesses de plusieurs gigabits. Pour atteindre un haut niveau de protection du réseau, le moteur de détection de menaces IPS multicouche utilise de nombreuses méthodes de détection et d'analyse différentes, notamment : l'utilisation de signatures de vulnérabilités et de tentatives d'utilisation, la détection d'anomalies, l'analyse de protocole. Le moteur IPS est capable de filtrer rapidement le trafic entrant sans avoir besoin d'une analyse approfondie du trafic, garantissant que seuls les segments de trafic pertinents sont analysés pour détecter les attaques, ce qui réduit les coûts et améliore la précision.

La solution IPS utilise les outils de gestion dynamique de haut niveau de Check Point pour afficher graphiquement uniquement les informations pertinentes, isoler facilement et commodément les données nécessitant une action supplémentaire de la part de l'administrateur et se conformer aux exigences réglementaires et aux normes de reporting. De plus, les solutions Check Point IPS, à la fois la lame logicielle IPS et l'appliance matérielle Check Point IPS-1, sont gérées via une seule console de gestion SmartDashboard IPS, offrant une gestion unifiée des outils IPS.

Avantages clés:

• Protections IPS complètes – Fonctionnalité IPS complète intégrée à votre pare-feu ;
• Performances à la pointe de l'industrie - Performances IPS et pare-feu multi-gigabits ;
• Gestion dynamique - Ensemble complet d'outils de gestion, y compris des vues en temps réel des événements de sécurité et un processus de protection automatisé ;
• Protection entre les versions de patch - Augmentez le niveau de protection en cas de publication de patch retardée.

Trend Micro Threat Management System (basé sur Smart Protection Network)

Trend Micro Threat Management System est une solution d'intelligence et de contrôle du réseau qui offre des fonctionnalités uniques dans le domaine de la détection furtive des intrusions, ainsi que de la correction automatisée des menaces. Basée sur Trend Micro Smart Protection Network (un ensemble de modules de détection et d'analyse des menaces) et sur les informations à jour fournies par les chercheurs sur les menaces de Trend Micro, cette solution robuste offre les fonctionnalités de prévention des menaces les plus efficaces et les plus récentes.

Principaux avantages:

• Réponse plus rapide à une éventuelle perte de données grâce à la détection précoce de logiciels malveillants nouveaux et connus ;
• Réduisez les coûts de confinement des menaces et de correction des dommages et les temps d'arrêt grâce à une approche personnalisée de la correction automatisée des nouvelles menaces de sécurité ;
• Planifiez et gérez de manière proactive votre infrastructure de sécurité avec une connaissance accumulée des faiblesses du réseau et des causes profondes des menaces ;
• Économisez de la bande passante et des ressources réseau en identifiant les applications et les services qui perturbent le réseau ;
• Gestion simplifiée des menaces et des informations sur les failles de sécurité via un portail de gestion centralisé pratique ;
• Fonctionnement non intrusif des services existants grâce à un système de déploiement flexible hors bande passante.

Palo Alto Networks IPS

Palo Alto Networks™ est le leader du marché de la sécurité réseau et le créateur de pare-feu de nouvelle génération. La visualisation et le contrôle complets de toutes les applications et contenus sur le réseau par utilisateur, et non par adresse IP ou port à des vitesses allant jusqu'à 20 Gbps sans perte de performances, constituent le principal avantage des solutions concurrentes.

Basés sur la technologie brevetée App-ID™, les pare-feu de Palo Alto Networks identifient et contrôlent avec précision les applications, quels que soient le port, le protocole, le comportement ou le cryptage, et analysent le contenu pour prévenir les menaces et les fuites de données.

L'idée principale des pare-feu de nouvelle génération, par rapport aux approches traditionnelles, y compris les solutions UTM, est de simplifier l'infrastructure de sécurité du réseau, d'éliminer le besoin de divers dispositifs de sécurité autonomes et également d'accélérer le trafic grâce à une analyse en un seul passage. La plate-forme Palo Alto Networks répond à un large éventail d'exigences de sécurité réseau pour différents types de clients, du centre de données au périmètre de l'entreprise avec des limites logiques conditionnelles, y compris les succursales et les appareils mobiles.

Les pare-feu de nouvelle génération de Palo Alto Networks vous permettent d'identifier et de contrôler les applications, les utilisateurs et le contenu, et pas seulement les ports, les adresses IP et les paquets, à l'aide de trois technologies d'identification uniques : App-ID, User-ID et Content-ID. Ces technologies d'identité vous permettent de créer des politiques de sécurité qui autorisent les applications spécifiques dont votre entreprise a besoin, au lieu de suivre le concept commun du tout ou rien proposé par les pare-feu traditionnels bloquant les ports.

Système de prévention des intrusions HP TippingPoint

TippingPoint est le système de prévention des intrusions (IPS) leader du secteur, inégalé en termes de sécurité, de performances, de disponibilité et de facilité d'utilisation. Seul système IPS à avoir reçu la certification Gold Award et Common Criteria du NSS Group, TippingPoint est de facto la référence en matière de prévention des intrusions en réseau.

La technologie sous-jacente des produits TippingPoint est le moteur de suppression des menaces (TSE), qui est basé sur des circuits intégrés spécifiques à l'application (ASIC). Combinant des ASIC personnalisés, un fond de panier de 20 Gbit/s et des processeurs réseau hautes performances, le moteur TSE fournit une analyse complète du flux de paquets des couches 2 à 7 ; dans le même temps, le retard du flux à travers le système IPS est inférieur à 150 µs, quel que soit le nombre de filtres appliqués. De cette façon, le trafic intranet et Internet est nettoyé en permanence et les menaces telles que les vers, virus, chevaux de Troie, menaces mixtes, phishing, menaces via VoIP, attaques DoS et DDoS, contournement de sécurité, « vers entrants » (Walk-in -Worms) , utilisation illégale de la bande passante avant que le vrai mal ne soit fait. De plus, l'architecture TSE catégorise le trafic pour donner la plus haute priorité aux applications critiques.

TippingPoint fournit également une protection continue contre les menaces résultant de vulnérabilités récemment découvertes. Tout en analysant ces vulnérabilités pour SANS, TippingPoint, qui sont les principaux auteurs de la newsletter , qui publie les informations les plus récentes sur les vulnérabilités de sécurité réseau nouvelles et existantes, développe simultanément des filtres de protection contre les attaques qui ciblent ces vulnérabilités et les incluent dans le la prochaine version de Digital Vaccine ("vaccin numérique"). Les vaccins sont créés pour neutraliser non seulement des attaques spécifiques, mais également leurs éventuelles variations, ce qui offre une protection contre des menaces telles que Zero-Day.

Le "vaccin numérique" est livré aux clients sur une base hebdomadaire, et en cas de détection de vulnérabilités critiques - immédiatement. Il peut être installé automatiquement sans intervention de l'utilisateur, ce qui simplifie la procédure pour les utilisateurs de mettre à jour le système de sécurité.

À ce jour, le produit phare de l'entreprise est le système de prévention des intrusions de nouvelle génération HP TippingPoin, qui vous permet de contrôler plus efficacement tous les niveaux de l'activité réseau de l'entreprise grâce à :

• Bases de données DV d'applications propres et DV de réputation
• Prendre des décisions basées sur une variété de facteurs combinés par le système de gestion de la sécurité HP TippingPoin ;
• Intégration facile avec d'autres services HP DVLabs

conclusion

Le marché des systèmes IPS ne peut pas être qualifié de calme. 2013 a apporté deux accords importants qui pourraient apporter de sérieux ajustements, à la fois en Russie et dans le monde. On parle de la confrontation de deux « tandems » : Cisco + Sourcefire contre McAfee + Stonesoft. D'une part, Cisco conserve une première place stable sur le marché en termes de nombre de solutions certifiées, et l'acquisition d'une entreprise aussi connue que Sourcefire ne devrait que renforcer la première place bien méritée. Dans le même temps, le rachat de Stonesoft ouvre en effet d'excellentes opportunités à McAfee pour étendre le marché russe, depuis. C'est Stonesoft qui a été la première entreprise étrangère à avoir réussi à obtenir un certificat FSB pour ses solutions (ce certificat offre bien plus d'opportunités que le certificat FSTEC).

Malheureusement, les fabricants nationaux n'encouragent pas encore les affaires, préférant développer l'activité dans le domaine des commandes de l'État. Cet état de fait est peu susceptible d'avoir un impact positif sur le développement de ces solutions, car on sait depuis longtemps que sans concurrence, le produit se développe beaucoup moins efficacement et, in fine, se dégrade.

sur le site Web de l'ESG Bureau et dans le magazine CAD and Graphics. I. Fertman - Président du Conseil d'Administration du Bureau ESG,
A.Tuchkov - Directeur technique du Bureau ESG, Ph.D.,
A. Ryndin - Directeur Commercial Adjoint du Bureau ESG.

Dans leurs articles, les employés du Bureau ESG ont abordé à plusieurs reprises le sujet du support d'information pour les différentes étapes du cycle de vie du produit. Le temps fait ses propres ajustements, provoqués par le développement constant des technologies de l'information et la nécessité de moderniser les solutions mises en œuvre. D'autre part, il existe désormais une nette tendance à l'utilisation d'outils logiciels qui répondent aux exigences du cadre réglementaire national et des processus de production adoptés dans notre pays. Ce sont ces réalités, ainsi que l'expérience accumulée dans l'automatisation des activités des entreprises de design qui nous ont incités à écrire cet article.

L'état actuel de l'automatisation des activités de conception, de production et de support d'information pour les étapes ultérieures du cycle de vie des produits

ESG Bureau possède une vaste expérience dans la mise en œuvre de systèmes d'archivage électronique, PDM, PLM, systèmes de gestion de données d'ingénierie dans diverses industries : construction navale (OJSC Baltiysky Zavod - Rosoboronexport, OJSC Sevmash, CJSC Central Research Institute of Ship Engineering), ingénierie mécanique (JSC St. Petersburg Krasny Oktyabr), la construction industrielle et civile (PF Soyuzproektverf, JSC Giprospetsgaz), l'industrie nucléaire (JSC Atomproekt, JSC Roszheldorproject) et de nombreuses autres entreprises et organisations, dont la liste n'est pas incluse dans les buts et objectifs de l'article.

Nous soulignons que les implémentations ont été réalisées sur la base de l'utilisation de différents systèmes logiciels : TDMS, Search, SmartPlant Fondation, Autodesk Vault et autres, y compris notre propre développement. L'utilisation d'un environnement logiciel particulier est déterminée par l'industrie, les défis et d'autres facteurs. C'est la vaste expérience acquise par le Bureau ESG dans les domaines ci-dessus qui nous permet de brosser un tableau général de la mise en œuvre des systèmes d'archivage électronique, des systèmes de gestion de documents PDM et PLM dans les entreprises russes.

La conception moderne, les activités de production, le support à l'exploitation, la modernisation et l'élimination des produits ne peuvent être imaginés sans l'utilisation de différents types de systèmes automatisés : CAD (CAD), CAM, PDM, systèmes de préparation technologique de la production, systèmes PLM. L'image générale est illustrée à la Fig. une.

Riz. 1. L'image globale de l'automatisation

En règle générale, tous les outils d'automatisation répertoriés et non répertoriés ne sont présents que dans une certaine mesure, le plus souvent aux premières étapes du cycle de vie des produits - activités de conception et production. Aux étapes ultérieures du cycle de vie, le degré de support de l'information pour les processus est parfois extrêmement faible. Donnons seulement quelques exemples typiques des étapes les plus automatisées du cycle de vie, illustrant la situation réelle.

Les déclarations sur « l'introduction des technologies PDM ou PLM » dans la pratique s'avèrent souvent n'être que l'introduction d'un système électronique d'archivage et de gestion de documents pour CD et TD, TDM, et rien de plus. Les raisons:

• "jeu de mots" se produit lorsqu'un système PDM coûteux est utilisé pour créer la fonctionnalité d'une archive électronique et d'un flux de travail de CD et TD (ce qui est souvent interprété comme "l'introduction de la technologie PDM", bien qu'il n'y ait pas une telle chose, il y a uniquement l'introduction d'une archive électronique et / ou TDM à l'aide de logiciels - PDM -systèmes);
• substitution de concepts - lorsque l'abréviation "PDM" ou "PLM" est présente dans le nom du logiciel, mais que le système ne l'est pas par la nature des tâches à résoudre et, encore une fois, au mieux il résout deux problèmes, mais plus souvent l'un des deux:
• gérer le travail des concepteurs au niveau des documents, et parfois des modèles 3D,
• gestion d'archives électroniques de CD et TD.

Prenons un exemple : l'expérience du Bureau ESG, qui comprend des travaux sur la création d'une maquette d'un modèle d'information d'un navire de guerre, a montré qu'au stade du cycle de vie de l'opération, le plus important, hélas, n'est pas la informations du concepteur et du constructeur, mais documentation opérationnelle, manuels techniques électroniques interactifs (IETM). Le soutien logistique est extrêmement nécessaire au stade du cycle de vie de l'exploitation, ce qui permet de réapprovisionner les pièces de rechange dans les plus brefs délais. Très souvent, aucun système positionné par le constructeur comme PLM ne résout « par défaut » les tâches d'exploitation, même si, nous ne le nierons pas, un tel système peut être utilisé avec des modifications appropriées, par exemple, pour résoudre des problèmes logistiques. Notez qu'en termes d'efficacité et d'intensité de travail consacrée à la révision, cette approche équivaut à utiliser un système comptable ou ERP pour gérer les activités de conception ou un éditeur de texte pour développer des dessins de conception.

En essayant d'être objectifs dans nos évaluations, nous n'exagérons pas davantage, mais notons simplement :

• l'automatisation moderne des activités de conception, de production, de prise en charge des étapes ultérieures du cycle de vie des produits ne comprend souvent que des éléments de PDM et de PLM ;
• souvent l'introduction de PDM et PLM n'est rien de plus que la création d'une archive électronique et d'un workflow de CD et TD ;
• il est prématuré de parler de la mise en œuvre complète de la technologie PLM pour toutes les étapes du cycle de vie du produit.

Raisons de passer à une nouvelle plateforme

Malgré les conclusions de la section précédente de l'article, nous notons que très souvent dans une entreprise où une archive électronique, un workflow de conception, un système automatisé de préparation technologique de la production, des éléments PDM / PLM sont mis en œuvre, le travail sans les outils mis en œuvre n'est pas plus longtemps possible. C'est le principal indicateur de mise en œuvre. Dans le travail de notre société, il y a eu un cas où, en raison de pannes survenues dans le réseau local du client sans que nous en soyons responsables, le serveur des archives électroniques d'une entreprise de construction de machines est devenu indisponible. Le temps entre le premier échec et le premier appel de l'entreprise à notre bureau pour les spécialistes du support technique était de moins d'une minute. Dans le même temps, toutes les déclarations émotionnelles étaient unies par une chose - "sans accès à la base de données, l'entreprise ne peut pas fonctionner". À notre avis, il s'agit de l'indicateur pratique le plus significatif qui a dépassé tous les calculs théoriques.

Les raisons de la transition vers de nouvelles technologies et plates-formes, ainsi que l'expansion des fonctionnalités mises en œuvre peuvent être attribuées à plusieurs groupes.

Développement de technologies et d'outils de conception

L'émergence des outils de conception en trois dimensions et le cadre législatif qui détermine le travail avec des modèles électroniques.

Comme déjà mentionné, dans la plupart des cas "d'introduction de PDM et PLM", nous parlons de TDM, d'archives électroniques et de flux de travail de CD et TD. De telles solutions (quel que soit l'environnement dans lequel elles ont été construites) fonctionnent en règle générale avec des CD et TD bidimensionnels. Historiquement, dans la plupart des entreprises où de telles implémentations ont été mises en œuvre, les principes et les approches de travail avec la conception bidimensionnelle et la documentation technologique ont souvent "migré" vers de nouveaux systèmes avec quelques "mises à niveau" pour les documents électroniques bidimensionnels. Par exemple, selon GOST 2.501-2006, les modifications apportées aux documents électroniques sont apportées à la nouvelle version. GOST 2.503-90, qui décrit les modifications «sur papier», vous permet d'apporter des modifications directement au dessin (en barrant, en effaçant (délavage), en peignant en blanc, en saisissant de nouvelles données) ou en créant de nouveaux documents, leurs feuilles remplaçant les originaux, en fait, créant des versions. L'exemple montre que les "modernisations" ne sont pas si importantes et que la procédure de travail avec un document électronique en deux dimensions répète pratiquement le travail "avec du papier".

Et les moyens d'archivage électronique et de gestion des documents de CD et TD, qui ont été mis en œuvre avec succès à leur époque, ne prennent très souvent tout simplement pas en charge les approches de travail avec un modèle 3D, et le système d'information précédemment mis en œuvre est généralement obsolète et ne contient pas de mécanismes d'intégration modernes permettant une révision efficace.

Intégration et optimisation des processus de production

Le facteur suivant est l'intégration et l'optimisation des processus de production. Très souvent, nos clients ont une volonté légitime d'automatiser au maximum toute la chaîne de production. Par exemple, il est tout à fait logique que pour écrire des processus techniques, il soit utile qu'un technologue ait accès aux résultats du travail du concepteur. Sans aucun doute, j'aimerais avoir une sorte d'environnement intégré unifié, et peu importe comment un tel environnement est construit - dans le cadre d'un ou plusieurs systèmes. L'essentiel est le transfert de données de bout en bout entre les participants aux processus de production, l'utilisation et la prise en charge d'informations à jour.

Création d'environnements intégrés géographiquement dispersés

Très souvent, les systèmes précédemment mis en œuvre ne contiennent pas les fonctionnalités nécessaires et les outils intégrés pour son expansion ne vous permettent pas d'atteindre le résultat souhaité - étendez les fonctionnalités ou organisez l'interaction d'intégration nécessaire avec d'autres systèmes. Souvent, les bureaux d'études et les installations de production sont dispersés géographiquement. Parfois, les outils existants ne répondent pas aux idées modernes sur l'automatisation efficace. Par exemple, les fichiers d'échange (transport arrays) sont utilisés pour échanger des informations entre systèmes dans la construction navale. Souvent, seule la technologie COM est un moyen d'organiser l'interaction d'intégration. Dans le même temps, les systèmes modernes permettent d'organiser efficacement des bases de données réparties géographiquement, de travailler avec des données d'ingénierie et de les échanger entre bureaux d'études distants, bureaux d'études et production.

Des raisons économiques

Sans aucun doute, dans toutes les conditions, la composante économique de la transition vers l'utilisation de nouvelles plateformes n'est pas nouvelle, mais elle comporte aujourd'hui deux composantes principales :

• les investissements dans une nouvelle plate-forme devraient apporter des avantages économiques ;
• les clients expriment le désir de réduire les investissements et de ne pas dépendre des fabricants étrangers dans un certain nombre d'industries.

Système IPS

Pour un certain nombre de raisons, nous ne nous attarderons pas sur les outils d'automatisation occidentaux bien connus. Dans cette section, nous essaierons de lister les solutions : systèmes d'archivage de conception électronique, systèmes de gestion de documents, PDM, PLM, vraiment adaptés aux processus nationaux, le cadre réglementaire actuel de la Fédération de Russie pour les bureaux d'études et la production, d'une part, et en tenant compte de l'état actuel et de la disponibilité des systèmes d'automatisation de la conception, des SGBD, des équipements réseau et de l'interopérabilité, d'autre part. Avec la réserve ci-dessus, le choix, hélas, n'est pas si grand - peut-être que quelqu'un discutera avec raison (ce dont nous sommes reconnaissants à l'avance), mais seules trois solutions sont visibles sur le marché intérieur :

• Système IPS fabriqué par Intermech ;
• LOTSMAN :Système PLM fabriqué par Ascon ;
• Système T-Flex fabriqué par Top Systems.

L'objet de l'article n'est en aucun cas une comparaison formalisée de ces trois systèmes selon le principe de "présence ou absence" d'une fonction particulière. Notre expérience montre que dans la plupart des cas, cette approche est très subjective et incorrecte. A cet égard, nous nous limiterons aujourd'hui à décrire un seul système IPS.

Fonctionnalité générale

Le système est une solution modulaire qui automatise les tâches de conception et de production - travail de groupe des concepteurs, flux de travail de conception, mise en œuvre d'un système d'archivage électronique, préparation technologique de la production, organisation de l'interaction d'intégration avec d'autres systèmes de l'entreprise.

La structure générale du système IPS est illustrée à la fig. 2.

Riz. 2. Structure générale de l'IPS

Hétérogénéité de l'environnement IPS

Ce n'est un secret pour personne que la grande majorité de ces outils sont développés par des fabricants de systèmes de CAO. Dans le même temps, chaque fabricant a d'abord résolu le problème marketing consistant à inciter les clients à travailler avec un ensemble de produits logiciels «propres». Soit dit en passant, un tel concept est inhérent aux solutions logicielles non seulement dans le domaine de l'automatisation des activités de conception et de production, et pas seulement dans notre pays, mais exprime une tendance mondiale. Il y a quelque temps, cette approche a changé et aujourd'hui, en règle générale, tout fabricant de systèmes PDM / PLM répondra par l'affirmative à la question de la disponibilité d'une interaction logicielle avec des systèmes de CAO «non natifs» pour lui.

Il convient de noter que le système IPS n'est pas créé à l'origine à partir d'un système de CAO "natif". Le concept IPS peut être caractérisé par le jargon "omnivore", qui caractérise le plus précisément sa relation avec les outils de conception utilisés dans KB. Dans le même temps, la mise en œuvre d'IPS reflète la tendance actuelle à avoir de nombreux systèmes de CAO dans les entreprises. Dans le même temps, nous notons que parfois une telle "abondance d'outils de conception" n'est dans certains cas qu'un "écho de l'ère de l'automatisation spontanée", et dans certains cas, elle est le résultat d'une politique économiquement saine, due, en tour, à la complexité et à la gamme de produits en cours de conception. IPS fonctionne aussi bien avec les systèmes de CAO suivants :

• AutoCAD ;
• Inventeur Autodesk ;
• BricsCAD ;
• catia;
• Pro/ENGINEER/PTC Creo paramétrique ;
• Bord solide;
• œuvres solides;
• KOMPAS-3D ;
• KOMPAS-Graph.

Et en plus - avec des systèmes de conception de cartes de circuits imprimés de produits électroniques (ECAD): Mentor Graphics et Altium Designer.

Options de personnalisation des fonctionnalités

La plate-forme IPS vous permet de personnaliser de manière flexible la fonctionnalité. Les outils intégrés peuvent être utilisés pour les réglages (sans programmation). Pour implémenter la même fonctionnalité unique, des environnements de programmation externes peuvent être utilisés pour écrire des programmes de plug-in.

Un aspect important de l'automatisation de la conception, des activités de production, de l'introduction d'archives électroniques, des technologies PDM / PLM dans une entreprise moderne est qu'il ne faut en aucun cas commencer «à partir de zéro». De plus, en règle générale, le stockage des informations sous forme électronique (archives électroniques) est déjà organisé dans une certaine mesure, et la mise en œuvre réussie du flux de travail de conception, des éléments PDM et PLM n'est pas rare. Dans les cas plus "avancés", il y a un seul espace d'information, l'interaction intersystème est organisée. Dans le même temps, d'une part, les outils mis en œuvre et exploités avec succès nécessitent une modernisation associée à la transition vers de nouvelles technologies (par exemple, lors de l'introduction de systèmes de CAO en trois dimensions). D'autre part, les bases de données précédemment accumulées, les approches techniques et organisationnelles doivent et peuvent être appliquées lors de l'introduction de nouvelles technologies. Par exemple, la base de données de documentation "bidimensionnelle" pour les produits fabriqués précédemment ne perd pas du tout sa pertinence lors du passage à l'utilisation de systèmes de CAO 3D (les produits sont exploités, modernisés, fabriqués à nouveau, quelle que soit leur conception - "dans l'avion" ou "sur papier" ).

Organisation du travail géographiquement distribué

Ajoutons que le système IPS permet de mettre en œuvre des solutions dispersées géographiquement aussi bien dans le cadre d'une étape du cycle de vie d'un produit, par exemple lors de la conception d'un ou plusieurs bureaux d'études, qu'au sein de différentes étapes. Dans le même temps, il est possible, par exemple, de concevoir un produit avec un ou plusieurs bureaux d'études et l'accès à distance des technologues d'une ou plusieurs productions à distance aux résultats du travail des concepteurs, l'automatisation de la préparation technologique de la production à l'aide du modules IPS appropriés. Le mécanisme de publication de documents et de modèles permet à une entreprise éloignée du bureau d'études de faire des annotations et d'initier des modifications tout en travaillant dans un environnement unique géographiquement distribué.

La structure générale de l'organisation du travail distribué d'IPS est illustrée à la fig. 3.

Riz. 3. Organisation des travaux géographiquement répartis de l'IPS

Un exemple de la transition de KB vers l'utilisation d'IPS

Prenons un exemple réel d'une traduction à partir d'un système d'archivage électronique précédemment mis en œuvre, un flux de travail avec des éléments PDM et PLM dans l'un des grands bureaux d'études. Les principales raisons du travail:

• transition des bureaux d'études vers la conception tridimensionnelle;
• le manque de support technique pour travailler avec des systèmes de CAO 3D dans le système existant d'archives électroniques et de gestion de documents sur CD avec des éléments PDM et PLM ;
• architecture obsolète du système existant et impossibilité de sa mise à l'échelle ultérieure ;
• exigences d'interaction territorialement séparée des bureaux d'études avec d'autres bureaux d'études et de production.

Résultats des travaux :

• étude des problèmes de migration des données du système existant vers l'IPS ;
• élaboration des problématiques de migration de processus du système existant vers IPS ;
• solution logicielle - un sous-système d'interaction d'interface entre le système existant et l'IPS pour assurer l'interaction d'intégration des systèmes, permettant une "transition en douceur" ;
• la composante organisationnelle de la transition vers l'utilisation du nouveau système est formulée en tenant compte de l'optimisation des coûts de temps et de ressources.

La première étape - le développement de la technologie et des solutions logicielles et matérielles - a été réalisée sur un produit "pilote" préalablement conçu.

À l'heure actuelle, selon le calendrier de travail, les spécialistes de notre société effectuent la prochaine étape des travaux, sur la base des résultats obtenus précédemment: prise en charge de la conception de deux produits réels de systèmes 3D-CAD et du système IPS.

Conclusion

• Souvent les étapes d'automatisation des bureaux d'études et des entreprises, positionnées comme de véritables implémentations des technologies PDM/PLM, sont la création d'archives électroniques, de systèmes de gestion documentaire pour CD et TD, TDM (plus souvent pour les documents bidimensionnels). Dans la plupart des cas, on ne peut parler que de l'implémentation réelle des éléments PDM et PLM ;
• avec le passage à la conception tridimensionnelle, les systèmes d'archivage électronique et de gestion de documents précédemment mis en œuvre pour CD et TD, les éléments PDM et PLM mis en œuvre ne répondent pas toujours aux nouvelles exigences ;
• transférer des systèmes d'archives électroniques et de gestion de documents pour les CD et les éléments TD, PDM et PLM vers de nouvelles plates-formes n'est pas une tâche facile, mais tout à fait résoluble qui nécessite une approche systématique développée par le Bureau ESG, qui n'est que partiellement couverte dans l'article.

Bibliographie

1. Turetsky O., Tuchkov A., Chikovskaya I., Ryndin A. Un nouveau développement d'InterCAD - un système de stockage de documents et de modèles 3D / / REM. 2014. N° 1.
2. Tuchkov A., Ryndin A. Sur les moyens de créer des systèmes de gestion de données d'ingénierie// REM. 2014. N° 1.
3. Kazantseva I., Ryndin A., Reznik B. Information et soutien réglementaire du cycle de vie complet du navire. Expérience du Bureau ESG// Korabel.ru. 2013. N° 3 (21).
4. Tuchkov A., Ryndin A. Concevoir des systèmes de gestion de données dans le domaine de la construction industrielle et civile : notre expérience et notre compréhension // CAO et graphisme. 2013. N° 2.
5. Galkina O., Korago N., Tuchkov A., Ryndin A. Système d'archivage électronique D'AR - la première étape vers la construction d'un système de gestion des données de conception // CAO et graphiques. 2013. N° 9.
6. Ryndin A., Turetsky O., Tuchkov A., Chikovskaya I. Création d'un référentiel de modèles et de documents 3D lors de l'utilisation de CAO// CAO et de graphiques en trois dimensions. 2013. N° 10.
7. Ryndin A., Galkina O., Blagodyr A., ​​​​Korago N. L'automatisation des flux documentaires est une étape importante vers la création d'un espace d'information d'entreprise unique // REM. 2012. N° 4.
8. Petrov V. Expérience dans la création d'un espace d'information unique à Saint-Pétersbourg JSC "Krasny Oktyabr" // CAO et graphisme. 2012. N° 11.
9. Malashkin Yu., Shatskikh T., Yukhov A., Galkina O., Karago N., Ryndin A., Fertman I. Expérience dans le développement d'un système de gestion électronique de documents dans OAO Giprospetsgaz // CAD et graphiques. 2011. N° 12.
10. Sanev V., Suslov D., Smirnov S. L'utilisation des technologies de l'information dans le CJSC "Institut central de recherche en ingénierie navale / / CADmaster. 2010. N° 3.
11. Vorobyov A., Danilova L., Ignatov B., Ryndin A., Tuchkov A., Utkin A., Fertman I., Shcheglov D. Scénario et mécanismes de création d'un espace d'information unique // CADmaster. 2010. N° 5.
12. Danilova L., Shcheglov D. Méthodologie pour la création d'un espace d'information unifié de l'industrie des fusées et de l'espace// REM. 2010. N° 6.
13. Galkina O.M., Ryndin A.A., Ryabenky L.M., Tuchkov A.A., Fertman I.B. Modèle d'information électronique des produits de la construction navale à différentes étapes du cycle de vie// CADmaster. 2007. N° 37a.
14. Ryndin A.A., Ryabenky L.M., Tuchkov A.A., Fertman I.B. Technologies pour assurer le cycle de vie des produits // Computer-INFORM. 2005. N° 11.
15. Ryndin A.A., Ryabenky L.M., Tuchkov A.A., Fertman I.B. Étapes de mise en œuvre des technologies FDI// Construction navale. 2005. N° 4.