Традиционная конструкция сенсорного дисплея представляет собой слоистую структуру, одна часть из которой, по мнению разработчиков, является лишней, а именно заполненное тонкой прослойкой воздуха пространство между слоями. Удалив его, инженеры таким образом сделали два слоя одним целым, благодаря чему экран стал тоньше. В свою очередь, в OGS представлено два конструктивных решения: <<сенсор на объективе>> и <<сенсор в ячейке>>.

В первом случае тачскрин, то есть отвечающая за распознавание прикосновений сенсорная часть объединяется в единое целое с защитным стеклом, во втором чувствительные элементы располагаются между тонким стеклом матрицы и внешним защитным стеклом, нередко

Если говорить о преимуществах OGS-дисплеев, то к ним можно отнести более качественную цветопередачу, достигаемую за счет снижения рассеивания света, более высокую прозрачность экрана и максимально широкий, до 180 градусов, угол обзора без искажения картинки. Сюда же можно отнести естественную защиту от пыли благодаря отсутствию щелей, а также снижение энергопотребления за счет уменьшения потребности в подсвечивании.

Все вышеперечисленные достоинства, однако, вовсе не означают, что OGS-дисплеи идеальны. Помимо высокой цены, к основным недостаткам экранов OGS можно отнести низкую ремонтопригодность, так как при повреждении сенсора приходится заменять модуль целиком. К тому же не стоит забывать, что основой

IPS, OGS, 1080p, Retina Display и другие.

О вкусах не спорят, некоторые из нас ищут смартфон с огромным дисплеем, для удобного просмотра различного контента, другие — чувствуют себя комфортно с портативными моделями с меньшим экраном, которыми легко управлять одной рукой.

Существуют более важные характеристики, чем цвет корпуса или размер экрана —  это технические характеристики. При чтении в спецификациях функций экрана, вы можете найти довольно много деталей, сокращений и цифр. Вы, возможно, уже ознакомлены с такими данными и точно знаете их значение. Если нет, то мы подобрали несколько общих особенностей, которые вы можете использовать для справки о функциональности экрана.

Типы экранов смартфонов.

При взгляде на спецификации экрана смартфона, вы увидите несколько общих цифр, указывающие разрешение экрана.

1080p: эта спецификация также известна, как ‘Full HD’. Является одним из самых популярных разрешений высокой четкости для экранов, измеряется в количестве 1920 на 1080 пикселей.

Дисплеи, с разрешением 1080p, довольно часто используют для мощных смартфонов, которые обеспечивают высокое качество изображения. Такое разрешение больше подходит для больших экранов, когда разница будет более заметна, но ряд более мелких смартфонов также могут поставляться с этим типом разрешения. Это можно объяснить тем, что производитель пытается произвести впечатление на потенциальных покупателей высоким качеством изображения. В качестве примера, для 5 дюймового телефона, дисплей, с разрешением 1920 × 1080, означает лишь чрезмерную плотность — 440 точек на дюйм (пикселей на дюйм).

720p: эта спецификация известна, как нижний показатель четкости, с разрешением 1280 на 720 пикселей, и обычно используется на небольших экранах.

При этом большое количество пользователей на самом деле не смогут сказать, в чем разницу между full HD и lower HD. Даже с использованием 20/20 vision, эту разница, очень трудно отличить, особенно на небольших экранах. В тоже время, экран Full HD оптимален для просмотра большого количества мелких элементов пользовательского интерфейса на экране, этот фактор становится заметен при использовании веб-браузера.

Вместе с используемыми числовыми определениями, вы также можете заметить конкретные названия или аббревиатуры, как те, которые используются Apple, Samsung и другие известные производители.

Retina Display — это фирменное название экрана, который устанавливается на устройствах компании Apple, имеющий разрешение 1136 × 640 пикселей. Технология Retina Display, за счет большей плотности пикселей,  позволяет улучшить четкость изображения без необходимости увеличивать дисплей.

HD Super AMOLED — имя от Samsung для дисплеев смартфонов, которые поддерживают OLED технологии. OLED экраны известны благодаря своей сверх яркости, по сравнению с ЖК, а также за счет демонстрации лучших функций экономии ресурса батареи.

PureMotion HD + — разрешение 1,280 × 768 пикселей поставляется с различными свойствами. Название относится к Nokia.

Clear Black – снова Nokia. Это название антибликового фильтра, используемого на экранах Nokia.

Другие технические характеристики экрана, которые вы часто будете видеть, также описывают технологии, используемые в производстве экрана.

IPS — это тип ЖК-экрана, произведенный особым образом, чтобы обеспечить более четкое изображение и широкий угол обзора.

OGS – использование одного стекла. Это сенсорная технология, которая уменьшает толщину дисплея, путем удаления одного из слоев стекол. Используется в традиционных емкостных сенсорных экранах.

Конечно, в настоящее время производители вносят различные дополнения к основными спецификациям и наш список далеко не полон. Мы выделили основные спецификации, которые способны влиять на яркость, четкость, плавность работы системы. Читайте внимательно характеристики экрана смартфона, чтобы сделать обоснованный выбор.

TFT и IPS матрицы: особенности, преимущества и недостатки

TFT и IPS матрицы: особенности, преимущества и недостатки

Для того чтобы полностью ответить на этот вопрос, необходимо тщательно разобраться в различиях обеих матриц, выделить их особенности, преимущества и недостатки. Зная все эти тонкости, вы с легкостью сможете подобрать устройство, дисплей которого будет полностью отвечать вашим требованиям. В этом вам поможет наша статья.

Главным преимуществом TFT дисплеев является относительно невысокая цена производства, в сравнении с современными аналогами. Кроме того, такие матрицы обладают отличной яркостью и временем отклика. Благодаря чему, искажения при просмотре динамических сцен незаметны. Дисплеи, изготовленные по технологии TFT, чаще всего используются в бюджетных телевизорах и мониторах.

Недостатки TFT дисплеев:

• • низкая цветопередача. Технология имеет ограничение в 6 бит на один канал;
  • спиральное расположение кристаллов негативно сказывается на контрастности изображение;
  • качество изображения заметно снижается при изменении угла обзора;
  • высокая вероятность появления «битых» пикселей;
  • относительно низкое энергопотребление.

Заметнее всего недостатки TFT матриц сказываются при работе с черным цветом. Он может искажаться до серого, или же наоборот, быть чересчур контрастным.

Преимущества IPS матриц:

• углы обзора, при которых качество изображения не снижается, увеличены до 178 градусов;
• улучшенная цветопередача. Количество данных, передаваемых на каждый канал увеличено до 8 бит;
• существенно улучшенная контрастность;
• снижено энергопотребление;
• низкая вероятность появления «битых» или выгоревших пикселей.
  

Изображение на IPS матрице выглядит более живим и насыщенным, но это не означает, что эта технология лишена недостатков. В сравнении с предшественником у IPS значительно снижена яркость изображения. Также, вследствие изменения управляющих электродов, пострадал такой показатель, как время отклика матрицы. Последним, но не менее значимым недостатком, является относительно высокая цена на устройства, в которых используются IPS дисплеи. Как правило, они на 10-20% дороже аналогичных с TFT матрицей.

Что выбрать: TFT или IPS?

Если для вас важно качество изображения и вы готовы незначительно доплатить, то устройство с IPS дисплеем является оптимальным выбором.

Применение IDS/IPS — «Хакер»

Содержание статьи

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

INFO

• О Mod_Security и GreenSQL-FW читай в статье «Последний рубеж», ][_12_2010.
• Как научить iptables «заглядывать» внутрь пакета, читай в статье «Огненный щит», ][_12_2010.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS, анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_12_2010).

Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.

Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проекты OpenDPI и Fwsnort. Последний представляет собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов. IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR, которая работает на втором уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.

В обычной жизни дверь не только запирают на замок, но и дополнительно защищают, оставляя возле нее охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT в качестве такого секьюрити выступают хостовые IPS (см. «Новый оборонительный рубеж» в ][_08_2009), защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусами, имеющими модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Они контролируют гораздо больше системных параметров: процессы, целостность системных файлов и реестра, записи в журналах и многое другое.

Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Для этой цели были созданы гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM — Security Information Management). Среди OpenSource-проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (поддержка этой системы приостановлена несколько лет назад, но собранные пакеты еще можно найти в репозиториях Linux и *BSD).

В разнообразии предлагаемых решений может запутаться даже профи. Сегодня мы познакомимся с наиболее яркими представителями IDS/IPS-систем.

Объединенный контроль угроз

Современный интернет несет огромное количество угроз, поэтому узкоспециализированные системы уже не актуальны. Необходимо использовать комплексное многофункциональное решение, включающее все компоненты защиты: файервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам-фильтр. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). В качестве примеров UTM можно привести Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances или специализированные дистрибутивы Linux, такие как Untangle Gateway, IPCop Firewall, pfSense (читай их обзор в статье «Сетевые регулировщики», ][_01_2010).

Suricata

• Разработчик: OISF (Open Information Security Foundation).
• Web: www.openinfosecfoundation.org.
• Платформа: программная.
• ОС: Linux, *BSD, Mac OS X, Solaris, Windows/Cygwin.
• Лицензия: GNU GPL.

Бета-версия этой IDS/IPS была представлена на суд общественности в январе 2010-го после трех лет разработок. Одна из главных целей проекта — создание и обкатка совершенно новых технологий обнаружения атак. За Suricata стоит объединение OISF, которое пользуется поддержкой серьезных партнеров, включая ребят из US Department of Homeland Security. Актуальным на сегодня является релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не GPL-версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата к работе привлекается сообщество, что позволяет достигнуть очень высокого темпа разработки. Например, по сравнению с предыдущей версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные IDS с длинной историей, в том числе и Snort, не совсем эффективно используют многопроцессорные/многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме. Тесты показывают, что она шестикратно превосходит Snort в скорости (на системе с 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратного ускорения на стороне GPU. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6’), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще, модульная компоновка позволяет быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов. Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах необязательно привязываться к номеру порта (как это делает Snort), достаточно лишь задать действие для нужного протокола. Ivan Ristic, автор Mod_security, создал специальную библиотеку HTP, применяемую в Suricata для анализа HTTP-трафика. Разработчики прежде всего стремятся добиться точности обнаружения и повышения скорости проверки правил.

Вывод результатов унифицирован, поэтому можно использовать стандартные утилиты для их анализа. Собственно, все бэк-энды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т. д.), без доработок работают и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулсеты, созданные для других проектов: Sourcefire VRT (можно обновлять через Oinkmaster), OpenSource Emerging Threats и Emerging Threats Pro. В первых релизах поддержка была лишь частичной, и движок не распознавал и не загружал некоторые правила, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающий снортовский. Правило состоит из трех компонентов: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. При этом информацию из потока можно сохранять для последующего использования. Такой подход, применяемый для отслеживания попыток подбора пароля, более эффективен, чем используемый в Snort метод, который оперирует пороговым значением срабатывания. Планируется создание механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).

Резюмируя, отмечу, что Suricata — это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта — скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec, построенный на базе Suricata.

Samhain

• Разработчик: Samhain Labs.
• Web: www.la-samhna.de/samhain.
• Реализация: программная.
• ОС: Unix, Linux, Windows/Cygwin.
• Лицензия: GNU GPL

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

• создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с «живой» системой;
• мониторинг и анализ записей в журналах;
• контроль входа/выхода в систему;
• мониторинг подключений к открытым сетевым портам;
• контроль файлов с установленным SUID и скрытых процессов.

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

• Разработчик: StoneSoft Corporation.
• Web: www.stonesoft.com.
• Реализация: программно-аппаратная, образ VMware.
• ОС: 32/64-битные Windows 2k3/Vista/7/2k8R2, Linux (CentOS, RHEL, SLES).
• Лицензия: коммерческая.

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft — StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

• Разработчик: IBM.
• Web: www.ibm.com/ru.
• Реализация: программно-аппаратная, образ VMware.
• Лицензия: коммерческая.

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов — PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

Предусмотрено несколько вариантов действий при обнаружении атаки — блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки — RAID, блок питания, вентилятор охлаждения — дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

• Разработчик: McAfee Inc.
• Web: www.mcafee.com.
• Реализация: программно-аппаратная.
• Лицензия: коммерческая.

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS — Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

• Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) — так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
• Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
• Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
• Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

IPS-экран – что это такое и в чем преимущества технологии

Современные электронные устройства являются практически универсальными. Так, например, смартфон превосходно справляется не только со звонками (их приемом и совершением), но и возможностью бороздить просторы интернета, слушать музыку, просматривать видеоролики или читать книги. Для этих же задач подойдет планшет. Экран является одной из важнейших частей электроники, особенно если он — сенсорный и служит не только для отображения файлов, но и для управления. Ознакомимся с характеристиками дисплеев и технологиями, по которым они создаются. Уделим особое внимание тому, что такое IPS-экран, что это за технология, в чем ее преимущества.

Как устроен ЖК-экран

Прежде всего разберемся, как устроен жидкокристаллический дисплей, которым оснащается современная техника. Во-первых, это активная матрица. Она состоит из микропленочных транзисторов. Благодаря им и формируется изображение. Во-вторых, это слой жидких кристаллов. Они оснащены светофильтрами и создают R-, G-, B-субпиксели. В-третьих, это система подсветки экрана, которая позволяет сделать изображение видимым. Она может быть люминесцентной или светодиодной.

Особенности IPS-технологии

Строго говоря, матрица IPS – разновидность технологии TFT, по которой создаются ЖК-экраны. Под TFT часто понимают мониторы, произведенные способом TN-TFT. Исходя из этого, можно произвести их сравнение. Чтобы ознакомиться с тонкостями выбора электроники, разберемся, что такое технология экрана IPS, что это понятие обозначает. Главное, что отличает эти дисплеи от TN-TFT, – расположение жидкокристаллических пикселей. Во втором случае они располагаются по спирали, находятся под углом в девяносто градусов горизонтально между двумя пластинами. В первом (который нас интересует больше всего) матрица состоит из тонкопленочных транзисторов. Причем кристаллы располагаются вдоль плоскости экрана параллельно друг другу. Без поступления на них напряжения они не поворачиваются. У TFT каждый транзистор управляет одной точкой экрана.

Отличие IPS от TN-TFT

Рассмотрим подробнее тип экрана IPS, что это такое. У мониторов, созданных по данной технологии, есть масса преимуществ. Прежде всего, это великолепная цветопередача. Весь спектр оттенков ярок, реалистичен. Благодаря широкому углу обзора изображение не блекнет, с какой точки на него ни взгляни. У мониторов более высокая, четкая контрастность благодаря тому, что черный цвет передается просто идеально. Можно отметить следующие минусы, которыми обладает тип экрана IPS. Что это, прежде всего, большое потребление энергии, значительный недостаток. К тому же устройства, оснащенные такими экранами, стоят дорого, так как их производство очень затратное. Соответственно, TN-TFT обладают диаметрально противоположными характеристиками. У них меньше угол обзора, при изменении точки взгляда изображение искажается. На солнце ими пользоваться не очень удобно. Картинка темнеет, мешают блики. Однако такие дисплеи имеют быстрый отклик, меньше потребляют энергии и доступны по цене. Поэтому подобные мониторы устанавливают в бюджетных моделях электроники. Таким образом, можно заключить, в каких случаях подойдет IPS-экран, что это великолепная вещь для любителей кино, фото и видео. Однако из-за меньшей отзывчивости их не рекомендуют поклонникам динамичных компьютерных игр.

Разработки ведущих компаний

Сама технология IPS была создана японской компанией Hitachi совместно с NEC. Новым в ней было расположение жидкокристаллических кристаллов: не по спирали (как в TN-TFT), а параллельно друг другу и вдоль экрана. В результате такой монитор передает цвета более яркие и насыщенные. Изображение видно даже на открытом солнце. Угол обзора IPS-матрицы составляет сто семьдесят восемь градусов. Смотреть можно на экран с любой точки: снизу, сверху, справа, слева. Картинка остается четкой. Популярные планшеты с экраном IPS выпускает компания Apple, они создаются на матрице IPS Retina. На один дюйм используется увеличенная плотность пикселей. В результате изображение на дисплее выходит без зернистости, цвета передаются плавно. По словам разработчиков, человеческий глаз не замечает микрочастиц, если пикселей более 300 ppi. Сейчас устройства с IPS-дисплеями становятся более доступными по цене, ими начинают снабжать бюджетные модели электроники. Создаются новые разновидности матриц. Например, MVA/PVA. Они обладают быстрым откликом, широким углом обзора и замечательной цветопередачей.

Устройства с экраном мультитач

В последнее время большую популярность завоевали электронные приборы с сенсорным управлением. Причем это не только смартфоны. Выпускают ноутбуки, планшеты, у которых сенсорный экран IPS, служащий для управления файлами, изображениями. Такие устройства незаменимы для работы с видео, фотографиями. В зависимости от диагонали дисплея встречаются компактные и полноформатные устройства. Сенсорный экран мультитач способен распознавать одновременно десять касаний, то есть на таком мониторе можно работать сразу двумя руками. Небольшие мобильные устройства, например смартфоны или планшеты с диагональю в семь дюймов, распознают пять касаний. Этого вполне достаточно, если у вашего смартфона небольшой IPS-экран. Что это очень удобно, оценили многие покупатели компактных устройств.

Отзывы покупателей

Ориентируясь на выбор высококачественной электроники для занятий видеомонтажом, обработки фотографий, нужно приобретать ноутбуки с монитором, который великолепно передает цвета и обладает высокой четкостью и контрастностью. Этим характеристикам вполне соответствует описанная выше технология. Из-за большого угла обзора цвета не блекнут и не теряют яркость, с какой точки на экран ни посмотри. Соответственно, покупатели мобильной электроники отзывы о своих приобретениях оставляют только положительные, отмечая все перечисленные выше плюсы. Можно сделать вывод, что в электронных устройствах очень выгоден IPS-экран, что это самый оптимальный выбор для серфинга по интернету, смогли убедиться миллионы пользователей мобильной компьютерной техники.

Система предотвращения вторжений — Википедия

Система предотвращения вторжений (англ. Intrusion Prevention System, IPS) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.

• Поведение Системы обнаружения вторжения (слева), поведение Системы предотвращения вторжения (справа).Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.
• IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.
• Анализатор поведения сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.
• IPS для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.

История развития современных IPS включает в себя истории развития нескольких независимых решений, проактивных методов защиты, которые разрабатывались в разное время для разного рода угроз. Под проактивными методами защиты, предлагаемыми сегодня рынком, понимается следующее:

1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, то есть неизвестных вредоносных программ.
2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и тех, которые могут использоваться их новыми модификациями.
3. Недопущение переполнения буфера у наиболее распространённых программ и сервисов, что наиболее часто используется злоумышленниками и для осуществления атаки.
4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего её размножения, ограничение доступа к файлам и каталогам; обнаружение и блокировка источника инфекции в сети.

Анализ сетевых пакетов[править | править код]

Обычно в качестве первой угрозы, побудившей к противодействию вторжениям, называют червь Морриса, поразивший подключенные к сети Unix-компьютеры ноября 1988 года.

По другой теории, стимулом для создания нового фортификационного сооружения стали действия группы хакеров совместно со спецслужбами СССР и ГДР. В период с 1986 по 1989 год группа, идейным руководителем которой был Маркус Хесс, передавала своим национальным спецслужбам информацию, добытую ими путём вторжения в компьютеры. Все началось с неизвестного счета всего на 75 центов в Национальной лаборатории им. Э. Лоуренса в Беркли.^[1] Анализ его происхождения в конечном итоге вывел на Хесса, работавшего программистом в небольшой западногерманской компании и одновременно принадлежавшего к экстремистской группе Chaos Computer Club, базировавшейся в Гамбурге. Организованное им вторжение начиналось со звонка из дома через простейший модем, обеспечивающий ему связь с европейской сетью Datex-P и далее проникновение в компьютер библиотеки Бременского университета, где хакер получал необходимые привилегии и уже с ними пробивался в Национальную лабораторию им. Э. Лоуренса в Беркли.^[1] Первый лог был зарегистрирован 27 июля 1987 года, и из 400 доступных компьютеров он смог влезть примерно в 30 и после этого спокойно флибустьерствовать в закрытой сети Milnet, используя, в частности, ловушку в виде файла под названием Strategic Defense Initiative Network Project (его интересовало всё, что было связано с Стратегической оборонной инициативой президента Рейгана)^[1]. Незамедлительной реакцией на появление внешних сетевых угроз оказалось создание межсетевых экранов, как первых систем обнаружения и фильтрации угроз.

Анализ программ и файлов[править | править код]

Эвристические анализаторы[править | править код]

Поведенческий блокиратор[править | править код]

С появлением новых видов угроз вспомнили о поведенческих блокираторах.

Первое поколение поведенческих блокираторов появилось ещё в середине 1990-х годов. Принцип их работы — при обнаружении потенциально опасного действия пользователю задавался вопрос, разрешить или запретить действие. Теоретически блокиратор способен предотвратить распространение любого — как известного, так и неизвестного — вируса. Основным недостатком первых поведенческих блокираторов было чрезмерное количество запросов к пользователю. Причина этого — неспособность поведенческого блокиратора судить о вредоносности того или иного действия. Однако, в программах, написанных на VBA, можно с очень большой вероятностью отличить вредоносные действия от полезных.

Второе поколение поведенческих блокираторов отличается тем, что они анализируют не отдельные действия, а последовательность действий и уже на основании этого делают заключение о вредоносности того или иного ПО.

Тестирование от Current Analysis[править | править код]

В 2003 году компания Current Analysis, под руководством Майка Фратто, пригласила для тестирования продуктов HIP следующих поставщиков — компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. В результате в лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

Для участников были сформулированы требования:

1. Продукт должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы.
2. Продукт должен иметь возможность самим формировать политику доступа для любого серверного приложения.
3. Продукт должен контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты должен обеспечить возможность блокирования переполнения буфера стека и кучи.
4. Продукт должен установить зависимость доступа к ресурсам от имени пользователя(приложения) или его принадлежности к той или иной группе.

После полутора месяцев тестирования победил продукт StormWatch компании Okena (позже приобретена Cisco Systems, продукт получил название Cisco Security Agent).^[2]

Дальнейшее развитие[править | править код]

В 2003 году был опубликован отчёт компании Gartner, в котором доказывалась неэффективность поколения IDS того времени и предсказывался их неизбежное оснащение IPS. После этого разработчики IDS стали часто совмещать свои продукты с IPS.

После начала атаки[править | править код]

Методы реализуются уже после того, как была обнаружена информационная атака. Это значит, что даже в случае успешного предотвращения атаки, защищаемой системе может быть нанесён ущерб.

Блокирование соединения[править | править код]

Если для атаки используется TCP-соединение, то реализуется его закрытие с помощью посылки каждому или одному из участников TCP-пакета с установленным флагом RST. В результате злоумышленник лишается возможности продолжать атаку, используя это сетевое соединение. Данный метод, чаще всего, реализуется с помощью имеющихся сетевых датчиков.

Метод характеризуется двумя основными недостатками:

1. Не поддерживает протоколы, отличные от TCP, для которых не требуется предварительного установления соединения (например, UDP и ICMP).
2. Метод может быть использован только после того, как злоумышленник уже получил несанкционированное соединение.

Блокирование записей пользователей[править | править код]

Если несколько учётных записей пользователей были скомпрометированы в результате атаки или оказались их источниками, то осуществляется их блокирование хостовыми датчиками системы. Для блокировки датчики должны быть запущены от имени учётной записи, имеющей права администратора.

Также блокирование может происходить на заданный срок, который определяется настройками Системы предотвращения вторжений.

Блокирование хоста компьютерной сети[править | править код]

Если с одного из хостов была зафиксирована атака, то может быть произведена его блокировка хостовыми датчиками или блокирование сетевых интерфейсов либо на нём, либо на маршрутизаторе или коммутаторе, при помощи которых хост подключён к сети. Разблокирование может происходить спустя заданный промежуток времени или при помощи активации администратора безопасности. Блокировка не отменяется из-за перезапуска или отключения от сети хоста. Так же для нейтрализации атаки можно блокировать цель, хост компьютерной сети.

Блокирование атаки с помощью межсетевого экрана[править | править код]

IPS формирует и отсылает новые конфигурации в МЭ, по которым экран будет фильтровать трафик от нарушителя. Такая реконфигурация может происходить в автоматическом режиме с помощью стандартов OPSEC (например SAMP, CPMI).^[3][4]

Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с Системой предотвращения вторжения может быть использован модуль-адаптер:

• на который будут поступать команды об изменении конфигурации МЭ.
• который будет редактировать конфигурации МЭ для модификации его параметров.

Изменение конфигурации коммуникационного оборудования[править | править код]

Для протокола SNMP, IPS анализирует и изменяет параметры из базы данных MIB (такие как таблиц маршрутизации, настройки портов) с помощью агента устройства, чтобы блокировать атаку. Также могут использованы протоколы TFTP, Telnet и др.

Активное подавление источника атаки[править | править код]

Метод теоретически может быть использован, если другие методы окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и осуществляет атаку на его узел, при условии, что его адрес однозначно определён и в результате таких действий не будет нанесён вред другим легальным узлам.

Такой метод реализован в нескольких некоммерческих ПО:

• NetBuster предотвращает проникновение в компьютер «Троянского коня». Он может также использоваться в качестве средства «fool-the-one-trying-to-NetBus-you» («обмани того, кто пытается проникнуть к тебе на «Троянском коне»). В этом случае он разыскивает вредоносную программу и определяет запустивший её компьютер, а затем возвращает эту программу адресанту.
• Tambu UDP Scrambler работает с портами UDP. Продукт действует не только как фиктивный UDP-порт, он может использоваться для «парализации» аппаратуры хакеров при помощи небольшой программки UDP flooder.

Так как гарантировать выполнение всех условий невозможно, широкое применение метода на практике пока невозможно.

В начале атаки[править | править код]

Методы реализуют меры, которые предотвращают обнаруженные атаки до того как они достигают цели.

С помощью сетевых датчиков[править | править код]

Сетевые датчики устанавливаются в разрыв канала связи так, чтобы анализировать все проходящие пакеты. Для этого они оснащаются двумя сетевыми адаптерами, функционирующими в «смешанном режиме», на приём и на передачу, записывая все проходящие пакеты в буферную память, откуда они считываются модулем выявления атак IPS. В случае обнаружения атаки эти пакеты могут быть удалены.^[5]

Анализ пакетов проводится на основе сигнатурного или поведенческого методов.

С помощью хостовых датчиков[править | править код]

• Удаленные атаки, реализуемые отправкой от злоумышленника серией пакетов. Защита реализуется с помощью сетевой компоненты IPS по аналогии с сетевыми датчиками, но в отличие от последних сетевая компонента перехватывает и анализирует пакеты на различных уровнях взаимодействия, что даёт предотвращать атаки по криптозащищённым IPsec- и SSL/TLS соединениям.
• Локальные атаки при несанкционированном запуске злоумышленником программ или других действиях, нарушающих информационную безопасность. Перехватывая системные вызовы всех приложений и анализируя их, датчики блокируют те вызовы, которые представляют опасность.^[5]