Įsilaužimo aptikimo sistema (IDS) stebi tinklo srautą ir stebi įtartiną veiklą ir įspėja sistemos ar tinklo administratorių. Kai kuriais atvejais IDS taip pat gali reaguoti į anomalą ar kenkėjišką srautą, imdamasis veiksmų, pvz., Užblokuodamas naudotojo arba šaltinio IP adresą , kad galėtų prisijungti prie tinklo.
"IDS" yra įvairių "skonių" įvairovė, ir jos tikslas yra įvairiais būdais aptikti įtartiną srautą. Yra tinklo pagrįstos (NIDS) ir priimančiosios (HIDS) įsilaužimo aptikimo sistemos. Yra IDS, kuriuos nustato ieškodamas konkrečių žinomų grėsmių parašų, panašių į tai, kaip antivirusinė programinė įranga paprastai aptinka ir apsaugo nuo kenkėjiškos programinės įrangos, ir yra IDS, kurie nustatomi remiantis lyginamuoju eismo modeliu pagal bazinę liniją ir ieškant anomalijų. Yra IDS, kurie paprasčiausiai stebi ir įspėja, ir yra IDS, kurie atlieka veiksmus ar veiksmus atsakydami į aptiktą grėsmę. Trumpai aptarsime kiekvieną iš jų.
NIDS
Tinklo įsilaužimo aptikimo sistemos yra įdedamos į strateginį tašką arba tinklo taškus, kad stebėtų srautą į ir iš visų įrenginių tinkle. Geriausia būtų, kad nuskaitytumėte visą įeinančią ir išeinančią srautą, tačiau tai gali sukelti kliūtis, trukdančias bendro tinklo greičiui.
HIDS
Priimančiosios įsibrovimo aptikimo sistemos yra naudojamos atskiruose kompiuteriuose arba tinkle esančiuose įrenginiuose. HIDS prižiūri įeinančius ir išeinančius paketus tik iš įrenginio ir įspėja naudotoją ar administratorių apie įtartiną veiklą.
Parašas pagrįstas
Parašas paremtas IDS stebės tinklo paketus ir palygins juos su parašų arba atributų duomenų baze nuo žinomų kenkėjiškų grėsmių. Tai panaši į tai, kaip dauguma antivirusinės programinės įrangos aptinka kenkėjišką programą. Problema yra tai, kad atsiras naujos grėsmės, kurią laukia laukiniai gyvūnai, ir parašas, skirtas nustatyti šią grėsmę jūsų IDS. Per šį prastovos laiką IDS negalės aptikti naujos grėsmės.
Anomalija pagrįsta
IDS, kurio anomalija pagrįsta, stebės tinklo srautą ir palygins ją su nustatytu pradiniu lygiu. Bazinė linija nustatys, kas yra "įprastas" tam tinklui - kokia dažnių juostos plotis paprastai naudojama, kokie protokolai naudojami, kokie prievadai ir įrenginiai paprastai jungiasi vienas prie kito, ir įspėti administratorią arba naudotoją, kai aptiktas eismas, kuris yra anomalus, arba gerokai skiriasi nuo bazinio lygio.
Pasyvus IDS
Pasyvus IDS tiesiog aptinka ir perspėja. Kai aptinkamas įtartinas arba kenksmingas srautas, generuojamas perspėjimas ir siunčiamas administratoriui arba naudotojui, ir jie turi imtis veiksmų, kad blokuotų veiklą arba atsakytų kokiu nors būdu.
Reaktyvūs IDS
Reaktyviosios IDS ne tik aptiks įtartiną ar kenkėjišką srautą ir įspės administratorių, bet ir imsis iš anksto nustatytų iniciatyvių veiksmų reaguoti į grėsmę. Paprastai tai reiškia blokuoti bet kokį tolesnį tinklo srautą iš šaltinio IP adreso ar vartotojo.
Viena iš labiausiai žinomų ir plačiai naudojamų įsilaužimo aptikimo sistemų yra atvirojo kodo, laisvai prieinamo Snort. Jis prieinamas daugeliui platformų ir operacinių sistemų, įskaitant " Linux" ir "Windows" . "Snort" turi didelį ir lojalių rezultatų, o internete yra daug išteklių, kuriuose galite įsigyti parašų, kad būtų galima nustatyti naujausias grėsmes. Kitoms nemokamų programų įsilaužimo aptikimo programoms galite apsilankyti nemokamoje įsilaužimo aptikimo programoje .
Tarp užkardos ir IDS yra linija. Taip pat yra technologija, vadinama IPS - įsilaužimo prevencijos sistema . IPS iš esmės yra užkarda, jungianti tinklo lygio ir taikomųjų programų filtrus su reaktyviniais IDS, kad aktyviai apsaugotų tinklą. Atrodo, kad laiko tarpsnis užmegztas, IDS ir IPS prisiima daugiau atributų vieni nuo kitų ir dar labiau išblukina liniją.
Iš esmės, jūsų užkarda yra jūsų pirmoji perimetro gynybos linija. Geriausios praktikos pavyzdžiai rekomenduoja, kad ugniasienė būtų aiškiai sukonfigūruota, kad būtų užblokuotas visas įeinantis srautas, o tada, kai reikia, atidaryti skyles. Jums gali prireikti atverti 80 portą, kad priimtų interneto svetaines arba 21 uostą, kuriame būtų laikomas FTP failų serveris . Bet kuris iš šių skylių gali būti reikalingas iš vienos pozicijos, tačiau jie taip pat yra galimi kenkėjiško srauto vektoriai, kurie gali patekti į jūsų tinklą, o ne užblokuoti ugniasienė.
Štai kur įvyktų jūsų IDS. Nesvarbu, ar jūs įdiegsite NIDS visame tinkle arba jūsų konkrečiame įrenginyje esantį HIDS, IDS stebės įeinantį ir išeinančią srautą ir nustatys įtartinus ar kenkėjiškus srautus, kurie gali kažkaip apeiti ugniasienę ar ją galbūt kiltų iš jūsų tinklo.
IDS gali būti puikus įrankis aktyviam jūsų tinklo stebėjimui ir apsaugai nuo kenkėjiškos veiklos, tačiau jie taip pat linkę į klaidingą signalizaciją. Kai tik įdiegsite bet kurį IDS sprendimą, turėsite jį "sureguliuoti", kai jis bus pirmą kartą įdiegtas. Jums reikia, kad IDS būtų tinkamai sukonfigūruotas, kad būtų galima atpažinti, koks yra įprastas srautas jūsų tinkle, o ne tas, kuris gali būti kenksmingas srautas, o jūs arba administratoriai, atsakingi už atsakymą į IDS įspėjimus, turi suprasti, ką reiškia įspėjimai ir kaip efektyviai atsakyti.