Intrusion Detection System (IDS) jälgib võrguliiklust ja jälgib kahtlast tegevust ning hoiatab süsteemi või võrguadministraatorit. Mõnel juhul võib IDS reageerida ka anomaalsele või pahatahtlikule liiklusele, võttes selliseid meetmeid nagu kasutaja või allika IP-aadressi blokeerimine võrgule juurdepääsemiseks.
IDS on mitmesugustes "maitsetest" ja läheneb eesmärgile tuvastada kahtlastest liiklustest erineval viisil. On olemas võrgupõhised (NIDS) ja host-põhised (HIDS) sissetungimise avastamise süsteemid. Seal on IDS, mis tuvastab teadaolevate ohtude allkirjade otsimise - sarnaselt sellele, kuidas viirusetõrjetarkvara tuvastab ja kaitseb ennast pahavara vastu - ja seal on tuvastatud IDSid, mis põhinevad liiklusmudelite võrdlemisel algtasemega ja anomaaliate otsimisega. Seal on IDSid, mis lihtsalt jälgivad ja hoiatavad, ja IDS-id, mis täidavad tuvastatud ohu korral toiminguid või toiminguid. Me käsitleme neid kõiki lühidalt.
NIDS
Võrgu sissetungimise avastamise süsteemid asuvad võrgu strateegilises punktis või punktides, et jälgida liiklust kõigile võrgu seadmetele ja nende kaudu. Ideaalis skaneeriksite kogu sissetuleva ja väljamineva liikluse, kuid see võib põhjustada kitsaskohti, mis võib kahjustada võrgu üldist kiirust.
HIDS
Host Intrusion Detection Systems käitatakse võrgu üksikettevõttes või seadmetes. HIDS jälgib sissetulevat ja väljaminevaid pakette ainult seadmest ja hoiatab kasutaja või administraatori eest kahtlase tegevuse tuvastamise eest
Allkiri põhineb
Allkiri põhinev IDS jälgib võrgus olevaid pakette ja võrdleb neid tuntud pahatahtlike ohtude allkirjade või atribuutide andmebaasiga. See on sarnane sellele, kuidas enamik viirusetõrjetarkvara tuvastab pahavara. Probleem seisneb selles, et uue loodusesse avastatud ohu ja selle IDS-i suhtes kohaldatava ohu tuvastamiseks on allakäik. Selle viivituse ajal ei suuda IDS uusi ähvardusi avastada.
Anomaalia põhineb
Anomalüüsil põhinev IDS jälgib võrguliiklust ja võrdleb seda kindlaks määratud baasjoonega. Algväärtus tuvastab, milline on selle võrgu "normaalne" - millist ribalaiust kasutatakse üldiselt, milliseid protokolle kasutatakse, millised pordid ja seadmed üldjuhul üksteisega ühenduvad, ning hoiatab administraatorit või kasutajat, kui avastatakse liiklus, mis on anomaalne, või oluliselt teistsugune kui algväärtus.
Passiivne IDS
Passiivne IDS lihtsalt tuvastab ja hoiatab. Kui avastatakse kahtlane või pahatahtlik liiklus, luuakse hoiatusteade ja saadetakse administraatorile või kasutajale, ja nad tegelevad tegevuse blokeerimise või mingil viisil reageerimisega.
Reaktiivne IDS
Reaktiivne IDS tuvastab mitte ainult kahtlase või pahatahtliku liikluse ja hoiatab administraatorit, vaid võtab ennetavaid meetmeid ohu reageerimiseks. Tavaliselt tähendab see, et blokeerib edasist võrguliiklust allika IP-aadressilt või kasutajalt.
Üks tuntumaid ja laialdasemalt kasutatavaid sissetungimise avastamise süsteeme on avatud lähtekoodiga, vabalt saadaval Snort. See on saadaval mitmete platvormide ja operatsioonisüsteemide jaoks, sealhulgas Linuxi ja Windowsi jaoks . Snortil on suur ja lojaalne järgmine ja seal on palju ressursse Internetis, kus saate omandada allkirju, et rakendada uusimaid ohte. Teiste vabavara sissetungimise avastamise rakenduste puhul võite külastada vaba sissetungimise tuvastamise tarkvara .
Tulemüür ja IDS vahel on peene joon. Samuti on olemas tehnoloogia IPS - sissetungimise ennetamise süsteem . IPS on sisuliselt tulemüür, mis ühendab võrgu taseme ja rakenduse taseme filtreerimist reaktiivsete IDS-iga, et ennetavalt võrku kaitsta. Tundub, et kuna tulemüürid lähevad, saavad IDS ja IPS üksteisest rohkem atribuute ja veelgi rohkem hägustavad rida.
Sisuliselt on teie tulemüür teie perimeetri kaitse esimene rida. Parimad tavad soovitavad, et tulemüür oleks selgesõnaliselt konfigureeritud, et DENY kogu sissetulev liiklus ja siis avanevad vajaduse korral avad. Võimalik, et peate avama port 80, et hostida FTP-failiserveri veebisaite või port 21. Kõik need avad võivad olla ühest seisukohast vajalikud, kuid need kujutavad endast ka võimaliku vektoreid pahatahtliku liikluse jaoks, et siseneda oma võrku, mitte tulemüüri blokeerima.
See on koht, kus teie IDS sisse tuleb. Kui kasutate oma spetsiifilises seadmes NIDS-i kogu võrgu või HIDS-i kaudu, jälgib IDS sissetulevat ja väljaminevat liiklust ning tuvastab kahtlase või pahatahtliku liikluse, mis võis kuidagi mööda firewalli või võib-olla pärinevad ka teie võrgust.
IDS võib olla suurepärane vahend oma võrgu ennetavaks jälgimiseks ja kaitsmiseks pahatahtliku tegevuse eest, kuid nad on samuti altid valehäiretele. Kui kasutate mõnda IDS-lahendust, mida te rakendate, peate pärast selle installimist esmalt häälestama. IDS peab olema korralikult konfigureeritud tuvastama, mis on teie võrgu tavapärane liiklus ja mis võib olla pahatahtlik liiklus, ja kui teie või IDS-i teavitamise eest vastutavad administraatorid peavad mõistma, mida hoiatused tähendavad ja kuidas tõhusalt reageerida.