Un sistem de detecție a intruziunilor (IDS) monitorizează traficul în rețea și monitorizează activitatea suspectă și avertizează administratorul de sistem sau de rețea. În unele cazuri, IDS poate, de asemenea, să răspundă traficului anormal sau rău intenționat prin luarea de măsuri, cum ar fi blocarea utilizatorului sau a adresei IP sursă de la accesarea rețelei.
IDS vin într-o varietate de "arome" și abordează obiectivul de a detecta traficul suspect în moduri diferite. Există sisteme de detectare a intruziunilor bazate pe rețea (NIDS) și gazdă (HIDS). Există IDS care detectează pe baza căutării unor semnături specifice de amenințări cunoscute - similare cu modul în care software-ul antivirus detectează și protejează în mod obișnuit împotriva programelor malware - și există IDS care detectează bazându-se pe compararea tiparelor de trafic cu o linie de bază și în căutarea unor anomalii. Există IDS care pur și simplu monitorizează și avertizează și există IDS care efectuează o acțiune sau acțiuni ca răspuns la o amenințare detectată. Vom acoperi toate acestea pe scurt.
NIDS
Sistemele de detecție a intruziunilor în rețea sunt amplasate într-un punct strategic sau puncte din rețea pentru a monitoriza traficul către și de pe toate dispozitivele din rețea. În mod ideal, ați scana toate traficul de intrare și de ieșire, dar acest lucru ar putea crea o strangulare care ar afecta viteza generală a rețelei.
HIDS
Sistemele de detecție a intruziunilor gazdă sunt difuzate pe gazde sau pe dispozitive individuale din rețea. Un HIDS monitorizează numai pachetele de la intrare și de ieșire din dispozitiv și va avertiza utilizatorul sau administratorul activității suspecte
Pe bază de semnătură
O IDS bazată pe semnătură va monitoriza pachetele din rețea și le va compara cu o bază de date cu semnături sau atribute din amenințări malware cunoscute. Acest lucru este similar cu modul în care majoritatea software-ului antivirus detectează programe malware. Problema este că va exista un decalaj între o nouă amenințare care va fi descoperită în sălbăticie și semnătura pentru detectarea acelei amenințări aplicate IDS-ului tău. În decursul acelei perioade, IDS-ul dvs. nu ar putea detecta noua amenințare.
Anomalie bazată
Un IDS bazat pe anomalii va monitoriza traficul de rețea și îl va compara cu o linie de bază stabilită. Linia de bază va identifica ceea ce este "normal" pentru acea rețea - ce tip de lățime de bandă este folosită în general, ce protocoale sunt utilizate, ce porturi și dispozitive se conectează în general între ele - și alertează administratorul sau utilizatorul atunci când traficul este detectat anormal, sau semnificativ diferită de linia de bază.
IDS pasiv
Un IDS pasiv detectează și avertizează pur și simplu. Când se detectează un trafic suspect sau rău intenționat, se emite o alertă și se trimite administratorului sau utilizatorul și este de datoria lor să ia măsuri pentru a bloca activitatea sau pentru a răspunde într-un fel sau altul.
IDS reactiv
Un IDS reactiv nu va detecta doar trafic suspect sau rău intenționat și va avertiza administratorul, dar va întreprinde acțiuni pro-definite predefinite pentru a răspunde la această amenințare. În mod obișnuit, acest lucru înseamnă blocarea oricărui alt trafic din rețea de la adresa IP sursă sau de la utilizator.
Una dintre cele mai cunoscute și utilizate sisteme de detectare a intruziunilor este sursa deschisă, disponibilă în mod gratuit Snort. Este disponibil pentru o serie de platforme și sisteme de operare, inclusiv Linux și Windows . Snort are o urmărire mare și loială și există multe resurse disponibile pe Internet unde puteți achiziționa semnături pentru implementare pentru a detecta cele mai recente amenințări. Pentru alte aplicații de detectare a intruziunilor gratuite, puteți vizita Software-ul gratuit de detectare a intruziunilor .
Există o linie fină între un paravan de protecție și un IDS. Există, de asemenea, o tehnologie numită IPS - Sistem de prevenire a intruziunilor . Un IPS este în esență un firewall care combină filtrarea la nivel de rețea și la nivel de aplicație cu un IDS reactiv pentru a proteja în mod proactiv rețeaua. Se pare că, pe măsură ce timpul trece pe firewall-uri, IDS și IPS iau mai multe atribute unul de altul și încețoșează linia chiar mai mult.
În esență, firewall-ul este prima dvs. linie de apărare perimetrală. Cele mai bune practici recomandă ca firewall-ul dvs. să fie configurat în mod explicit să DENY toate traficul de intrare și apoi deschideți găuri acolo unde este necesar. Este posibil să fie nevoie să deschideți portul 80 pentru a găzdui site-uri web sau portul 21 pentru a găzdui un server de fișiere FTP . Fiecare dintre aceste găuri poate fi necesar dintr-un punct de vedere, dar reprezintă, de asemenea, vectori posibili pentru ca traficul rău intenționat să intre în rețeaua dvs., în loc să fie blocat de paravanul de protecție.
Acesta este locul în care va intra IDS dvs. Indiferent dacă implementați un NIDS în întreaga rețea sau pe un dispozitiv HIDS pe dispozitivul dvs. specific, IDS va monitoriza traficul de intrare și de ieșire și va identifica traficul suspect sau rău intenționat, care ar putea fi oarecum ocolit firewallul sau ar putea fi originare din interiorul rețelei dvs., de asemenea.
Un IDS poate fi un instrument excelent pentru monitorizarea proactivă și protecția rețelei împotriva unei activități rău intenționate, dar sunt, de asemenea, predispuse la alarme false. Cu aproape orice soluție IDS pe care o implementați, va trebui să o "tuneți" odată ce este instalată pentru prima oară. Aveți nevoie ca IDS să fie configurat corespunzător pentru a recunoaște traficul normal din rețea față de traficul rău intenționat și dvs. sau administratorii responsabili pentru a răspunde alertelor IDS trebuie să înțeleagă ce înseamnă semnalările și cum să răspundă eficient.