Systém detekcie narušenia (IDS) monitoruje sieťový prenos a monitoruje podozrivú aktivitu a upozorňuje správcu systému alebo siete. V niektorých prípadoch môže IDS tiež reagovať na anomálnu alebo škodlivú návštevnosť tým, že podnikne kroky, ako je blokovanie používateľa alebo zdrojovej adresy IP z prístupu do siete.
IDS prichádzajú v rôznych "príchutiach" a pristupujú k cieľu detekcie podozrivej prevádzky rôznymi spôsobmi. Existujú systémy založené na sieti (NIDS) a hostiteľské systémy (HIDS). Existujú identifikátory IDS, ktoré zisťujú, že hľadajú konkrétne podpisy známych hrozieb - podobne ako antivírusový softvér zvyčajne detekuje a chráni pred škodlivým softvérom - a existujú identifikátory IDS, ktoré zisťujú na základe porovnania dopravných vzorov proti základnej línii a hľadania anomálií. Existujú IDS, ktoré jednoducho monitorujú a upozorňujú a existujú IDS, ktoré vykonávajú akciu alebo akcie v reakcii na zistené hrozby. Každú z nich budeme stručne pokryť.
NIDS
Systémy detekcie narušenia siete sú umiestnené v strategickom bode alebo v rámci siete a monitorujú tak dopravu do a zo všetkých zariadení v sieti. V ideálnom prípade by ste skenovali všetku prichádzajúcu a odchádzajúcu prevádzku, čo by však mohlo vytvoriť prekážku, ktorá by narušila celkovú rýchlosť siete.
HIDS
Systémy detekcie narušenia hostiteľa sa spúšťajú na jednotlivých počítačoch alebo zariadeniach v sieti. HIDS monitoruje iba prichádzajúce a odchádzajúce pakety zo zariadenia a upozorní používateľ alebo správcu podozrivej aktivity
Podpis založený
IDS založené na podpisoch bude monitorovať pakety v sieti a porovnávať ich s databázou podpisov alebo atribútov zo známych škodlivých hrozieb. Toto je podobné spôsobu, akým väčšina antivírusových programov zisťuje škodlivý softvér. Problémom je, že medzi novej hrozbe, ktorá sa objaví vo voľnej prírode, a podpisom na zistenie toho, že hrozba sa použije na váš IDS, nastane medzera. Počas tohto časového oneskorenia by vaša IDS nemohla zistiť novú hrozbu.
Anomálie založené
Systém IDS, ktorý je založený na anomáliách, bude monitorovať sieťový prenos a porovnávať ho so stanovenou základňou. Základná línia určí, čo je pre túto sieť "normálne" - aký druh šírky pásma sa bežne používa, aké protokoly sa používajú, aké porty a zariadenia sa vo všeobecnosti navzájom spájajú - a upozornenie správcu alebo používateľa, keď je zistená premávka, ktorá je anomálna, alebo výrazne odlišné od základnej línie.
Pasívne IDS
Pasívne IDS jednoducho zisťuje a upozorňuje. Keď sa zistí podozrivá alebo škodlivá návštevnosť, generuje sa upozornenie a odošle sa správcovi alebo používateľovi a je na nich, aby podnikli kroky na zablokovanie aktivity alebo na nejakú reakciu.
Reaktívne IDS
Reaktívny identifikátor IDS odhalí nielen podozrivú alebo škodlivú návštevnosť a upozorní administrátora, ale vykoná vopred definované proaktívne kroky, aby reagoval na hrozbu. Zvyčajne to znamená blokovanie akéhokoľvek ďalšieho sieťového prenosu zo zdrojovej adresy IP alebo používateľa.
Jedným z najznámejších a najpoužívanejších systémov na detekciu narušenia je otvorený zdroj, voľne dostupný Snort. Je k dispozícii pre množstvo platforiem a operačných systémov vrátane Linuxu a Windows . Snort má veľké a lojálne sledovanie a na internete je veľa zdrojov, kde môžete získať podpisy na implementáciu, aby ste zistili najnovšie hrozby. Ďalšie aplikácie na detekciu narušenia vniknutia môžete navštíviť softvér na detekciu narušenia narušení .
Medzi firewallom a identifikátorom IDS existuje jemná čiara. Existuje aj technológia IPS - systém prevencie narušenia . IPS je v podstate brána firewall, ktorá kombinuje filtrovanie na úrovni siete a aplikácie s reaktívnym IDS na proaktívnu ochranu siete. Zdá sa, že v čase, keď ide na firewally, IDS a IPS vzájomne získavajú ďalšie atribúty a ešte viac rozostreli riadok.
V podstate je vaša brána firewall vašou prvou obranou obvodu. Najlepšie postupy odporúčajú, aby bol vaša brána firewall explicitne nakonfigurovaná na DENY všetku prichádzajúcu prevádzku a v prípade potreby otvorte otvory. Možno budete musieť otvoriť port 80 na hostovanie webových stránok alebo port 21 na hostovanie súborového servera FTP . Každý z týchto otvorov môže byť potrebný z jedného hľadiska, ale predstavujú aj možné vektory pre zlomyseľnú prevádzku, aby vstúpili do vašej siete, a nie aby boli zablokované firewallom.
To je miesto, kde váš IDS príde dovnútra. Či už implementujete NIDS v celej sieti alebo HIDS na vašom konkrétnom zariadení, IDS bude monitorovať prichádzajúcu a odchádzajúcu návštevnosť a identifikovať podozrivú alebo škodlivú prevádzku, ktorá môže nejako vynechať váš firewall alebo by mohli pochádzať aj z vašej siete.
IDS môže byť skvelým nástrojom pro aktívne sledovanie a ochranu siete pred škodlivým činnosťou, ale sú tiež náchylné na falošné poplachy. S takmer akýmkoľvek riešením IDS, ktoré implementujete, budete musieť po jeho prvom nainštalovaní "vyladiť". Potrebujete, aby IDS bol správne nakonfigurovaný tak, aby rozpoznal, čo je normálna návštevnosť vo vašej sieti a čo môže byť škodlivý, a vy alebo administrátori zodpovední za reakciu na upozornenia IDS musíte pochopiť, čo znamenajú upozornenia a ako efektívne reagovať.