Systém detekce narušení (IDS) monitoruje síťový provoz a monitoruje podezřelou činnost a upozorňuje správce systému nebo sítě. V některých případech může IDS také reagovat na anomální nebo škodlivou komunikaci tím, že provede kroky, jako je například blokování uživatele nebo zdrojové IP adresy z přístupu do sítě.
IDS přicházejí s různými "příchutěmi" a přistupují k cíli detekce podezřelé dopravy různými způsoby. Existují síťové systémy (NIDS) a hostitelské systémy detekce narušení (HIDS). Existují identifikátory IDS, které zjišťují na základě vyhledání konkrétních podpisů známých hrozeb - podobných způsobu, jakým antivirový software typicky detekuje a chrání před malwarem - a existují identifikátory IDS, které zjišťují na základě porovnání dopravních vzorů proti základní linii a hledání anomálií. Existují IDS, které jednoduše monitorují a upozorňují a existují IDS, které provádějí akce nebo akce v reakci na zjištěnou hrozbu. Každé z nich krátce pokryjeme.
NIDS
Systémy detekce narušení sítě jsou umístěny ve strategickém bodě nebo bodech v síti a monitorují provoz na všech zařízeních v síti a ze všech zařízení. V ideálním případě byste skenovali veškerou příchozí a odchozí komunikaci, nicméně by to mohlo vytvořit překážku, která by narušila celkovou rychlost sítě.
HIDS
Systémy detekce narušení hostitele jsou spuštěny na jednotlivých počítačích nebo zařízeních v síti. HIDS monitoruje pouze příchozí a odchozí pakety ze zařízení a upozorní uživatele nebo správce podezřelé aktivity
Podpis založen
IDS založené na podpisu bude monitorovat pakety v síti a porovnávat je s databází podpisů nebo atributů ze známých škodlivých hrozeb. To je podobné způsobu, jakým většina antivirových programů detekuje malware. Problém spočívá v tom, že mezi novou hrozbou, která se objeví ve volné přírodě, a podpisem pro zjištění, že hrozba bude aplikována na vaši IDS, bude zpoždění. Během této doby zpoždění vaše IDS nebude schopno odhalit novou hrozbu.
Anomálie založená
IDS, který je založen na anomáliích, bude sledovat síťový provoz a porovnávat ho se zavedenou základní čárou. Výchozí hodnota určuje, co je pro danou síť "normální" - jaká šířka pásma se obecně používá, jaké protokoly se používají, jaké porty a zařízení se obecně navzájem propojují - a upozorní administrátora nebo uživatele, když je detekován provoz, který je anomální, nebo výrazně odlišné od základní linie.
Pasivní IDS
Pasivní IDS jednoduše detekuje a upozorňuje. Pokud je zjištěna podezřelá nebo škodlivá návštěvnost, generuje se výstraha a odesílá se správci nebo uživateli a je na nich, aby podnikli kroky k blokování aktivity nebo k nějaké reakci.
Reaktivní IDS
Reaktivní identifikátor IDS nejen detekuje podezřelou nebo škodlivou návštěvnost a upozorní administrátora, ale přijme předdefinované proaktivní akce, aby reagoval na hrozbu. Obvykle to znamená blokování jakékoliv další síťové komunikace ze zdrojové adresy IP nebo uživatele.
Jedním z nejznámějších a nejrozšířenějších systémů detekce narušení je otevřený zdroj, volně dostupný Snort. Je k dispozici pro řadu platforem a operačních systémů včetně Linuxu a Windows . Snort má velké a věrné sledování a na internetu existuje mnoho zdrojů, kde můžete získat podpisy k implementaci, aby zjistili nejnovější hrozby. V případě dalších aplikací pro detekci narušení obsahu můžete navštívit bezplatný software pro detekci narušení .
Mezi firewallem a IDS existuje jemná čára. Existuje také technologie nazvaná IPS - systém prevence narušení . IPS je v podstatě firewall, který kombinuje filtrování na úrovni sítě a aplikace na reaktivní IDS pro aktivní ochranu sítě. Zdá se, že jak čas běží na firewalls, IDS a IPS přebírají více atributů od sebe navzájem a rozostří linku ještě víc.
V podstatě váš firewall je vaší první řadou obvodové obrany. Doporučené postupy doporučují, aby byl firewall explicitně nakonfigurován tak, aby DENY veškerou příchozí komunikaci a v případě potřeby otevřete jamky. Možná budete muset otevřít port 80 pro hostitelské webové servery nebo port 21 pro hostování souborového serveru FTP . Každá z těchto děr může být nutná z jednoho hlediska, ale také představují možné vektory pro škodlivý provoz, aby se dostaly do vaší sítě, místo aby byly blokovány firewallem.
To je místo, kde vaše IDS přijde. Ať už implementujete NIDS v celé síti, nebo HIDS na vašem konkrétním zařízení, bude IDS monitorovat příchozí a odchozí provoz a identifikovat podezřelou nebo škodlivou komunikaci, která může nějak nějak obejdila váš firewall nebo by mohla pocházet také z vaší sítě.
IDS může být skvělým nástrojem pro aktivní sledování a ochranu sítě před škodlivými aktivitami, ale jsou také náchylné k falešným poplachům. S téměř libovolným řešením IDS, které implementujete, budete muset "naladit", jakmile je poprvé nainstalován. Potřebujete, aby IDS byl správně nakonfigurován tak, aby rozpoznal, co je normální provoz ve vaší síti, a co může být škodlivý provoz, a vy nebo administrátoři odpovědní za reakci na varování IDS potřebujete pochopit, co znamenají výstrahy a jak účinně reagovat.