Сістэма выяўлення ўварванняў (IDS) кантралюе сеткавы трафік і кантралюе падазроную актыўнасць і папярэджвае сістэму або адміністратар сеткі. У некаторых выпадках, IDS можа таксама рэагаваць на анамальны або зламысны трафік шляхам прыняцця адпаведных мер , такія як блакаванне карыстальніка ці зыходны IP - адрасы доступу да сеткі.
IDS пастаўляюцца ў розных «густаў» і наблізіцца да мэты выяўлення падазроных трафіку па-рознаму. Ёсць сетка на аснове (НДІ) і хост (HIDS) сістэмы выяўлення ўварвання на аснове. Ёсць IDS , якія дэтэктуюць заснаваныя на пошуку канкрэтных сігнатур вядомых threats- аналагічна таму, як антывіруснае праграмнае забеспячэнне , як правіла , выяўляе і абараняе ад malware- і ёсць IDS , якія выяўляюць на аснове параўнання мадэляў трафіку ад базавай лініі і шукае анамалій. Ёсць IDS, якія проста кантраляваць і апавяшчэнне і ёсць IDS, якія выконваюць дзеянні або дзеянні ў адказ на выяўленую пагрозу. Мы разгледзім кожны з гэтых коратка.
НДІ
Сеткавыя сістэмы выяўлення ўварванняў размешчаны ў стратэгічнай кропцы або кропках ў сетцы для маніторынгу трафіку і ад усіх прылад у сеткі. У ідэале, вы павінны сканаваць увесь уваходны і выходны трафік, аднак рабіць гэта можа стварыць вузкае месца, што б парушыць агульную хуткасць працы сеткі.
HIDS
Выяўленне хаста сістэмы ўварванняў выконваюцца на асобных вузлоў ці прылад у сеткі. HIDS кантралюе ўваходныя і выходныя пакеты толькі з прылады і апавяшчае карыстальніка ці адміністратара падазронай актыўнасці знойдзены
Подпіс На падставе
Подпіс на аснове IDS будзе сачыць за перадаюцца пакеты і параўнаць іх з базай дадзеных сігнатур або атрыбутамі ад вядомых шкоднасных праграм. Гэта падобна на тое, як большасць антывірусных праграм выяўляюць шкоднасныя праграмы. Праблема ў тым, што будзе затрымка паміж новай пагрозай быць выяўленай у дзікай прыродзе і подпіс для выяўлення гэтай пагрозы прымянення да IDS. На працягу гэтага часу затрымкі, вашы IDS не змогуць выявіць новую пагрозу.
анамалія Based
IDS, якая анамалія на аснове будзе ажыццяўляць маніторынг сеткавага трафіку і параўнаць яго з усталяванай базавай лініяй. Базавую будзе вызначаць, што з'яўляецца "нармальным" для гэтага сотавай сеткі, якая шырыня паласы звычайна выкарыстоўваюць, якія пратаколы выкарыстоўваюцца, якія парты і прылады звычайна падключаюцца да кожнага Другие- і папярэдзіць адміністратар або карыстальнік пры выяўленні трафіку, які з'яўляецца анамальным, або значна адрозніваецца ад зыходнага ўзроўню.
пасіўныя IDS
Пасіўная IDS проста выяўляе і папярэджвае. Калі падазроны або шкоднасны трафік выяўляецца папярэджанне генеруецца і адпраўляецца адміністратару або карыстачу, і гэта да іх, каб прыняць меры, каб блакаваць актыўнасць або рэагаваць нейкім чынам.
рэактыўныя IDS
Рэакцыйна-IDS не толькі выяўляць падазроныя або зламысны трафік і папярэджвае адміністратара, але будзе прымаць загадзя вызначаныя актыўныя дзеянні ў адказ на пагрозу. Як правіла , гэта азначае , што любое далейшае блякаваньне сеткавага трафіку ад зыходнага IP - адрасы або карыстальніка.
Адным з найбольш вядомых і шырока выкарыстоўваюцца сістэм выяўлення ўварванняў з'яўляюцца адкрытым зыходным кодам, свабодна даступная Snort. Ён даступны для шэрагу платформаў і аперацыйных сістэм , у тым ліку як Linux і Windows , . Snort мае вялікія і верныя паслядоўнік, і ёсць шмат рэсурсаў, даступных у Інтэрнэце, дзе вы можаце набыць подпісы рэалізаваць для выяўлення новых пагроз. Для іншых бясплатных прыкладанняў выяўлення ўварванняў, вы можаце наведаць бясплатнае праграмнае забеспячэнне выяўлення ўварванняў .
Існуе тонкая грань паміж брандмаўарам і IDS. Існуе таксама тэхналогія пад назвай IPS - Сістэма прадухілення ўварванняў . IPS, па сутнасці, міжсеткавы экран, які спалучае ў сабе сетка ўзроўню і фільтрацыю на ўзровень прыкладанняў з рэактыўнай IDS проактивно абараніць сетку. Здаецца, што з цягам часу брандмаўэраў, IDS і IPS бяруць больш атрыбутаў адзін ад аднаго і сціраюць грань яшчэ больш.
Па сутнасці, ваш брандмаўэр ваша першая лінія абароны перыметра. Лепшыя практыкі рэкамендуюць ваш брандмаўэр відавочна настроены на забарону ўвесь ўваходны трафік , а затым вы адкрываеце адтуліны , дзе гэта неабходна. Вы , магчыма , спатрэбіцца адкрыць порт 80 для размяшчэння вэб - сайтаў або порт 21 для размяшчэння ў файл FTP - сервер . Кожнае з гэтых адтулін можа быць неабходна з аднаго пункту гледжання, але яны таксама ўяўляюць сабой магчымыя вектары шкоднаснага трафіку, каб увайсці ў сетку, а не блакуецца брандмаўарам.
Гэта значыць , дзе вашыя IDS будуць ўвайсці ў сістэму. Калі рэалізаваць вы ў NIDS па ўсёй сеткі або HIDS ад канкрэтнага прылады, то IDS будзе кантраляваць уваходны і выходны трафік і ідэнтыфікаваць падазроны або шкоднасны трафік , які можа які - то чынам абышоў брандмаўэр або яго мог быць тым, што адбываецца ўнутры вашай сеткі, а таксама.
IDS можа быць выдатным інструментам для папераджальнага маніторынгу і абароны вашай сеткі ад шкоднаснай актыўнасці, аднак, яны таксама схільныя да ілжывых трывогі. З дапамогай ўсяго толькі аб любым рашэнні IDS вы рэалізуеце вам трэба «наладзіць яго», калі ён будзе першым усталяваны. Вы маеце патрэбу ў IDS павінен быць правільна сканфігураваны, каб распазнаць, што з'яўляецца нармальным трафікам у сеткі супраць таго, што можа быць шкоднасны трафік, і вы, або адміністратары, адказныя за рэагаванне на сігналы трывогі IDS, неабходна зразумець, што сігналы азначаюць і як эфектыўна рэагаваць.