A behatolásérzékelő rendszer (IDS) felügyeli a hálózati forgalmat és figyeli a gyanús tevékenységeket, és figyelmezteti a rendszert vagy a hálózati rendszergazdát. Bizonyos esetekben az IDS az anomális vagy rosszindulatú forgalomra is válaszolhat, például olyan lépések megtétele révén, mint például a felhasználó vagy a forrás IP-címe blokkolása a hálózat eléréséből.
Az IDS számos "ízben" jön, és megközelíti a gyanús forgalom különböző módon történő felderítésének célját. Vannak hálózati alapú (NIDS) és host-alapú (HIDS) behatolásérzékelő rendszerek. Vannak olyan IDS-ek, amelyek észlelik az ismert fenyegetések konkrét aláírásait - hasonlóan a vírusvédelmi szoftverek tipikus észleléséhez és védelméhez a rosszindulatú programoktól -, és vannak olyan IDS-ek, amelyek a forgalmi minták összehasonlítását és az anomáliákat keressék. Vannak olyan IDS-ek, amelyek egyszerűen megfigyelik és riasztják, és vannak olyan IDS-ek, amelyek egy észlelt fenyegetésre reagálva cselekvést vagy műveletet hajtanak végre. Röviden összefoglaljuk mindegyiket.
NIDS
A hálózati behatolásérzékelő rendszerek a stratégiai ponton vagy a hálózaton belüli pontokon helyezkednek el, hogy megfigyeljék a forgalmat a hálózaton lévő összes eszközre és onnan. Ideális esetben minden bejövő és kimenő forgalmat beolvashatsz, ennek ellenére szűk keresztmetszet keletkezhet, ami hátrányosan befolyásolná a hálózat teljes sebességét.
HIDS
A bejövő behatolásérzékelő rendszereket az egyes állomásokon vagy a hálózaton lévő eszközökön futtatják. A HIDS figyeli a bejövő és kimenő csomagokat az eszközről, és figyelmezteti a felhasználót vagy a rendszergazda gyanús tevékenységének észlelését
Aláírás alapú
Az aláírás-alapú IDS figyeli a hálózaton lévő csomagokat, és összehasonlítja azokat az aláírások vagy attribútumok adatbázisával az ismert rosszindulatú fenyegetésekkel. Ez hasonlít a legtöbb víruskereső szoftver rosszindulatú programot észlel. A probléma az, hogy lesz egy késedelem az új vadon felfedezett fenyegetés és az aláírás között, hogy észleljük az Ön IDS-jére alkalmazott fenyegetést. E késleltetés során az IDS nem tudta felismerni az új fenyegetést.
Anomália alapú
Az anomálián alapuló IDS monitorozza a hálózati forgalmat, és összehasonlítja azt egy meghatározott kiindulási értékkel. Az alapvonal meghatározza, hogy mi a "normális" a hálózathoz - milyen sávszélességet szoktak használni, milyen protokollokat használnak, milyen portokat és eszközöket általában összekapcsolnak egymással -, és figyelmezteti a rendszergazdát vagy a felhasználót, amikor a forgalom érzékelhető, vagy lényegesen különbözik a kiindulási értéktől.
Passzív IDS
A passzív IDS egyszerűen észleli és riasztja. Gyanús vagy rosszindulatú forgalom észlelésekor riasztás generálódik és elküldve az adminisztrátornak vagy a felhasználónak, és ezeken keresztül cselekvésre van szükség, hogy blokkolják a tevékenységet vagy valamilyen módon reagáljanak.
Reaktív IDS
A reaktív IDS nem csak gyanús vagy rosszindulatú forgalmat észlel, és riasztja a rendszergazdát, de előre meghatározott proaktív lépéseket fog végrehajtani a veszélyre. Ez tipikusan azt jelenti, hogy blokkolja a további hálózati forgalmat a forrás IP-címéről vagy felhasználójáról.
Az egyik legismertebb és legelterjedtebb behatolásérzékelő rendszer a szabad forrás, szabadon elérhető Snort. Számos platformra és operációs rendszerre érhető el, beleértve a Linuxot és a Windows operációs rendszert is. A Snortnak nagy és hűséges követése van, és sok olyan erőforrás áll rendelkezésre az interneten, ahol a legújabb fenyegetések észlelésére alkalmas aláírásokat szerezhet. Más ingyenes behatolásérzékelő alkalmazásokhoz látogasson el a Free Intrusion Detection szoftverhez .
Van egy finom vonal a tűzfal és az IDS között. Van egy IPS - Intrusion Prevention System nevű technológia is. Az IPS alapvetően tűzfal, amely a hálózati szintű és az alkalmazás szintű szűrést ötvözi egy reaktív IDS-szel a hálózat proaktív védelmére. Úgy tűnik, hogy az idő múlik a tűzfalakon, az IDS és az IPS több attribútumot vesz át egymástól, és még inkább elhomályosítja a vonalat.
Lényegében a tűzfal az első vonal védelmi vonal. A legjobb gyakorlatok azt javasolják, hogy a tűzfal kifejezetten úgy legyen beállítva, hogy DENY minden bejövő forgalmat, és szükség esetén lyukat nyit. Előfordulhat, hogy a 80-as portot meg kell nyitnia a webhelyek vagy a 21-es portok fogadására FTP-fájlkiszolgáló fogadására. Mindegyik lyuk egy szempontból szükségessé válhat, de a rosszindulatú forgalmat is lehetővé tevő vektorok a hálózatba való belépéshez, nem pedig a tűzfal blokkolásához.
Ez az, ahol az IDS jön be. Ha az NIDS-et az egész hálózaton vagy a HIDS-en végrehajtja az adott eszközön, az IDS figyelemmel fogja kísérni a bejövő és kimenő forgalmat, és azonosítani fogja a gyanús vagy rosszindulatú forgalmat, amely valamilyen módon megkerülheti a tűzfalat esetleg a hálózat belsejéből származhat.
Az IDS egy nagyszerű eszköz lehet a hálózat proaktív megfigyelésére és védelmére a rosszindulatú tevékenységektől, de téves riasztásokra is hajlamos. Csak az Ön által végrehajtott bármely IDS megoldás után kell telepítenie az első telepítést követően. Szüksége van arra, hogy az IDS megfelelően konfigurálva legyen, hogy felismerje, hogy mi a szokásos forgalom a hálózaton, és mi lehet rosszindulatú forgalom, és Önnek vagy az IDS-figyelmeztetésekre való válaszadásért felelős adminisztrátoroknak meg kell érteniük, hogy a figyelmeztető jelzések mit jelentenek és hogyan reagálhatnak hatékonyan.