Sistem za odkrivanje vdorov (IDS) nadzira omrežni promet in nadzoruje sumljive dejavnosti ter opozarja na skrbnika sistema ali omrežja. V nekaterih primerih se lahko IDS odzove tudi na nepravilen ali zlonameren promet, tako da se z ukrepanjem, kot je blokiranje uporabnika ali izvornega IP-naslova od dostopa do omrežja.
IDS prihajajo v različne "okuse" in približajo cilju odkrivanja sumljivega prometa na različne načine. Obstajajo mrežni sistemi (NIDS) in sistemi za odkrivanje vdorov (HIDS). Obstajajo IDS, ki zaznajo na podlagi iskanja posebnih znakov znanih groženj - podobno kot način, kako protivirusna programska oprema običajno zazna in ščiti pred zlonamerno programsko opremo, in obstajajo IDS, ki zaznavajo na podlagi primerjave vzorcev prometa z osnovno linijo in iščejo anomalije. Obstajajo IDS, ki preprosto nadzorujejo in opozarjajo in obstajajo IDS, ki izvajajo dejanje ali dejanja kot odgovor na ugotovljeno grožnjo. Na kratko bomo pokrili vsako od teh.
NIDS
Sistemi za zaznavanje napak v omrežju so postavljeni na strateški točki ali točke v omrežju, da bi spremljali promet na in iz vseh naprav v omrežju. V idealnem primeru bi optično prebrali vhodni in izhodni promet, vendar bi to lahko ustvarilo ozko grlo, ki bi škodovalo celotni hitrosti omrežja.
HIDS
Sistemi za zaznavanje vdorov gostiteljev delujejo na posameznih gostiteljih ali napravah v omrežju. HIDS nadzoruje vhodne in odhodne pakete iz naprave samo in opozori uporabnika ali skrbnika sumljivih dejavnosti
Podpis temelji
IDS, ki temelji na podpisu, bo spremljal pakete v omrežju in jih primerjal z bazo podatkov o podpisih ali atributih iz znanih zlonamernih groženj. To je podobno kot večina protivirusne programske opreme zazna zlonamerno programsko opremo. Vprašanje je, da bo prišlo do zamika med novo odkrito grožnjo v naravi in podpisom za odkrivanje te grožnje, ki se uporablja za vaše IDS. V tem časovnem zamiku vaš IDS ne bi mogel zaznati nove grožnje.
Anomalija temelji
IDS, ki temelji na anomaliji, bo spremljal omrežni promet in ga primerjal z uveljavljenim izhodiščem. Osnovna linija bo določila, kaj je "običajno" za to omrežje, kakšno pasovno širino se običajno uporablja, katere protokole se uporabljajo, katera vrata in naprave se običajno medsebojno povezujejo, ter opozorijo skrbnika ali uporabnika, ko je zaznan promet, kar je nepravilno, ali se bistveno razlikuje od izhodiščne vrednosti.
Pasivni IDS
Pasivni IDS preprosto zazna in opozori. Če je zaznan sumljiv ali zlonamerni promet, se generira opozorilo in ga pošlje administratorju ali uporabniku, zato je treba ukrepati, da blokira dejavnost ali da se odzove na kakšen način.
Reaktivni IDS
Reaktivni IDS ne bo zaznal le sumljivega ali zlonamernega prometa in opozoril skrbnika, temveč bo vnaprej določil proaktivno delovanje, da bi se odzval na grožnjo. To običajno pomeni blokiranje morebitnega nadaljnjega omrežnega prometa od izvornega IP-naslova ali uporabnika.
Eden od najbolj znanih in široko uporabljanih sistemov za odkrivanje vdorov je odprtokodno, prosto dostopen Snort. Na voljo je za številne platforme in operacijske sisteme, vključno z Linuxom in operacijskim sistemom Windows . Snort ima veliko in zvesto spremljanje in na voljo je veliko virov na internetu, kjer lahko pridobite podpise za izvajanje za odkrivanje najnovejših groženj. Za druge brezplačne aplikacije za zaznavanje vdorov lahko obiščete program za odkrivanje napak.
Med požarnim zidom in IDS je črta črta. Obstaja tudi tehnologija, imenovana IPS - Sistem za preprečevanje vdorov . IPS je v bistvu požarni zid, ki združuje filtriranje ravni omrežja in aplikacij z reaktivnim IDS-jem za proaktivno zaščito omrežja. Zdi se, da sčasoma potekajo požarni zidovi, IDS in IPS prevzemata več atributov drug drugemu in še bolj zamegljujeta vrstico.
V bistvu je vaš požarni zid vaša prva linija obrambe obrobja. Najboljše prakse priporočajo, da je vaš požarni zid izrecno konfiguriran za DENY vse dohodni promet, nato pa odprete luknje, kjer je to potrebno. Morda boste morali odpreti vrata 80, če želite gostiti spletne strani ali vrata 21, če želite gostiti datotečni strežnik FTP . Vsaka od teh lukenj je morda potrebna z enega vidika, vendar tudi predstavljajo možne vektorje za zlonamerni promet, da vstopijo v vaše omrežje, namesto da jih požarni zid blokira.
Tam je prišlo do vašega IDS-a. Ali boste implementirali NIDS v celotnem omrežju ali HIDS na vaši določeni napravi, bo IDS spremljal vhodni in izhodni promet ter prepoznal sumljiv ali zlonameren promet, ki bi lahko nekako obšel vaš požarni zid ali lahko izvirajo tudi iz vašega omrežja.
IDS je lahko odlično orodje za proaktivno spremljanje in zaščito vašega omrežja pred zlonamerno dejavnostjo, vendar so tudi nagnjeni k lažnim alarmom. S skoraj katero koli rešitvijo IDS, ki jo implementirate, boste morali »nastaviti«, ko je prvič nameščen. Potrebujete IDS, ki je pravilno nastavljen, da prepozna, kaj je običajni promet v vašem omrežju, kar je lahko zlonamerni promet, in vi ali skrbniki, odgovorni za odzivanje na opozorila IDS, morajo razumeti, kaj opozorila pomenijo in kako se učinkovito odzvati.