Sistemo de detección de intrusoj (IDS) kontrolas la trafikon de la reto kaj la monitoroj por sospechosas aktivecoj kaj ĝi alarmas la sistemon aŭ administranto de la reto. En iuj kazoj, la IDS ankaŭ povas respondi al anomala aŭ malica trafiko per agado, kiel bloki la uzanton aŭ fonto- adreson de aliro al la reto.
IDS venas en diversaj "gustoj" kaj alproksimigas la celon de detekti sospechosan trafikon en malsamaj manieroj. Estas sistemoj de detección de intrusoj bazitaj en reto (NIDS) kaj gastigantoj bazitaj (HIDS). Ekzistas IDS, kiuj detektas laŭ serĉado de specifaj subskriboj de konataj minacoj, simila al la maniero, kiel antivirus programaro tipe detektas kaj protektas kontraŭ malware- kaj ekzistas IDS, kiuj detektas bazante komparante trajtojn kontraŭ bazo de linio kaj serĉas anomaliojn. Ekzistas IDS, kiuj simple viglas kaj atentas kaj ekzistas IDS, kiuj agas aŭ agas en respondo al detektita minaco. Ni kovros ĉiun el ĉi tiuj brevemente.
NIDS
Reto-Detuzaj Detektaj Sistemoj estas metitaj ĉe strategia punkto aŭ punktoj ene de la reto por monitori trafikon al kaj de ĉiuj aparatoj en la reto. Ideale vi skanĉus ĉiujn enireblan kaj eksterordinaran trafikon, tamen tio fariĝus kruco de botelo, kiu malhelpas la ĝeneralan rapidon de la reto.
HIDOJ
Gastigaj Intrusion Detection Systems estas kuritaj sur individuaj gastigantoj aŭ aparatoj en la reto. HIDS kontrolas la enirebajn kaj eksterajn pakojn de la aparato nur kaj atentos la uzanton aŭ administranton de sospechosa aktiveco.
Subskribo Bazita
Subskriba IDS kontrolos pakojn en la reto kaj komparas ilin kontraŭ datumbazo de subskriboj aŭ atributoj de konataj malbonaj minacoj. Ĉi tio estas simila al la plej multaj antivirusaj programoj detektas malware. La afero estas, ke estos malfruo inter nova minaco malkovrita en la sovaĝa kaj subskribo por detekti tiun minacon aplikatan al via IDS. Dum tiu malforta tempo, via IDS ne povis detekti la novan minacon.
Bazo de anomalio
IDS, kiu estas bazita de anomalioj, monitoreos la reton trafikon kaj komparas ĝin kontraŭ establita linio. La baza linio identigos, kio estas "normala" por tiu reto - kia larĝa bando ĝenerale estas uzata, kiaj protokoloj estas uzataj, kiaj portoj kaj aparatoj ĝenerale konektas unu al la alia - kaj atentu la administranton aŭ uzanton kiam trafiko estas detektita, kio estas anomala, aŭ signife malsama ol la baza linio.
Pasiva IDS
Pasiva IDS simple detektas kaj atentigas. Kiam sospechosa aŭ malbona trafiko estas detektita, atentilo estas generita kaj sendita al la administranto aŭ uzanto, kaj ĝi konsistas al ili agi por bloki la aktivecon aŭ respondi de iu maniero.
Reaktiva IDS
Reaktiva IDS ne nur detektas sospechosan aŭ malbonan trafikon kaj atentos la administranton, sed prenos antaŭdifinitajn proactivajn agojn por respondi al la minaco. Tipe ĉi tio signifas bloki iun ajn alian reton trafikon de la fonto IP-adreso aŭ uzanto.
Unu el la plej konataj kaj vaste uzataj intrudaj detektivaj sistemoj estas la malferma fonto, libere disponebla Snort. Ĝi estas disponebla por multaj platformoj kaj mastrumaj sistemoj, inkluzive de Linukso kaj Vindozo . Snort havas grandan kaj lojan sekvan kaj multajn rimedojn haveblas en Interreto, kie vi povas akiri subskribojn por apliki por detekti la plej lastajn minacojn. Por aliaj programoj de detección de intrudoj de senpaga programaro, vi povas viziti Programon de Senpaga Detektado .
Estas bona linio inter fajroŝirmilo kaj IDS. Ankaŭ ekzistas teknologio nomita IPS - Intrusion Prevention System . IPS estas esence fajroŝirmilo, kiu kombinas reton-nivelon kaj aplik-nivelan filtradon kun reactiva IDS por protektante la reton. Ŝajnas, ke dum la tempo daŭras fajrebrilojn, IDS kaj IPS plu pli bone atribuas inter si kaj eĉ pli blurigas la linion.
Esence, via fajroŝirmilo estas via unua linio de perimetra arierulo. Plej bonaj praktikoj rekomendas, ke via fajroŝirmilo estu eksplicite agordita por DENI ĉiuj venontaj trafikoj kaj tiam vi malfermos truojn kie necesas. Vi eble bezonos malfermi havenon 80 por gastigi retejojn aŭ havenon 21 por gastigi FTP-dosieran servilon . Ĉiu el ĉi tiuj truoj eble necesas de unu vidpunkto, sed ili ankaŭ reprezentas eblajn vektorojn por malica trafiko eniri vian reton anstataŭ esti blokita de la fajrujo.
Jen via IDS enirita. Ĉu vi aplikos NIDS tra la tuta reto aŭ HIDS en via specifa aparato, la IDS prizorgos la eniron kaj eksteran trafikon kaj identigos sospezajn aŭ malbonajn trafikojn, kiuj eble malhelpis vian fajron aŭ ĝin Eble ankaŭ devenas de via reto.
IDS povas esti bonega ilo por antaŭvidi kaj protekti vian reton pro malica agado, tamen ili ankaŭ inklinas falsajn alarmojn. Kun preskaŭ ajna IDS-solvo, kiun vi efektivigas, vi devos "agordi ĝin", kiam ĝi unue estas instalita. Vi bezonas la IDS esti konvene agorditaj por agnoski, kio estas normala trafiko sur via reto, kontraŭ tio, kio povus esti malbona trafiko kaj vi, aŭ la administrantoj respondecaj pri respondo al IDS-alarmoj, devas kompreni, kion signifas la alarmoj, kaj kiel respondi efike.