Ένα σύστημα ανίχνευσης εισβολών (IDS) παρακολουθεί την κυκλοφορία δικτύου και παρακολουθεί για ύποπτη δραστηριότητα και προειδοποιεί το διαχειριστή συστήματος ή δικτύου. Σε ορισμένες περιπτώσεις, το IDS μπορεί επίσης να ανταποκρίνεται σε ανώμαλη ή κακόβουλη κίνηση, λαμβάνοντας μέτρα όπως το να εμποδίζει τη σύνδεση του χρήστη ή της διεύθυνσης IP πηγής από την πρόσβαση στο δίκτυο.
Το IDS έρχεται σε μια ποικιλία "γεύσεων" και προσεγγίζει το στόχο της ανίχνευσης ύποπτης κίνησης με διάφορους τρόπους. Υπάρχουν συστήματα ανίχνευσης διείσδυσης που βασίζονται στο δίκτυο (NIDS) και βασισμένα στον κεντρικό υπολογιστή (HIDS). Υπάρχουν IDS που ανιχνεύουν με βάση την αναζήτηση συγκεκριμένων υπογραφών γνωστών απειλών - παρόμοιο με τον τρόπο που το λογισμικό εντοπισμού ιών τυπικά εντοπίζει και προστατεύει από κακόβουλο λογισμικό - και υπάρχουν IDS που ανιχνεύουν με βάση τη σύγκριση των μοντέλων κυκλοφορίας με βάση τη γραμμή βάσης και την αναζήτηση ανωμαλιών. Υπάρχουν IDS που απλά παρακολουθούν και ειδοποιούν και υπάρχουν IDS που εκτελούν μια ενέργεια ή ενέργειες σε απόκριση μιας ανιχνευθείσας απειλής. Θα καλύψουμε κάθε ένα από αυτά σύντομα.
NIDS
Τα συστήματα ανίχνευσης εισβολής δικτύου τοποθετούνται σε ένα στρατηγικό σημείο ή σημεία εντός του δικτύου για την παρακολούθηση της επισκεψιμότητας προς και από όλες τις συσκευές του δικτύου. Στην ιδανική περίπτωση, θα σαρώσετε όλες τις εισερχόμενες και εξερχόμενες κυκλοφορίες, όμως αυτό μπορεί να δημιουργήσει μια συμφόρηση που θα μπορούσε να επηρεάσει τη συνολική ταχύτητα του δικτύου.
HIDS
Τα συστήματα ανίχνευσης εισβολης υποδοχής εκτελούνται σε μεμονωμένους κεντρικούς υπολογιστές ή συσκευές στο δίκτυο. Ένας HIDS παρακολουθεί τα εισερχόμενα και εξερχόμενα πακέτα από τη συσκευή μόνο και θα ειδοποιεί τον χρήστη ή τον διαχειριστή της ύποπτης δραστηριότητας ανιχνεύεται
Υπογραφή βάσει
Ένα IDS με βάση την υπογραφή θα παρακολουθεί τα πακέτα στο δίκτυο και θα τα συγκρίνει με μια βάση δεδομένων με υπογραφές ή ιδιότητες από γνωστές κακόβουλες απειλές. Αυτό είναι παρόμοιο με τον τρόπο που τα περισσότερα προγράμματα προστασίας από ιούς ανιχνεύουν κακόβουλα προγράμματα. Το ζήτημα είναι ότι θα υπάρξει μια καθυστέρηση μεταξύ μιας νέας απειλής που θα ανακαλυφθεί στην άγρια φύση και της υπογραφής για την ανίχνευση της απειλής που θα εφαρμοστεί στην IDS σας. Κατά τη διάρκεια αυτού του χρόνου καθυστέρησης, το IDS σας δεν θα ήταν σε θέση να ανιχνεύσει τη νέα απειλή.
Βάση ανωμαλιών
Ένα IDS που βασίζεται σε ανωμαλίες θα παρακολουθεί την κυκλοφορία του δικτύου και θα το συγκρίνει με μια καθορισμένη γραμμή βάσης. Η βασική γραμμή θα προσδιορίσει τι είναι "φυσιολογικό" για αυτό το δίκτυο - ποιο είδος εύρους ζώνης χρησιμοποιείται γενικά, ποια πρωτόκολλα χρησιμοποιούνται, ποιες θύρες και συσκευές γενικά συνδέονται μεταξύ τους- και προειδοποιούν τον διαχειριστή ή το χρήστη όταν εντοπιστεί η κυκλοφορία που είναι ανώμαλη, ή σημαντικά διαφορετική από τη γραμμή βάσης.
Παθητική IDS
Ένα παθητικό IDS ανιχνεύει και ειδοποιεί απλώς. Όταν εντοπίζεται ύποπτη ή κακόβουλη επισκεψιμότητα, δημιουργείται μια ειδοποίηση και αποστέλλεται στον διαχειριστή ή χρήστη και εναπόκειται σε αυτούς να αναλάβουν δράση για να αποκλείσουν τη δραστηριότητα ή να απαντήσουν με κάποιο τρόπο.
Αδρανής IDS
Ένα ενεργό IDS όχι μόνο θα ανιχνεύει ύποπτη ή κακόβουλη επισκεψιμότητα και θα ειδοποιεί τον διαχειριστή, αλλά θα λαμβάνει προκαθορισμένες ενεργητικές ενέργειες για να ανταποκριθεί στην απειλή. Τυπικά, αυτό σημαίνει ότι πρέπει να αποκλείσετε οποιαδήποτε περαιτέρω κίνηση δικτύου από τη διεύθυνση IP του χρήστη ή τον χρήστη.
Ένα από τα πιο γνωστά και ευρέως χρησιμοποιούμενα συστήματα ανίχνευσης εισβολών είναι η ανοιχτή πηγή, η ελεύθερη Snort. Διατίθεται για διάφορες πλατφόρμες και λειτουργικά συστήματα, συμπεριλαμβανομένων των Linux και Windows . Το Snort έχει μια μεγάλη και πιστή ακολουθία και υπάρχουν πολλοί πόροι που διατίθενται στο Διαδίκτυο όπου μπορείτε να αποκτήσετε υπογραφές για να εφαρμόσετε για να ανιχνεύσετε τις τελευταίες απειλές. Για άλλες εφαρμογές δωρεάν ανίχνευσης εισβολής, μπορείτε να επισκεφτείτε το λογισμικό ανίχνευσης εισβολών .
Υπάρχει μια λεπτή γραμμή μεταξύ ενός τείχους προστασίας και ενός IDS. Υπάρχει επίσης μια τεχνολογία που ονομάζεται IPS - Σύστημα πρόληψης εισβολής . Ένα IPS είναι ουσιαστικά ένα τείχος προστασίας που συνδυάζει φιλτράρισμα σε επίπεδο δικτύου και επίπεδο εφαρμογής με ένα ενεργό IDS για την ενεργητική προστασία του δικτύου. Φαίνεται ότι με το πέρασμα του χρόνου στα τείχη προστασίας, το IDS και το IPS παίρνουν περισσότερα χαρακτηριστικά από το άλλο και θολώνουν τη γραμμή ακόμη περισσότερο.
Ουσιαστικά, το τείχος προστασίας είναι η πρώτη σας γραμμή περιμετρικής άμυνας. Οι βέλτιστες πρακτικές συνιστούν το τείχος προστασίας σας να έχει ρυθμιστεί ρητά ώστε να DENY όλη την εισερχόμενη κίνηση και στη συνέχεια να ανοίξετε τρύπες όπου χρειάζεται. Ίσως χρειαστεί να ανοίξετε τη θύρα 80 για να φιλοξενήσετε ιστότοπους ή τη θύρα 21 για να φιλοξενήσετε έναν διακομιστή αρχείων FTP . Κάθε μία από αυτές τις οπές μπορεί να είναι απαραίτητη από μία άποψη, αλλά επίσης αντιπροσωπεύουν πιθανούς φορείς για κακόβουλη κυκλοφορία για να εισέλθουν στο δίκτυό σας παρά να μπλοκάρονται από το τείχος προστασίας.
Αυτός είναι ο τόπος όπου θα εισέλθει το IDS σας. Είτε εφαρμόζετε ένα NIDS σε ολόκληρο το δίκτυο είτε ένα HIDS στη συγκεκριμένη συσκευή σας, το IDS θα παρακολουθεί την εισερχόμενη και εξερχόμενη κίνηση και θα εντοπίζει την ύποπτη ή κακόβουλη κίνηση που μπορεί να παρακάμψει κάπως το τείχος προστασίας σας θα μπορούσε ενδεχομένως να προέρχεται και από το εσωτερικό του δικτύου σας.
Ένα IDS μπορεί να είναι ένα εξαιρετικό εργαλείο για την ενεργό παρακολούθηση και προστασία του δικτύου σας από κακόβουλη δραστηριότητα, ωστόσο είναι επίσης επιρρεπείς σε ψευδείς συναγερμούς. Με σχεδόν οποιαδήποτε λύση IDS που εφαρμόζετε, θα πρέπει να "συντονιστείτε" μόλις εγκατασταθεί. Χρειάζεται να διαμορφωθεί σωστά το IDS για να αναγνωρίσει ποια είναι η κανονική κίνηση στο δίκτυό σας σε σχέση με το τι μπορεί να είναι κακόβουλη επισκεψιμότητα και εσείς ή οι διαχειριστές που είναι υπεύθυνοι για την απάντηση στις ειδοποιήσεις IDS πρέπει να κατανοήσουν τι σημαίνουν οι ειδοποιήσεις και πώς να ανταποκρίνονται αποτελεσματικά.