'N Inbraak-opsporingstelsel (IDS) moniteer netwerkverkeer en monitors vir verdagte aktiwiteite en waarsku die stelsel of netwerkadministrateur. In sommige gevalle kan die IDS ook reageer op afwykende of kwaadwillige verkeer deur op te tree soos om die gebruiker of die bron- IP-adres te blokkeer om toegang tot die netwerk te verkry.
IDS kom in 'n verskeidenheid "geure" en benader die doel om verdagte verkeer op verskillende maniere op te spoor. Daar is netwerkgebaseerde (NIDS) en gasheergebaseerde (HIDS) inbraakdeteksiestelsels. Daar is IDS wat opspoor gebaseer op soek na spesifieke handtekeninge van bekende bedreigings - soortgelyk aan die manier waarop antivirusprogramme gewoonlik teen wanware opspoor en beskerm. Daar is IDS wat opspoor gebaseer op vergelyking van verkeerspatrone teen 'n basislyn en op soek na afwykings. Daar is IDS wat net monitor en waarskuwing en daar is IDS wat 'n aksie of aksies uitvoer in reaksie op 'n bespeurde bedreiging. Ons sal elkeen van hierdie kortliks dek.
NIDS
Netwerk Intrusion Detection Systems word geplaas op 'n strategiese punt of punte binne die netwerk om verkeer na en van alle toestelle op die netwerk te monitor. U sal ideaal gesproke alle inkomende en uitgaande verkeer skandeer. Dit kan egter 'n knelpunt skep wat die algehele spoed van die netwerk sal benadeel.
HIDS
Host Intrusion Detection Systems word uitgevoer op individuele leërskare of toestelle op die netwerk. 'N HIDS monitor slegs die inkomende en uitgaande pakkies vanaf die toestel en sal die gebruiker of administrateur waarsku dat verdagte aktiwiteit bespeur word, waarsku.
Handtekening gebaseer
'N Handtekeninggebaseerde IDS sal pakkies op die netwerk monitor en vergelyk met 'n databasis van handtekeninge of eienskappe van bekende kwaadwillige bedreigings. Dit is soortgelyk aan die manier waarop die meeste antivirusprogramme malware opspoor. Die probleem is dat daar 'n vertraging sal wees tussen 'n nuwe bedreiging wat in die natuur ontdek word en die handtekening vir die opsporing dat die bedreiging op u IDS toegepas word. Gedurende daardie vertragingstyd sal jou IDS nie die nuwe bedreiging kan opspoor nie.
Anomalie gebaseer
'N IDS wat anomalie gebaseer is, sal netwerkverkeer monitor en vergelyk met 'n gevestigde basislyn. Die basislyn sal identifiseer wat "normaal" vir daardie netwerk is - watter soort bandwydte word algemeen gebruik, watter protokolle word gebruik, watter poorte en toestelle verbind gewoonlik met mekaar - en waarsku die administrateur of gebruiker wanneer verkeer waargeneem word wat onwaarskynlik is, of aansienlik anders as die basislyn.
Passiewe IDS
'N Passiewe IDS ontdek eenvoudig en waarskuwings. Wanneer verdagte of kwaadwillige verkeer bespeur word, word 'n waarskuwing gegenereer en na die administrateur of gebruiker gestuur en dit is aan hulle om aksie te doen om die aktiwiteit te blokkeer of op een of ander wyse te reageer.
Reaktiewe IDS
'N Reaktiewe IDS sal nie net verdagte of kwaadwillige verkeer opspoor en die administrateur waarskuw nie, maar sal vooraf gedefinieerde proaktiewe aksies neem om te reageer op die bedreiging. Tipies beteken dit dat enige verdere netwerkverkeer vanaf die bron- IP-adres of gebruiker geblokkeer word.
Een van die bekendste en wydste inbraakdeteksiestelsels is die oopbron, vrylik beskikbare Snort. Dit is beskikbaar vir 'n aantal platforms en bedryfstelsels wat beide Linux en Windows insluit . Snort het 'n groot en lojale opsie en daar is baie hulpbronne beskikbaar op die internet waar jy handtekeninge kan opdoen om die nuutste dreigemente op te spoor. Vir ander freeware-indringingsdeteksie-toepassings, kan u gratis inbraakdetectie sagteware besoek .
Daar is 'n fyn lyn tussen 'n firewall en 'n IDS. Daar is ook 'n tegnologie genoem IPS - Intrusion Prevention System . 'N IPS is in wese 'n firewall wat die netwerkvlak- en toepassingsvlakfiltrering kombineer met 'n reaktiewe IDS om die netwerk proaktief te beskerm. Dit lyk asof die tydsduur op firewalls, IDS en IPS meer eienskappe van mekaar afneem en die lyn nog meer vervaag.
In wese is jou firewall jou eerste lyn van omtrek verdediging. Beste praktyke beveel aan dat u firewall eksplisiet gekonfigureer word om alle inkomende verkeer te DENY en dan open u gate waar nodig. U moet moontlik poort 80 oopmaak om webwerwe of poort 21 te host om 'n FTP-lêerbediener te bedryf . Elk van hierdie gate kan van een oogpunt nodig wees, maar dit verteenwoordig ook moontlike vektore vir kwaadwillige verkeer om jou netwerk in te voer eerder as om deur die firewall geblokkeer te word.
Dit is waar jou IDS binnekom. Of jy nou 'n NIDS oor die hele netwerk of 'n HIDS op jou spesifieke toestel implementeer, sal die IDS monitor die inkomende en uitgaande verkeer en identifiseer verdagte of kwaadwillige verkeer wat dalk jou firewall of die een of ander manier omseil het kan moontlik ook van binne jou netwerk afkomstig wees.
'N IDS kan 'n goeie hulpmiddel wees om jou netwerk proaktief te monitor en te beskerm teen kwaadwillige aktiwiteite, maar hulle is ook geneig tot vals alarms. Met net enige IDS-oplossing wat jy implementeer, sal jy dit moet "tune" sodra dit eers geïnstalleer is. Jy het die IDS nodig om behoorlik opgestel te wees om te erken wat die normale verkeer op jou netwerk is. Wat dalk kwaadwillige verkeer is, en jy of die administrateurs wat verantwoordelik is vir die reaksie op IDS-waarskuwings, moet verstaan wat die waarskuwings beteken en hoe om effektief te reageer.