Въведение в системите за откриване на проникване (IDS)

Системата за откриване на проникване (IDS) следи мрежовия трафик и следи за подозрителна дейност и сигнализира на системния или мрежовия администратор. В някои случаи IDS може да реагира и на аномален или злонамерен трафик, като предприеме действия, като блокиране на потребителя или източника на IP адрес от достъп до мрежата.

IDS идват в различни "вкусове" и подход към целта за откриване на подозрителен трафик по различни начини. Има мрежови (NIDS) и хост базирани (HIDS) системи за откриване на проникване. Има IDS, които откриват въз основа на търсенето на специфични подписи на известни заплахи - подобно на начина, по който антивирусният софтуер обикновено открива и защитава от злонамерен софтуер - и съществуват IDS, които откриват въз основа на сравняване на модели на трафик с базовата линия и търсене на аномалии. Има IDS, които просто наблюдават и предупреждават и има IDS, които извършват действие или действия в отговор на открита заплаха. Ще ги покрием за кратко.

NIDS

Системите за откриване на проникване в мрежата се намират в стратегическа точка или точки в мрежата, за да наблюдават трафика към и от всички устройства в мрежата. В идеалния случай бихте сканирали всички входящи и изходящи трафик, но това би могло да създаде пречка, която би засегнала цялостната скорост на мрежата.

HIDS

Системите за откриване на проникване в хост се изпълняват на отделни хостове или устройства в мрежата. Един HIDS наблюдава само входящите и изходящите пакети от устройството и ще предупреди потребителя или администратора за подозрителна дейност

На базата на подписа

IDS, базиран на подпис, ще следи пакетите в мрежата и ще ги сравни с база данни с подписи или атрибути от известни злонамерени заплахи. Това е подобно на начина, по който повечето антивирусни програми откриват злонамерен софтуер. Въпросът е, че ще има забавяне между откриването на нова заплаха в дивата природа и подписа за откриване на тази заплаха, която се прилага към вашия IDS. По време на това забавяне, вашият IDS няма да може да открие новата заплаха.

Базирани на аномалии

Системата IDS, която е базирана на аномалии, ще следи мрежовия трафик и ще я сравни с установената базова линия. Базовата линия ще определи какво е "нормално" за тази мрежа - каква широчина на честотната лента обикновено се използва, какви протоколи се използват, какви пристанища и устройства обикновено се свързват помежду си - и предупреждават администратора или потребителя, когато се установи трафик, което е аномално, или значително различни от базовата линия.

Пасивно IDS

Пасивно IDS просто открива и сигнализира. При установяване на подозрителен или злонамерен трафик се генерира сигнал и се изпраща до администратора или потребителя и зависи от тях да предприемат действия, за да блокират дейността или да отговорят по някакъв начин.

Реактивен IDS

Една реактивна IDS не само ще открие подозрителен или зловреден трафик и ще предупреди администратора, но ще предприеме предварително дефинирани проактивни действия, за да отговори на заплахата. Обикновено това означава блокиране на допълнителен мрежов трафик от източника на IP адреса или потребителя.

Една от най-известните и широко използвани системи за откриване на проникване е с отворен код, свободно достъпна Snort. Той е достъпен за редица платформи и операционни системи, включително и Linux и Windows . Snort има голямо и лоялно следване и има много ресурси в интернет, където можете да придобиете подписи, които да внедрите, за да откриете най-новите заплахи. За други безплатни приложения за откриване на проникване, можете да посетите Софтуер за свободно откриване на проникване .

Има фина линия между защитна стена и IDS. Съществува и технология, наречена IPS - Система за предотвратяване на проникване . Един IPS е по същество защитна стена, която съчетава мрежово ниво и филтриране на ниво приложение с реактивен IDS, за да защитава проактивно мрежата. Изглежда, че с течение на времето защитните стени, IDS и IPS поемат повече атрибути един от друг и още повече размазват линията.

По същество вашата защитна стена е вашата първа линия на защита на периметъра. Най-добрите практики препоръчват вашата защитна стена да бъде изрично конфигурирана да отрича всички входящи трафик и след това да отворите дупки, където е необходимо. Може да се наложи да отворите порт 80, за да хоствате уеб сайтове или порт 21, за да хоствате FTP файлов сървър . Всяка от тези дупки може да е необходима от една гледна точка, но те също представляват възможни вектори за злонамерен трафик, за да влязат в мрежата, а не да бъдат блокирани от защитната стена.

Това е мястото, където вашият IDS ще влезе. Независимо дали внедрявате NIDS в цялата мрежа или HIDS на вашето конкретно устройство, IDS ще следи входящия и изходящия трафик и ще идентифицира подозрителния или злонамерен трафик, който може някак да е заобиколил вашата защитна стена или може да е и от вътрешната страна на вашата мрежа.

IDS може да бъде чудесно средство за проактивно наблюдение и защита на вашата мрежа от злонамерена дейност, но те също са склонни към фалшиви аларми. С почти всяко IDS решение, което внедрявате, ще трябва да го "настроите", след като бъде инсталирано за първи път. Нуждаете се от правилното конфигуриране на IDS, за да разпознаете какво представлява нормалният трафик в мрежата ви срещу това, което може да е злонамерен трафик, и вие или администраторите, отговарящи за отговорите на сигнали за IDS, трябва да разберете какво означават сигналите и как ефективно да реагирате.