Ett intrångsdetekteringssystem (IDS) övervakar nätverkstrafik och övervakar för misstänkt aktivitet och varnar systemet eller nätverksadministratören. I vissa fall kan IDS också reagera på avvikande eller skadlig trafik genom att vidta åtgärder som att blockera användarens eller källens IP-adress från att komma åt nätverket.
IDS kommer i en mängd olika "smaker" och närmar sig målet att upptäcka misstänkt trafik på olika sätt. Det finns nätverksbaserade (NIDS) och värdbaserade (HIDS) intrångsdetekteringssystem. Det finns IDS som upptäcker baserat på att söka efter specifika signaturer av kända hot - som liknar det sätt som antivirusprogrammet brukar upptäcka och skyddar mot skadlig kod - och det finns IDS som upptäcker baserat på att man jämför trafikmönster mot en baslinje och letar efter avvikelser. Det finns IDS som helt enkelt övervakar och varnar och det finns IDS som utför en åtgärd eller åtgärder som svar på ett upptäckt hot. Vi täcker var och en av dessa kortfattat.
NIDS
Network Intrusion Detection Systems placeras på en strategisk punkt eller punkter i nätverket för att övervaka trafiken till och från alla enheter i nätverket. Helst skulle du skanna all inkommande och utgående trafik, men det kan dock skapa en flaskhals som skulle försämra nätets totala hastighet.
HIDS
Hostintrusionsdetekteringssystem körs på enskilda värdar eller enheter på nätverket. En HIDS övervakar inkommande och utgående paket från enheten bara och kommer att varna användaren eller administratören om misstänkt aktivitet detekteras
Signaturbaserade
En signaturbaserad IDS kommer att övervaka paket på nätverket och jämföra dem mot en databas med signaturer eller attribut från kända skadliga hot. Det här liknar hur mest antivirusprogram upptäcker skadlig kod. Frågan är att det kommer att finnas en fördröjning mellan ett nytt hot som upptäckts i naturen och signaturen för att upptäcka att hotet appliceras på ditt IDS. Under den tidsfördröjningstiden skulle ditt IDS inte kunna upptäcka det nya hotet.
Anomaly-Based
En IDS som är anomalibaserad kommer att övervaka nätverkstrafiken och jämföra den mot en etablerad baslinje. Baslinjen identifierar vad som är "normalt" för det nätverket - vilken typ av bandbredd används i allmänhet, vilka protokoll som används, vilka portar och enheter som vanligtvis kopplar till varandra - och varnar administratören eller användaren när trafik upptäcks som är avvikande, eller väsentligt annorlunda än baslinjen.
Passiva IDS
En passiv IDS upptäcker enkelt och varnar. När misstänkt eller skadlig trafik upptäcks genereras en varning och skickas till administratören eller användaren och det är upp till dem att vidta åtgärder för att blockera aktiviteten eller svara på något sätt.
Reaktiva IDS
En reaktiv IDS kommer inte bara att upptäcka misstänkt eller skadlig trafik och varna administratören men tar fördefinierade proaktiva åtgärder för att svara på hotet. Vanligtvis betyder det att blockera ytterligare nätverkstrafik från källans IP-adress eller användare.
Ett av de mest kända och allmänt använda intrångsdetekteringssystemen är öppen källkod, fritt tillgänglig Snort. Den är tillgänglig för ett antal plattformar och operativsystem inklusive både Linux och Windows. Snort har ett stort och lojalt följande och det finns många resurser tillgängliga på Internet där du kan få signaturer att implementera för att upptäcka de senaste hoten.
Det finns en bra linje mellan en brandvägg och en IDS. Det finns också en teknik som heter IPS - Intrusion Prevention System. En IPS är i huvudsak en brandvägg som kombinerar nätverksnivå och applikationsnivåfiltrering med en reaktiv IDS för att proaktivt skydda nätverket. Det verkar som att tiden går på brandväggar, IDS och IPS tar på sig fler attribut från varandra och oskarmer linjen ännu mer.
I grunden är din brandvägg din första linje av omkretsförsvar. Bästa praxis rekommenderar att din brandvägg uttryckligen konfigureras för att DENYA all inkommande trafik och då öppnar du hål vid behov. Det kan hända att du måste öppna port 80 för att vara värd för webbplatser eller port 21 för att vara värd för en FTP-filserver. Var och en av dessa hål kan vara nödvändig från en synpunkt, men de representerar också möjliga vektorer för skadlig trafik att komma in i ditt nätverk i stället för att blockeras av brandväggen.
Det är här ditt IDS skulle komma in. Oavsett om du implementerar en NIDS över hela nätverket eller en HIDS på din specifika enhet, kommer IDS att övervaka inkommande och utgående trafik och identifiera misstänkt eller skadlig trafik som på något sätt kan ha överträffat din brandvägg eller det kan eventuellt härröra från inuti ditt nätverk.
En IDS kan vara ett utmärkt verktyg för att proaktivt övervaka och skydda ditt nätverk från skadlig aktivitet, men de är också benägna att falska larm. Med nästan vilken IDS-lösning du implementerar måste du "ställa in" när den först installeras. Du behöver IDSen för att vara korrekt konfigurerad för att känna igen vad som är normal trafik i ditt nätverk vs. vad som kan vara skadlig trafik, och du eller de administratörer som är ansvariga för att svara på IDS-varningar måste förstå vad varningarna betyder och hur man effektivt svarar.
