System wykrywania włamań (IDS) monitoruje ruch sieciowy i monitoruje pod kątem podejrzanych działań oraz alarmuje system lub administratora sieci. W niektórych przypadkach IDS może również reagować na anomalny lub złośliwy ruch, podejmując takie działania, jak zablokowanie dostępu do sieci użytkownikowi lub źródłowemu adresowi IP.
IDS występują w różnych "smakach" i podchodzą do celu wykrywania podejrzanego ruchu na różne sposoby. Istnieją sieciowe systemy wykrywania włamań (NIDS) i hostowe (HIDS). Istnieją identyfikatory IDS, które wykrywają na podstawie wyszukiwania określonych sygnatur znanych zagrożeń - podobnie jak zwykle wykrywa oprogramowanie antywirusowe i chroni je przed złośliwym oprogramowaniem - i istnieją IDS wykrywające na podstawie porównania wzorców ruchu z linią bazową i szukaniem anomalii. Istnieją IDS, które po prostu monitorują i alarmują, a także IDS, które wykonują akcję lub akcje w odpowiedzi na wykryte zagrożenie. Pokrótce omówimy każdą z nich.
NIDS
Sieciowe systemy wykrywania włamań są umieszczane w strategicznym punkcie lub punktach w sieci w celu monitorowania ruchu do iz wszystkich urządzeń w sieci. W idealnej sytuacji skanowałby cały ruch przychodzący i wychodzący, ale może to spowodować wąskie gardło, które mogłoby zmniejszyć ogólną prędkość sieci.
HIDS
Systemy wykrywania włamań hosta są uruchamiane na poszczególnych hostach lub urządzeniach w sieci. HIDS monitoruje tylko przychodzące i wychodzące pakiety z urządzenia i ostrzeże użytkownika lub administratora o wykryciu podejrzanej aktywności
Oparte na podpisie
Identyfikator oparty na sygnaturach będzie monitorował pakiety w sieci i porównywał je z bazą sygnatur lub atrybutami znanych złośliwych zagrożeń. Jest to podobne do sposobu, w jaki większość programów antywirusowych wykrywa złośliwe oprogramowanie. Problem polega na tym, że pomiędzy nowym zagrożeniem odkrytym na wolności a sygnaturą będzie występowało opóźnienie w wykrywaniu tego zagrożenia dla twojego IDS. W tym czasie opóźnienia twoje IDS nie będą w stanie wykryć nowego zagrożenia.
Anomalia
IDS oparty na anomaliach będzie monitorował ruch sieciowy i porównywał go z ustaloną linią bazową. Linia bazowa określi, co jest "normalne" dla tej sieci - jakiego rodzaju przepustowość jest ogólnie używana, jakie protokoły są używane, które porty i urządzenia zazwyczaj łączą się ze sobą - i ostrzegają administratora lub użytkownika, gdy wykryty jest ruch, który jest anomalny, lub znacząco różni się od linii bazowej.
Pasywne IDS
Pasywne IDS po prostu wykrywa i ostrzega. Po wykryciu podejrzanego lub złośliwego ruchu generowany jest alert, który wysyłany jest do administratora lub użytkownika i do nich należy podjęcie działań w celu zablokowania działania lub udzielenia odpowiedzi w określony sposób.
Reaktywny IDS
Reaktywny system IDS nie tylko wykryje podejrzany lub złośliwy ruch i ostrzeże administratora, ale podejmie wstępnie zdefiniowane proaktywne działania, aby zareagować na zagrożenie. Zazwyczaj oznacza to blokowanie dalszego ruchu sieciowego ze źródłowego adresu IP lub użytkownika.
Jednym z najbardziej znanych i powszechnie stosowanych systemów wykrywania włamań jest open source, swobodnie dostępny Snort. Jest dostępny dla wielu platform i systemów operacyjnych, w tym Linux i Windows. Snort ma dużą i lojalną obserwację, a w Internecie dostępnych jest wiele zasobów, w których można zdobyć sygnatury umożliwiające wykrywanie najnowszych zagrożeń.
Pomiędzy zaporą a systemem wykrywania włamań jest cienka linia. Istnieje również technologia o nazwie IPS - Intrusion Prevention System. IPS to w zasadzie firewall, który łączy filtrowanie na poziomie sieci i aplikacji z reaktywnym IDS, aby aktywnie chronić sieć. Wygląda na to, że wraz z upływem czasu zapory, IDS i IPS przejmują od siebie więcej atrybutów i jeszcze bardziej zacierają linię.
Zasadniczo twoja zapora ogniowa to twoja pierwsza linia obrony obwodowej. Sprawdzone metody zalecają, aby zapora była jawnie skonfigurowana do ZAPOZNANIA się z całym przychodzącym ruchem, a następnie w razie potrzeby otworami. Może być konieczne otwarcie portu 80 na stronach hosta lub porcie 21 w celu hostowania serwera plików FTP. Każda z tych dziur może być konieczna z jednego punktu widzenia, ale reprezentują one również możliwe wektory, które powodują, że złośliwy ruch trafia do twojej sieci, a nie jest blokowany przez zaporę ogniową.
W tym miejscu pojawi się IDS. Niezależnie od tego, czy wdrożysz NIDS w całej sieci, czy HIDS na określonym urządzeniu, IDS będzie monitorował ruch przychodzący i wychodzący oraz identyfikuje podejrzany lub złośliwy ruch, który mógł w jakiś sposób ominąć twoją zaporę sieciową. może również pochodzić z wnętrza twojej sieci.
IDS może być świetnym narzędziem do proaktywnego monitorowania i ochrony sieci przed złośliwą działalnością, jednak są one również podatne na fałszywe alarmy. Przy prawie każdym wdrożonym rozwiązaniu IDS będziesz musiał "dostroić" po jego pierwszej instalacji. Musisz poprawnie skonfigurować IDS, aby rozpoznawał, co jest normalnym ruchem w sieci, a co może być złośliwym ruchem, a Ty lub administratorzy odpowiedzialni za reagowanie na alerty IDS, musisz zrozumieć, co oznaczają alerty i jak skutecznie reagować.
