Et system for inntrengingsdeteksjon (IDS) overvåker nettverkstrafikk og overvåker for mistenkelig aktivitet og varsler systemet eller nettverksadministratoren. I noen tilfeller kan IDS-en også svare på uregelmessig eller ondsinnet trafikk ved å iverksette tiltak som å blokkere bruker- eller kilde-IP-adressen fra tilgang til nettverket.
IDS kommer i en rekke "smaker" og nærmer seg målet om å oppdage mistenkelig trafikk på forskjellige måter. Det er nettverksbaserte (NIDS) og vertsbaserte (HIDS) inntrengingsdeteksjonssystemer. Det er IDS som oppdages basert på å lete etter spesifikke signaturer av kjente trusler - på samme måte som antivirusprogramvaren vanligvis oppdager og beskytter mot skadelig programvare - og det er IDS som oppdager basert på å sammenligne trafikkmønstre mot en grunnlinje og leter etter anomalier. Det er IDS som bare overvåker og varsler, og det er IDS som utfører en handling eller handlinger som svar på en oppdaget trussel. Vi vil dekke hver av disse kort.
NIDS
Network Intrusion Detection Systems er plassert på et strategisk punkt eller punkter i nettverket for å overvåke trafikk til og fra alle enheter på nettverket. Ideelt sett vil du skanne all innkommende og utgående trafikk, men det kan da skape en flaskehals som vil svekke den totale hastigheten til nettverket.
HIDS
Host Intrusion Detection Systems kjøres på enkelte verter eller enheter på nettverket. En HIDS overvåker innkommende og utgående pakker fra enheten og vil varsle brukeren eller administratoren om mistenkelig aktivitet er oppdaget
Signatur-Based
En signaturbasert IDS vil overvåke pakker på nettverket og sammenligne dem mot en database med signaturer eller attributter fra kjente skadelige trusler. Dette ligner måten de fleste antivirusprogrammer oppdager malware på. Problemet er at det vil være et lag mellom en ny trussel som blir oppdaget i naturen og signaturen for å oppdage at trusselen blir brukt på dine IDS. I løpet av denne lagetiden kan IDSene dine ikke oppdage den nye trusselen.
Anomali-Based
En IDS som er anomaliebasert vil overvåke nettverkstrafikk og sammenligne den mot en etablert grunnlinje. Basislinjen vil identifisere hva som er "normalt" for det nettverket - hvilken type båndbredde brukes vanligvis, hvilke protokoller som brukes, hvilke porter og enheter som vanligvis knytter seg til hverandre - og varsle administratoren eller brukeren når trafikk oppdages som er uregelmessig, eller vesentlig forskjellig fra grunnlinjen.
Passive IDS
En passiv IDS oppdager enkelt og varsler. Når mistenkelig eller ondsinnet trafikk oppdages, genereres en advarsel og sendes til administratoren eller brukeren, og det er opp til dem å ta tiltak for å blokkere aktiviteten eller svare på noen måte.
Reaktiv IDS
En reaktiv IDS vil ikke bare oppdage mistenkelig eller ondsinnet trafikk og varsle administratoren, men vil ta forhåndsdefinerte proaktive tiltak for å svare på trusselen. Vanligvis betyr dette at du blokkerer ytterligere nettverkstrafikk fra kilde-IP-adressen eller brukeren.
Et av de mest kjente og allment brukte inntrengingsdeteksjonssystemene er åpen kildekode, fritt tilgjengelig Snort. Den er tilgjengelig for en rekke plattformer og operativsystemer, inkludert både Linux og Windows. Snort har en stor og lojal følge og det er mange ressurser tilgjengelig på Internett der du kan skaffe signaturer å implementere for å oppdage de nyeste truslene.
Det er en fin linje mellom en brannmur og en IDS. Det er også en teknologi som heter IPS - Intrusion Prevention System. En IPS er i hovedsak en brannmur som kombinerer nettverksnivå og applikasjonsnivåfiltrering med et reaktivt IDS for å proaktivt beskytte nettverket. Det ser ut til at når tiden går på brannmurer, tar IDS og IPS på seg flere attributter fra hverandre og slår av linjen enda mer.
I hovedsak er brannmuren din første linje av omkretsforsvar. Best practices anbefaler at brannmuren din eksplisitt er konfigurert til å DENY all innkommende trafikk og så åpner du hull når det er nødvendig. Du må kanskje åpne port 80 for å være vert for nettsteder eller port 21 for å være vert for en FTP-filserver. Hvert av disse hullene kan være nødvendig fra ett synspunkt, men de representerer også mulige vektorer for ondsinnet trafikk for å komme inn i nettverket ditt i stedet for å bli blokkert av brannmuren.
Det er her din IDS ville komme inn. Uansett om du implementerer en NIDS på hele nettverket eller en HIDS på din spesifikke enhet, vil IDS overvåke innkommende og utgående trafikk og identifisere mistenkelig eller ondsinnet trafikk som kanskje har omgått brannmuren eller den kan muligens stammer fra inne i nettverket ditt også.
En IDS kan være et godt verktøy for proaktiv overvåking og beskyttelse av nettverket ditt mot skadelig aktivitet, men de er også utsatt for falske alarmer. Med omtrent enhver IDS-løsning du implementerer må du "tune" den når den først er installert. Du trenger IDS-en for å være riktig konfigurert for å gjenkjenne hva som er normal trafikk på nettverket ditt vs hva som kan være skadelig trafikk, og du eller administratorer som er ansvarlige for å svare på IDS-varsler, må forstå hva varslene betyr og hvordan man effektivt kan reagere.
