Системот за откривање на упад (IDS) го следи мрежниот сообраќај и ги надгледува сомнителните активности и го известува системот или мрежниот администратор. Во некои случаи, IDS, исто така, може да одговорат на аномали или злонамерни сообраќај со преземање дејства како што е блокирање на корисникот или изворната IP адреса од пристап до мрежата.
IDS доаѓаат во различни "вкусови" и пристап кон целта на откривање на сомнителни сообраќај на различни начини. Постојат мрежа базирани (NIDS) и домаќин базирани (HIDS) системи за откривање на упад. Постојат IDS кои детектираат врз основа на барање специфични потписи на познати закани - слични на начинот на кој антивирусен софтвер обично ги детектира и заштитува од малициозен софтвер - и постојат IDS кои детектираат врз основа на споредување на сообраќајните обрасци против основната линија и барајќи аномалии. Постојат IDS кои едноставно ги следат и алармираат и постојат IDS кои вршат дејство или дејства како одговор на откриена закана. Накратко ќе го покриеме секој од нив.
NIDS
Системите за детекција на мрежни напади се поставени на стратешка точка или точки во рамките на мрежата за следење на сообраќајот до и од сите уреди на мрежата. Идеално, ќе го скенираш целиот влезен и излезен сообраќај, но тоа може да создаде тесно грло што ќе ја наруши вкупната брзина на мрежата.
HIDS
Системите за детекција на упад на компјутери се извршуваат на индивидуални компјутери или уреди на мрежата. HIDS ги надгледува влезните и излезни пакети од уредот само и ќе го предупреди корисникот или администраторот на сомнителна активност е откриен
Потпис врз основа
IDS врз основа на потпис ќе ги следи пакетите на мрежата и ќе ги споредува со база на податоци за потписи или атрибути од познати малициозни закани. Ова е слично на начинот на кој повеќето антивирус софтвер детектира малициозен софтвер. Прашањето е дека ќе има застој помеѓу нова закана се открива во дивината и потпис за откривање на таа закана се применува на вашиот IDS. Во текот на тој временски застој, вашиот IDS нема да може да ја открие новата закана.
Аномалија базирана
IDS кој е базиран на аномалија ќе го следи мрежниот сообраќај и ќе го спореди со воспоставената основа. Основна линија ќе идентификува што е "нормално" за таа мрежа - каков вид на пропусен опсег генерално се користи, кои протоколи се користат, кои порти и уреди обично се поврзуваат едни со други - и алармираат администраторот или корисникот кога сообраќајот е откриен што е аномално, или значително различна од основната линија.
Пасивни IDS
Пасивното IDS едноставно открива и предупредува. Кога ќе се открие сомнителен или злонамерни сообраќај, се генерира аларм и се испраќа до администраторот или корисникот и зависи од нив да преземат акција за да ја блокираат активноста или да одговорат на некој начин.
Реактивни IDS
Реактивен IDS не само што ќе открие сомнителен или злонамерни сообраќај и ќе го предупреди администраторот, туку ќе преземе и претходно дефинирани проактивни активности за да одговорат на заканата. Обично ова значи блокирање на секој понатамошен мрежен сообраќај од изворната IP адреса или корисник.
Еден од најпознатите и најчесто користените системи за откривање на упад е со отворен код, слободно достапен Snort. Таа е достапна за голем број платформи и оперативни системи, вклучувајќи Linux и Windows . Снорт има големо и лојално следење и има многу ресурси достапни на Интернет, каде што можете да добиете потписи за да ги спроведете за откривање на најновите закани. За други бесплатни апликации за детекција на упад, можете да го посетите софтверот за откривање на упад .
Постои фина линија меѓу заштитен ѕид и IDS. Постои и технологија наречена IPS - Систем за превенција на упад . IPS е во суштина заштитен ѕид кој ги комбинира филтрирањето на ниво на мрежа и апликација со реактивен IDS за проактивно заштита на мрежата. Се чини дека со текот на времето на firewalls, IDS и IPS преземаат повеќе атрибути едни од други и замаглување на линијата уште повеќе.
Во суштина, вашиот заштитен ѕид е вашата прва линија на одбрана на периметар. Најдобрите практики препорачуваат вашиот огнениот ѕид експлицитно да е конфигуриран да го обезвреднува целиот дојдовен сообраќај, а потоа ќе ги отворите дупките каде што е потребно. Можеби ќе треба да отворите порта 80 за да хоствате веб-страници или порта 21 за да биде домаќин на FTP-датотечен сервер . Секоја од овие дупки може да биде неопходна од една гледна точка, но тие исто така претставуваат можни вектори за малициозен сообраќај да влезат во вашата мрежа, наместо да бидат блокирани од страна на заштитниот ѕид.
Тука ќе дојде вашиот ИДС. Без разлика дали ќе имплементирате NIDS низ целата мрежа или HIDS на вашиот специфичен уред, IDS ќе го следи влезниот и излезен сообраќај и ќе идентификува сомнителен или злонамерни сообраќај кој можеби некако го заобиколи вашиот заштитен ѕид или може да потекнува и од вашата мрежа.
IDS може да биде одлична алатка за проактивно следење и заштита на вашата мрежа од малициозни активности, меѓутоа тие се склони кон лажни аларми. Со речиси секое IDS решение кое го спроведувате, ќе треба да го "нагодете" откако ќе се инсталира. Потребните IDS да бидат правилно конфигурирани да препознаат што е нормален сообраќај на вашата мрежа наспроти она што може да биде штетен сообраќај, а вие или администраторите одговорни за реагирање на IDS сигналите треба да разберат што значат сигналите и како ефикасно да одговорат.