Müdaxilənin aşkarlanması sistemi (IDS) şəbəkə trafikini nəzarət edir və şübhəli fəaliyyət üçün nəzarət edir və sistemi və ya şəbəkə administratorunu xəbərdar edir. Bəzi hallarda IDS, istifadəçi və ya mənbə IP ünvanının şəbəkəyə daxil olmasını maneə törətmək kimi hərəkətə keçərək anormal və ya zərərli trafikə cavab verə bilər.
IDS, müxtəlif tatlarla gəlir və şübhəli trafikin fərqli yollarla aşkar edilməsi məqsədinə yaxınlaşır. Şəbəkə əsaslı (NIDS) və host-based (HIDS) intrusion aşkarlama sistemləri var. Antivirus proqramının adətən zərərverici proqramdan algılandığı və qoruduğuna bənzər tanınmış təhdidlərin xüsusi imzalarını axtarmağa əsaslanan şəxsiyyət vəsiqələri var və bir bazala qarşı trafik nümunələrini müqayisə edərək və anomaliyaları axtarır olan şəxsiyyət vəsiqələri var. Sadəcə nəzarət və siqnalı verən IDS var və müəyyən bir təhlükəyə cavab olaraq hərəkət və ya hərəkətlər edən IDS var. Bunların hamısını qısaca əhatə edəcəyik.
NIDS
Network Intrusion Detection Systems, ağdakı bütün qurğulara və trafikə nəzarət etmək üçün şəbəkə daxilində strateji nöqtədə və ya nöqtələrdə yerləşdirilir. İdeal olaraq, bütün gələn və gedən trafikləri tarayacaqsınız, ancaq bu, şəbəkənin ümumi sürətini pozan bir darboğaz yarada bilər.
HİSS
Xatma Giriş Təcrübəsi Sistemləri şəbəkə fərdi kompyuter və ya cihazlarda işləyir. Bir HIDS cihazdan yalnız gələn və gedən paketləri izləyir və istifadəçi və ya şübhəli fəaliyyətin administratoru xəbərdarlıq edəcək
İmza əsaslı
İmza əsaslı IDS şəbəkə paketlərini izləyir və onları bilinən zərərli təhdidlərdən imzaların və ya atributların bazası ilə müqayisə edir. Bu, ən çox antivirus proqramının malware aşkar etdiyinə bənzərdir. Məsələ ondan ibarətdir ki, bu təhlükənin sizin IDS-ə tətbiq edilməsi üçün yabanı aşkar edilmiş yeni bir təhlükə və imza arasında bir gecikmə olacaq. Bu gecikmə zamanı, IDS yeni təhlükəni aşkarlaya bilməyəcəkdir.
Anomaliya əsaslıdır
Anomaliya əsaslı bir IDS şəbəkə trafikini izləyir və onu müəyyən edilmiş bazaya uyğunlaşdırır. Başlanğıc bu şəbəkə üçün "normal" nə - adətən hansı bant genişliyi istifadə olunur, hansı protokollar istifadə olunur, hansı port və qurğular ümumiyyətlə bir-birinə qoşulur və anomal trafik aşkar edildikdə administratoru və ya istifadəçini xəbərdar edir, və ya əsas səviyyədən əhəmiyyətli dərəcədə fərqlənir.
Pasif IDS
Pasif IDS sadəcə algılar və siqnallar verir. Şübhəli və ya zərərli trafik aşkar edildikdə bir xəbərdarlıq yaranır və administratora və ya istifadəçiyə göndərilir və onlara fəaliyyətin qarşısını almaq və ya bir şəkildə cavab vermək üçün tədbirlər görülür.
Reaktiv IDS
Reaktiv IDS yalnız şübhəli və ya zərərli trafikləri aşkar etməyəcək və administratoru xəbərdar edir, lakin təhlükəyə cavab vermək üçün əvvəlcədən təyin edilmiş proaktiv tədbirlər görəcəkdir. Tipik olaraq, bu, hər hansı bir şəbəkə trafiki mənbəyi IP ünvanından və ya istifadəçi qarşısını almaq deməkdir.
Ən tanınmış və geniş istifadə edilən müdaxilənin aşkarlanması sistemlərindən biri açıq qaynaqdır, sərbəst mövcud Snort. Linux və Windows, o cümlədən bir sıra platformalar və əməliyyat sistemləri üçün mövcuddur. Snort böyük və sadiq bir təqibçiyə sahibdir və İnternetdə bir çox resurs mövcuddur ki, burada ən son təhlükələri aşkar etmək üçün imza əldə edə bilərsiniz. Digər pulsuz müdaxiləni aşkarlama proqramları üçün, Pulsuz Müdaxilə Algılama proqramını ziyarət edə bilərsiniz.
Bir firewall və IDS arasında gözəl bir xətt var. IPS - Saldırı qarşısının alınması sistemi adlı bir texnologiya var. IPS əsasən şəbəkə səviyyəsini və tətbiqi səviyyədə filtrasiya şəbəkəsini proaktiv şəkildə qorumaq üçün reaktiv IDS ilə birləşdirən bir firewalldur. Göründüyü kimi, vaxt atəşpərəstliyə doğru gedərkən, IDS və IPS bir-birindən daha çox xüsusiyyətləri götürür və xətti daha da ləngitir.
Əslində, təhlükəsizlik duvarınız perimetr müdafiənin ilk xəttidir. En yaxşı uygulamalar, güvenlik duvarınızın bütün gelen trafiği DENY'ye açıkça yapılandırmasını ve sonra lazım olduğu yerde delik açmasını önermektedir. FTP fayl serverini yerləşdirmək üçün veb-saytlar və ya port 21 yerləşdirmək üçün portu 80-dən aça bilərsiniz. Bu deliklerin hər biri bir baxımdan zəruri ola bilər, ancaq təhlükəsizlik duvarı tərəfindən məhdudlaşdırılmaqdan ziyadə şəbəkəyə daxil olmaq üçün zərərli trafik üçün mümkün olan vektorları da təmsil edir.
IDS-in daxil olacağı yerdir. NİSM-in bütün şəbəkə və ya xüsusi qurğunuzdakı HIDS-ni tətbiq etməyinizə baxmayaraq, IDS daxilolma və giden trafikə nəzarət edəcək və şübhəli və ya zərərli trafiki təyin edə bilər ki, bu da birbaşa firewallunuzu və ya şəbəkənizin içərisində də ola bilər.
IDS, şəbəkənizin zərərli fəaliyyətdən proaktiv şəkildə izlənilməsi və qorunması üçün böyük bir vasitə ola bilər, lakin onlar da yanlış həyəcan siqnallarına meylli olurlar. Siz tətbiq etdiyiniz hər hansı bir IDS həlli ilə ilk dəfə quraşdırıldıqdan sonra onu "tənzimləmək" lazımdır. Şəbəkənizdə normal trafikin nə olduğunu və nizamlı trafik ola biləcəyini və ya IDS xəbərdarlığına cavab vermək üçün məsul olan idarəçiləri siqnalların nə demək olduğunu və effektiv şəkildə necə cavab verəcəyini anlamaq üçün lazımi qaydada konfiqurasiya edilməsi üçün IDS lazımdır.