Et indbrudsdetekteringssystem (IDS) overvåger netværkstrafik og overvåger mistænkelig aktivitet og underretter systemet eller netværksadministratoren. I nogle tilfælde kan IDS'en også reagere på uregelmæssig eller ondsindet trafik ved at træffe foranstaltninger som f.eks. Blokering af bruger- eller kilde-IP-adressen fra adgang til netværket.
IDS kommer i en række forskellige "smag" og nærmer sig målet om at registrere mistænkelig trafik på forskellige måder. Der er netværksbaserede (NIDS) og host-baserede (HIDS) indtrængningssystemer. Der er IDS, der opdager, baseret på at kigge efter specifikke signaturer af kendte trusler - ligesom antivirusprogrammet typisk opdager og beskytter mod malware- og der er IDS, der registrerer, baseret på at sammenligne trafikmønstre mod en basislinje og leder efter uregelmæssigheder. Der er IDS, der blot overvåger og varsler, og der er IDS, der udfører en handling eller handlinger som reaktion på en opdaget trussel. Vi dækker hvert enkelt kort.
NIDS
Network Intrusion Detection Systems placeres på et strategisk punkt eller punkter i netværket for at overvåge trafikken til og fra alle enheder på netværket. Ideelt set vil du scanne al indgående og udgående trafik, men det kan dog skabe en flaskehals, der vil forringe den samlede hastighed på netværket.
HIDS
Host Intrusion Detection Systems køres på individuelle værter eller enheder på netværket. En HIDS overvåger indgående og udgående pakker kun fra enheden og vil advare brugeren eller administratoren om mistænkelig aktivitet er detekteret
Signaturbaseret
En signaturbaseret IDS overvåger pakker på netværket og sammenligner dem med en database med signaturer eller attributter fra kendte skadelige trusler. Dette ligner den måde, hvorpå de fleste antivirusprogrammer registrerer malware. Spørgsmålet er, at der vil være en forsinkelse mellem en ny trussel, der opdages i det vilde og underskriften for at opdage, at truslen bliver anvendt på dine IDS. I løbet af denne forsinkelsestid vil dine id'er ikke kunne opdage den nye trussel.
Anomaly-Based
En IDS, der er anomaliebaseret, overvåger netværkstrafik og sammenligner den med en etableret basislinje. Basislinjen vil identificere, hvad der er "normalt" for det pågældende netværk. Hvilken type båndbredde bruges i almindelighed, hvilke protokoller der bruges, hvilke porte og enheder der generelt forbindes til hinanden? Og advarsel administratoren eller brugeren, når der registreres trafik, der er uregelmæssig, eller væsentligt anderledes end basislinjen.
Passive IDS
En passiv IDS registrerer simpelthen og advarsler. Når der opdages mistænkelig eller ondsindet trafik, genereres der en advarsel og sendes til administratoren eller brugeren, og det er op til dem at tage skridt til at blokere aktiviteten eller reagere på en eller anden måde.
Reaktive IDS
En reaktiv IDS registrerer ikke kun mistænkelig eller ondsindet trafik og advarer administratoren, men vil tage foruddefinerede proaktive handlinger for at reagere på truslen. Det betyder typisk at blokere yderligere netværkstrafik fra kilde-IP-adressen eller brugeren.
Et af de mest kendte og almindeligt anvendte indbrudsdetekteringssystemer er open source, frit tilgængelig Snort. Den er tilgængelig til en række platforme og operativsystemer, herunder både Linux og Windows. Snort har en stor og loyal følge, og der er mange ressourcer til rådighed på internettet, hvor du kan erhverve underskrifter til implementering for at opdage de nyeste trusler.
Der er en fin linje mellem en firewall og en IDS. Der er også en teknologi kaldet IPS - Intrusion Prevention System. En IPS er i det væsentlige en firewall, der kombinerer netværksniveau og applikationsniveaufiltrering med et reaktivt IDS for proaktivt at beskytte netværket. Det ser ud til, at når tiden går på firewalls, tager IDS og IPS flere attributter fra hinanden og slører linjen endnu mere.
I grunden er din firewall din første linje af omkredsforsvar. Bedste praksis anbefaler, at din firewall eksplicit konfigureres til at ignorere al indkommende trafik, og så åbner du huller, hvor det er nødvendigt. Du skal muligvis åbne port 80 for at være vært for websites eller port 21 for at være vært for en FTP-filserver. Hvert af disse huller kan være nødvendigt fra et synspunkt, men de repræsenterer også mulige vektorer for ondsindet trafik til at komme ind i dit netværk i stedet for at blive blokeret af firewallen.
Det er her, hvor dit IDS ville komme ind. Uanset om du implementerer en NIDS på tværs af hele netværket eller en HIDS på din specifikke enhed, vil IDS overvåge indgående og udgående trafik og identificere mistænkelig eller ondsindet trafik, som måske på en eller anden måde har omgået din firewall eller det muligvis kunne stamme fra inde i dit netværk også.
En IDS kan være et godt værktøj til proaktivt at overvåge og beskytte dit netværk mod ondsindet aktivitet, men de er også tilbøjelige til falske alarmer. Med næsten enhver IDS-løsning, du implementerer, skal du "tune" den, når den først er installeret. Du skal bruge IDS'en til at være korrekt konfigureret til at genkende, hvad der er normal trafik på dit netværk vs. hvad der kan være ondsindet trafik, og du eller de administratorer, der er ansvarlige for at reagere på IDS-advarsler, skal forstå, hvad advarslerne betyder, og hvordan man effektivt kan reagere.
