Sustav za otkrivanje upada (IDS) prati mrežni promet i prati sumnjivu aktivnost i upozorava administratora sustava ili mreže. U nekim slučajevima, IDS može reagirati na anomalan ili zlonamjeran promet poduzimanjem radnji poput blokiranja korisnika ili izvorne IP adrese od pristupa mreži.
IDS dolazi u različitim "okusima" i pristupa se cilju otkrivanja sumnjivog prometa na različite načine. Postoje sustavi za otkrivanje upada na mreži (NIDS) i host (HIDS). Postoje IDS-ovi koji otkrivaju na temelju traženja specifičnih potpisa poznatih prijetnji, slično načinu na koji antivirusni softver obično otkriva i štiti od zlonamjernog softvera, a postoje i IDS-ovi koji se otkrivaju na temelju usporedbe obrazaca prometa s osnovnom linijom i traženja anomalija. Postoje IDS-ovi koji jednostavno nadgledaju i upozoravaju i postoje IDS-ovi koji izvršavaju akciju ili akcije kao odgovor na otkrivenu prijetnju. Svaki od njih ukratko ćemo pokriti.
NIDS
Sustavi za otkrivanje upada u mrežu smještaju se u stratešku točku ili točke unutar mreže kako bi nadgledali promet do i od svih uređaja na mreži. U idealnom slučaju, skenirali biste sav ulazni i odlazni promet, ali to bi moglo stvoriti usko grlo koje bi narušilo ukupnu brzinu mreže.
HIDS
Sustavi detekcije intruderskog sustava provode se na pojedinačnim računalima ili uređajima na mreži. HIDS nadgleda ulazne i odlazne pakete samo s uređaja i upozorava korisnika ili administratora o sumnjivoj aktivnosti koja je otkrivena
Na temelju potpisa
IDS na temelju potpisa pratit će pakete na mreži i usporediti ih s bazom podataka potpisa ili atributa iz poznatih zlonamjernih prijetnji. To je slično načinu na koji većina antivirusnih programa otkriva zlonamjerni softver. Pitanje je da će doći do kašnjenja između nove prijetnje otkrivene u divljini i potpisa za otkrivanje prijetnje koja se primjenjuje na IDS. Tijekom tog vremena kašnjenja vaš IDS neće moći otkriti novu prijetnju.
Na temelju anomalije
IDS koji se temelji na anomaliji prati mrežni promet i uspoređuje ga s uspostavljenom osnovicom. Osnovna linija će utvrditi što je "normalno" za tu mrežu - koja se vrsta širine pojasa općenito upotrebljava, koji se protokoli upotrebljavaju, koji se priključci i uređaji općenito povezuju jedni s drugima - i upozoravaju administratora ili korisnika prilikom otkrivanja prometa koji je anomalan, ili znatno drugačiji od osnovne linije.
Pasivni IDS
Pasivni IDS jednostavno detektira i upozorava. Kada se otkrije sumnjivi ili zlonamjerni promet, generira se upozorenje i šalje se administratoru ili korisniku, a na njima se poduzima radnja da blokiraju aktivnost ili na neki način reagiraju.
Reaktivni IDS
Reaktivni IDS neće samo otkriti sumnjive ili zlonamjeran promet i upozoriti administratora, već će poduzeti unaprijed definirane proaktivne radnje za odgovor na prijetnju. To obično znači blokiranje bilo kojeg daljnjeg mrežnog prometa s izvorne IP adrese ili korisnika.
Jedan od najpoznatijih i najčešće korištenih sustava za otkrivanje upada je otvoreni izvor, slobodno dostupan Snort. Dostupan je za niz platformi i operacijskih sustava, uključujući Linux i Windows . Snort ima veliku i lojalnu praksu i postoji mnogo resursa dostupnih na Internetu gdje možete nabaviti potpise kako bi se otkrili najnovije prijetnje. Za druge aplikacije za otkrivanje upada na besplatne programe, možete posjetiti besplatni softver za otkrivanje upada .
Postoji fina linija između vatrozida i IDS-a. Tu je i tehnologija pod nazivom IPS - Intrusion Prevention System . IPS je bitno vatrozid koji kombinira filtriranje na razini mreže i na razini aplikacije s reaktivnim IDS-om kako bi proaktivno zaštitio mrežu. Čini se da, kako vrijeme prolazi vatrozidima, IDS i IPS uzimaju više atributa jedni od drugih i zamagljuju crta još više.
U osnovi, vaš vatrozid je vaša prva linija obrambene obrane. Najbolji postupci preporučuju da vaš vatrozid bude izričito konfiguriran da DENY sve dolazni promet, a zatim otvorite rupe gdje je to potrebno. Možda ćete morati otvoriti priključak 80 za host web stranica ili port 21 da bi ugostili FTP poslužitelj datoteka . Svaka od tih rupa može biti potrebna s jednog stajališta, ali predstavljaju i moguće vektore za zlonamjerni promet da bi ušli u vašu mrežu, a da ga vatrozid ne blokira.
Tamo će doći vaš IDS. Bez obzira provodite li NIDS na cijeloj mreži ili HIDS-u na svom određenom uređaju, IDS će pratiti ulazni i odlazni promet i identificirati sumnjivi ili zlonamjerni promet koji je nekako zaobilazio vaš vatrozid ili ga može biti podrijetlom i iz vaše mreže.
IDS može biti izvrstan alat za proaktivno praćenje i zaštitu vaše mreže od zlonamjernih aktivnosti, ali su također skloni lažnim alarmima. S pravom o bilo kojem IDS rješenju koje implementirate, morat ćete ga "podešavati" nakon prvog instaliranja. Trebate IDS ispravno konfiguriran da prepoznaje što je uobičajeni promet na vašoj mreži, a što može biti zlonamjerni promet, a vi ili administratori odgovorni za odgovaranje na IDS upozorenja trebate razumjeti što znače upozorenja i kako učinkovito odgovoriti.