Tunkeutumisen tunnistusjärjestelmä (IDS) valvoo verkkoliikennettä ja valvoo epäilyttävää toimintaa ja hälyttää järjestelmän tai verkon ylläpitäjän. Joissakin tapauksissa IDS voi myös reagoida epänormaaliin tai haitalliseen liikenteeseen toteuttamalla toimia, kuten käyttäjän tai lähteen IP-osoitteen estäminen verkkoon pääsemisestä.
IDS tulee monenlaisiin "makuihin" ja lähestyy tavoitetta havaita epäilyttävän liikenteen eri tavoin. On olemassa verkkoihin perustuvia (NIDS) ja isäntäperusteisia (HIDS) tunkeutumisenilmaisujärjestelmiä. On IDS, joka havaitsee etsimällä tunnettuja uhkia erityisiä allekirjoituksia - kuten tapaa, jolla virustorjuntaohjelmisto tunnistaa ja suojaa haittaohjelmilta - ja IDS-järjestelmät havaitsevat perustuen liikennemallien vertailuun lähtötilanteeseen ja etsimään poikkeavuuksia. On IDS, joka yksinkertaisesti valvoo ja varoittaa, ja IDS, joka suorittaa toimia tai toimia vastauksena havaittuun uhkaan. Katsaamme jokaisen näistä lyhyesti.
NIDS
Verkon tunkeutumisen tunnistusjärjestelmät sijoitetaan verkon strategiseen pisteeseen tai pisteisiin liikenteen seuraamiseksi verkon kaikkien laitteiden ja kaikkien verkkojen välillä. Ihannetapauksessa skannattaisit kaikki saapuvan ja lähtevän liikenteen, mutta näin voisi luoda pullonkaulan, joka heikentäisi verkon yleistä nopeutta.
HIDS
Hostin tunkeutumisen havainnointijärjestelmiä käytetään yksittäisissä verkko-iskuissa tai laitteissa. HIDS seuraa saapuvien ja lähtevien pakettien vain laitteesta ja varoittaa käyttäjän tai järjestelmänvalvojan epäilyttävän toiminnan havaitsemisesta
Allekirjoitusperustainen
Allekirjoituspohjainen IDS seuraa verkossa olevia paketteja ja vertailee niitä tunnettuja haittaohjelmia uhkaavien allekirjoitusten tai attribuuttien tietokantaan. Tämä on samanlainen kuin useimmat virustentorjuntaohjelmistot havaitsevat haittaohjelmia. Ongelmana on, että uusi uhka löydetään luonnonvaraisesti ja allekirjoitus havaitsee IDS: n uhkauksen. Tämän viiveajan aikana IDS ei pysty havaitsemaan uutta uhkaa.
Anomaly Based
IDS, joka on epäkunnossa, seuraa verkkoliikennettä ja vertaa sitä vakiintuneeseen lähtötilaan. Peruslinjassa selvitetään, mikä on "normaali" kyseiselle verkolle - millaista kaistanleveyttä yleensä käytetään, mitä protokollia käytetään, mitä portteja ja laitteita yleensä yhdistää toisiinsa - ja ilmoittaa järjestelmänvalvojalle tai käyttäjälle, kun liikenne havaitaan, mikä on epänormaalia, tai merkittävästi erilainen kuin perusviiva.
Passiivinen IDS
Passiivinen IDS tunnistaa ja hälyttää. Kun havaitaan epäilyttävää tai haitallista liikennettä, hälytys luodaan ja lähetetään järjestelmänvalvojalle tai käyttäjälle, ja heidän on ryhdyttävä toimiin estääkseen toimintaa tai reagoimaan jollakin tavalla.
Reaktiivinen IDS
Reaktiivinen IDS ei ainoastaan tunnista epäilyttävää tai haittaavaa liikennettä, vaan hälyttää järjestelmänvalvoja, mutta reagoi uhkaan ennalta määritetyillä ennakoivilla toimilla. Tyypillisesti tämä tarkoittaa sitä, että estetään verkkoliikenne lähteestä IP-osoitteelta tai käyttäjältä.
Yksi tunnetuimmista ja laajalti käytössä olevista tunkeutumisen havainnointijärjestelmistä on avoin lähdekoodi, vapaasti saatavilla Snort. Se on käytettävissä useille alustoille ja käyttöjärjestelmiin, mukaan lukien sekä Linux että Windows . Snortilla on suuri ja uskollinen seuranta, ja Internetissä on paljon resursseja, joilla voit hankkia allekirjoituksia toteuttamaan uusimmat uhkat. Muiden freeware-tunkeutumisen havaitsemisohjelmien yhteydessä voit käydä Free Intrusion Detection -ohjelmistossa .
Palomuurin ja IDS: n välillä on hieno viiva. On myös tekniikka nimeltä IPS - Intrusion Prevention System . IPS on lähinnä palomuuri, jossa yhdistyvät verkkotason ja sovellustason suodatus reaktiivisella IDS: llä verkon proaktiivisen suojelemiseksi. Näyttää siltä, että kun aika kuluu palomuureihin, IDS ja IPS ottavat enemmän attribuutteja toisistaan ja hämärtävät linjaa vieläkin enemmän.
Pohjimmiltaan palomuuri on ensimmäinen kehäpuolustuksesi linja. Parhaat käytännöt suosittelevat, että palomuuri on määritetty nimenomaisesti DENY kaikki saapuva liikenne ja sitten avaat tarvittaessa reiät. Sinun täytyy joutua avaamaan portti 80 isännöimään WWW-sivustoja tai porttia 21 FTP-tiedostopalvelimen ylläpitämiseksi. Jokainen näistä rei'istä voi olla tarpeellista yhdestä näkökulmasta, mutta ne edustavat myös mahdollisia vääriä vääriä liikennettä verkkoon pääsemiseksi sen sijaan, että palomuuri estää sen.
Siinä tapauksessa, missä IDS: ssä tulee. Jos käytät NIDS-koko verkkoa tai HIDS-tietojärjestelmää, IDS seuraa saapuvia ja lähteviä liikennettä ja tunnistaa epäilyttävän tai haitallisen liikenteen, joka voi jotenkin ohittaa palomuurin tai se voi olla peräisin myös verkostossasi.
IDS voi olla erinomainen työkalu ennakoivaan seurantaan ja verkon suojaamiseen haitalliselta toiminnalta, mutta ne ovat myös alttiita väärille hälytyksille. Kun käytät vain IDS-ratkaisua, sinun on "viritettävä se" heti sen asentamisen jälkeen. Tarvitset IDS: n määrittämään oikein sen, mikä on normaalia liikennettä verkossasi ja mikä voi olla haitallista liikennettä ja sinun tai IDS-hälytysten vastaamisesta vastaavien järjestelmänvalvojien on ymmärrettävä, mitä hälytykset tarkoittavat ja miten tehokkaasti vastata.