Sistema ta 'skoperta ta' intrużjoni (IDS) tissorvelja t-traffiku tan-netwerk u tissorvelja attività suspettuża u twissi lis-sistema jew lill-amministratur tan-netwerk. F'xi każijiet, l-IDS jista 'jwieġeb ukoll għal traffiku anomali jew malizzjuż billi jieħu azzjoni bħal ibblukkar tal-utent jew tal- indirizz IP tas-sors milli jidħol f'netwerk.
L-IDS jidħlu f'varjetà ta '"togħmiet" u jersqu lejn l-għan li jidentifikaw traffiku suspettuż f'modi differenti. Hemm sistemi ta 'skoperta ta' intrużjoni bbażati fuq in-netwerk (NIDS) u host (HIDS). Hemm IDS li jikxfu bbażati fuq tiftix għal firem speċifiċi ta 'theddid magħruf - simili għall-mod kif is-software antivirus tipikament jiskopri u jipproteġi kontra l-malware u hemm IDS li jikxfu bbażati fuq it-tqabbil tax-xejriet tat-traffiku ma' linja bażi u tfittex anomaliji. Hemm IDS li sempliċement jimmonitorjaw u jallertaw u hemm IDS li jwettqu azzjoni jew azzjonijiet bħala reazzjoni għal theddida identifikata. Se nkopri kull wieħed minn dawn fil-qosor.
NIDS
Sistemi ta 'Sejbien ta' Intrużjoni tan-Netwerk jitqiegħdu f'punt strateġiku jew punti fin-netwerk biex jissorveljaw it-traffiku lejn u mill-mezzi kollha fuq in-netwerk. Idealment, tista 'tiskannja t-traffiku kollu ġewwa u ħerġin, madankollu jekk tagħmel hekk tista' toħloq ostaklu li jfixkel il-veloċità ġenerali tan-netwerk.
HIDS
Sistemi ta 'Sejbien ta' Intrużjoni Ospitanti huma mmexxija fuq hosts individwali jew apparat fuq in-netwerk. L-HIDS jissorvelja l-pakketti li jidħlu u joħorġu mill-mezz biss u jwissi li l-utent jew l-amministratur ta 'attività suspettuża jinstab
Firma Ibbażata
IDS ibbażat fuq il-firma se jissorvelja pakketti fin-netwerk u jqabbelhom ma 'database ta' firem jew attributi minn theddid malizzjuż magħruf. Dan huwa simili għall-mod kif l-aktar softwer antivirus jiskopri malware. Il-kwistjoni hija li se jkun hemm dewmien bejn theddida ġdida li tkun skoperta fis-selvaġġ u l-firma biex tinstab din it-theddida li tiġi applikata għall-IDS tiegħek. Matul dak iż-żmien ta 'dewmien, l-IDS tiegħek ma tkunx tista' tidentifika t-theddida l-ġdida.
Anomalija Ibbażata
IDS li hija bbażata fuq l-anomalija ser jimmonitorja t-traffiku tan-netwerk u jqabbelha ma 'linja bażi stabbilita. Il-linja bażi se tidentifika dak li hu "normali" għal dak in-netwerk - liema tip ta 'bandwidth huwa ġeneralment użat, liema protokolli huma użati, liema portijiet u apparati ġeneralment jgħaqqdu lil xulxin u javżaw lill-amministratur jew lill-utent meta t-traffiku jinstab li huwa anomali, jew b'mod sinifikanti differenti mil-linja bażi.
IDS passiva
IDS passiva sempliċiment tidentifika u twissijiet. Meta jiġi skopert traffiku suspettuż jew malizzjuż, twissija tiġi ġġenerata u mibgħuta lill-amministratur jew l-utent u huwa f'idejhom li jieħdu azzjoni biex jimblukkaw l-attività jew jirrispondu b'xi mod.
IDS reattivi
IDS reattiv mhux biss jidentifika traffiku suspettuż jew malizzjuż u javża lill-amministratur imma se jieħu azzjonijiet proattivi definiti minn qabel biex iwieġeb għat-theddida. Tipikament dan ifisser l-imblukkar ta 'kwalunkwe traffiku ieħor tan-netwerk mill- indirizz IP tas-sors jew l-utent.
Wieħed mis-sistemi ta 'sejbien ta' intrużjoni l-aktar magħrufa u użati huwa sors miftuħ, Snort li huwa disponibbli b'mod liberu. Huwa disponibbli għal numru ta 'pjattaformi u sistemi operattivi li jinkludu kemm Linux kif ukoll Windows . Snort għandu segwitu kbir u leali u hemm ħafna riżorsi disponibbli fuq l-Internet fejn tista 'takkwista firem biex timplimenta biex tiskopri l-aħħar theddid. Għal applikazzjonijiet oħra ta 'sejbien ta' intrużjoni freeware, tista 'żżur Software ta' Sejbien ta 'Intrużjoni Ħieles .
Hemm linja multa bejn firewall u IDS. Hemm ukoll teknoloġija msejħa IPS - Sistema ta 'Prevenzjoni ta' Intrużjoni . An IPS huwa essenzjalment firewall li jgħaqqad il-livell tan-network u l-iffiltrar fuq livell ta 'applikazzjoni b'IDS reattiv biex jipproteġi b'mod proattiv in-netwerk. Jidher li maż-żmien fuq il-firewalls, l-IDS u l-IPS jieħdu aktar attributi minn xulxin u jċajpru aktar il-linja.
Essenzjalment, firewall tiegħek hija l-ewwel linja ta 'difiża perimetrika tiegħek. L-aħjar prattiċi jirrakkomandaw li l-firewall tiegħek jiġi kkonfigurat espliċitament biex DENY it-traffiku kollu li jkun dieħel u mbagħad tiftaħ toqob fejn meħtieġ. Jista 'jkollok bżonn tiftaħ port 80 biex tospita siti tal-web jew port 21 biex tospita server fajl FTP . Kull wieħed minn dawn it-toqob jista 'jkun meħtieġ mil-lat wieħed, iżda jirrappreżentaw ukoll vettori possibbli għal traffiku malizzjuż biex jidħlu fin-netwerk tiegħek minflok ma jiġu mblukkati mill-firewall.
Dan huwa fejn jidħol l-IDS tiegħek. Jekk inti timplimenta NIDS fuq in-netwerk kollu jew HIDS fuq l-apparat speċifiku tiegħek, l-IDS jimmonitorja t-traffiku li jidħol u joħroġ u jidentifika traffiku suspettuż jew malizzjuż li jista 'jkun b'xi mod qabeż il-firewall tiegħek jew Jista 'jkun ukoll li joriġina minn ġewwa n-netwerk tiegħek ukoll.
L-IDS jista 'jkun għodda tajba biex timmonitorja u tipproteġi b'mod proattiv in-netwerk tiegħek minn attività malizzjuża, madankollu, huma wkoll suxxettibbli għal allarmi foloz. Biss bi kwalunkwe soluzzjoni IDS inti timplimenta ser ikollok bżonn li "tarmonizzaha" ladarba tkun l-ewwel installata. Għandek bżonn li l-IDS tkun konfigurat kif suppost biex tirrikonoxxi x'inhu traffiku normali fuq in-netwerk tiegħek vs dak li jista 'jkun traffiku malizzjuż u int, jew l-amministraturi responsabbli biex jirrispondu għal twissijiet IDS, jeħtieġ li tifhem x'inhuma l-allerti u kif tirrispondi b'mod effettiv.