Система обнаружения вторжений (IDS) отслеживает сетевой трафик и контролирует подозрительные действия и предупреждает системного или сетевого администратора. В некоторых случаях IDS также может реагировать на аномальный или вредоносный трафик, предпринимая такие действия, как блокирование доступа к сети или IP-адреса пользователя или источника.
IDS входят в различные «вкусы» и подходят к цели обнаружения подозрительного трафика по-разному. Существуют системы обнаружения вторжений на базе сети (NIDS) и на основе хоста (HIDS). Существуют IDS, которые обнаруживаются на основе поиска определенных сигнатур известных угроз, подобно тому, как антивирусное программное обеспечение обычно обнаруживает и защищает от вредоносного ПО, и есть IDS, которые обнаруживаются на основе сравнения шаблонов трафика с базовым уровнем и поиска аномалий. Есть IDS, которые просто контролируют и предупреждают, и есть IDS, которые выполняют действие или действия в ответ на обнаруженную угрозу. Мы кратко рассмотрим каждый из них.
НДИ
Системы обнаружения вторжений в сети размещаются в стратегической точке или точках в сети для мониторинга трафика на всех устройствах в сети и со всех сторон. В идеале вы сканируете весь входящий и исходящий трафик, однако это может создать узкое место, которое ухудшит общую скорость сети.
HIDS
Системы обнаружения вторжений хоста выполняются на отдельных хостах или устройствах в сети. HIDS контролирует входящие и исходящие пакеты только с устройства и предупреждает пользователя или администратора о подозрительной активности
Подпись-Based
Подписи на основе IDS будут отслеживать пакеты в сети и сравнивать их с базой данных подписи или атрибутов от известных вредоносных угроз. Это похоже на то, как большинство антивирусных программ обнаруживает вредоносное ПО. Проблема в том, что будет обнаружено отставание между новой угрозой, обнаруженной в дикой природе, и сигнатурой для обнаружения того, что угроза применяется к вашей IDS. Во время этого запаздывания ваша IDS не сможет обнаружить новую угрозу.
Anomaly-Based
IDS, который основан на аномалии, будет контролировать сетевой трафик и сравнивать его с установленным базовым уровнем. Базовая линия определит, что является «нормальным» для этой сети: какая полоса пропускания обычно используется, какие протоколы используются, какие порты и устройства обычно соединяются друг с другом, и предупреждает администратора или пользователя о обнаружении трафика, который является аномальным, или существенно отличается от базовой линии.
Пассивная IDS
Пассивная IDS просто обнаруживает и предупреждает. Когда обнаружен подозрительный или вредоносный трафик, создается предупреждение и отправляется администратору или пользователю, и им необходимо предпринять действия, чтобы заблокировать действие или ответить каким-то образом.
Реактивная IDS
Реактивная IDS будет не только обнаруживать подозрительный или вредоносный трафик и предупреждать администратора, но и принимать заранее определенные активные действия для реагирования на угрозу. Как правило, это означает блокирование любого дополнительного сетевого трафика с исходного IP-адреса или пользователя.
Одной из наиболее известных и широко используемых систем обнаружения вторжений является открытый источник, свободный доступный Snort. Он доступен для ряда платформ и операционных систем, включая Linux и Windows. Snort имеет большое и лояльное следование, и в Интернете есть много ресурсов, где вы можете приобрести подписи для обнаружения последних угроз.
Между брандмауэром и IDS существует тонкая грань. Существует также технология IPS - система предотвращения вторжений. IPS - это, по сути, брандмауэр, который объединяет фильтрацию на уровне сети и уровня приложения с реактивной IDS для проактивной защиты сети. Похоже, что со временем брандмауэры, IDS и IPS получают больше атрибутов друг от друга и еще больше стирают линию.
По сути, ваш брандмауэр - это ваша первая линия защиты периметра. Лучшие практики рекомендуют, чтобы ваш брандмауэр был явно настроен для DENY всего входящего трафика, а затем, при необходимости, открывайте отверстия. Возможно, вам придется открыть порт 80 для размещения веб-сайтов или порта 21 для размещения файлового сервера FTP. Каждое из этих отверстий может потребоваться с одной точки зрения, но они также представляют возможные векторы для проникновения вредоносного трафика в вашу сеть, а не блокируются брандмауэром.
Именно там придет ваша IDS. Вне зависимости от того, реализуете ли вы NIDS по всей сети или HIDS на своем конкретном устройстве, IDS будет отслеживать входящий и исходящий трафик и идентифицировать подозрительный или вредоносный трафик, который каким-то образом обошел ваш брандмауэр или он возможно, происходят из вашей сети.
IDS может стать отличным инструментом для активного мониторинга и защиты вашей сети от вредоносных действий, однако они также подвержены ложным тревогам. При использовании любого решения IDS, которое вы реализуете, вам нужно будет «настроить его» после его первой установки. Вам необходимо, чтобы IDS был настроен правильно, чтобы узнать, что такое обычный трафик в вашей сети, и что может быть вредоносным трафиком, и вы, или администраторы, отвечающие за реагирование на оповещения IDS, должны понимать, что означают предупреждения и как эффективно реагировать.
