ჩანერგვის გამოვლენის სისტემა (IDS) მონიტორინგს უწევს ქსელური ტრაფიკის და მონიტორებს საეჭვო საქმიანობისთვის და აცნობებს სისტემის ან ქსელის ადმინისტრატორს. ზოგიერთ შემთხვევაში, IDS- ს შეუძლია ანალოგური ან მუქარის მოძრაობის რეაგირება მოახდინოს ისეთი ქმედების განხორციელებით, როგორიცაა ქსელის წვდომის მომხმარებლის ან წყაროს IP მისამართის დაბლოკვა.
IDS მოდის სხვადასხვა "არომატის" და მივუდგეთ მიზანს საეჭვო ტრაფიკის გამოვლენის მიზნით. არსებობს ქსელური დაფუძნებული (NIDS) და მასპინძელი დაფუძნებული (HIDS) შეჭრა გამოვლენის სისტემები. არსებობს IDS, რომელიც იდენტიფიცირებულია ცნობილი საფრთხის კონკრეტული ხელმოწერების ძიებისას - ანტივირუსული პროგრამული უზრუნველყოფის მსგავსად, როგორც წესი, გამოავლენს და იცავს მავნეებს - და არსებობს IDS, რომლებიც იდენტიფიცირებას ახდენენ ტრეინინგის ნიმუშების შედარებით საბაზისო და ეძებს ანომალიებს. არსებობს IDS, რომ უბრალოდ მონიტორინგი და გაფრთხილება და არსებობს IDS, რომ შეასრულოს ქმედება ან ქმედებები საპასუხოდ საფრთხე. თითოეული ამ მოკლედ დავფარავთ.
NIDS
ქსელის ინტრავენური გამოვლენის სისტემები განთავსდება ქსელის ფარგლებში სტრატეგიულ წერტილზე ან წერტილზე ქსელის მონიტორინგზე და ქსელის ყველა მოწყობილობიდან. იდეალურ შემთხვევაში, თქვენ ყველა სკანირებას და გამავალი ტრაფიკის სკანირებას შეძლებენ, თუმცა ამის გაკეთება შესაძლოა შეექმნათ პრობლემური ქსელი, რაც ხელს უშლის ქსელის საერთო სისწრაფეს.
დამალვა
მასპინძელი Intrusion დიაგნოსტიკა სისტემები აწარმოებს ინდივიდუალური მასპინძლებს ან მოწყობილობებს ქსელში. HIDS მონიტორინგს ახორციელებს მხოლოდ მოწყობილობიდან შემომავალი და გამავალი პაკეტები და იმოქმედებს საეჭვო საქმიანობის მომხმარებლის ან ადმინისტრატორის მიერ
ხელმოწერა დაფუძნებულია
ხელმოწერის დაფუძნებული IDS ხელს უშლის პაკეტებს ქსელზე და შეადარებს მათ ხელმოწერების ან ატრიბუტების ბაზაში არსებული მუქარის მუქარისგან. ეს მსგავსია ყველაზე ანტივირუსული პროგრამული უზრუნველყოფის მიერ გამოვლენილი malware. საკითხი იმაში მდგომარეობს, რომ ველში აღმოჩენილი ახალი საფრთხის შემცველია და თქვენი IDS- ის მიმართ გამოყენებული საფრთხის გამოვლენის ხელმოწერა. ამ დროს, თქვენი IDS ვერ შეძლებს აღმოაჩინოს ახალი საფრთხე.
ანომალია დაფუძნებულია
IDS, რომელიც ანომალია დაფუძნებული იქნება ქსელური ტრაფიკის მონიტორინგზე და შეესაბამება მის ბაზაზე არსებულ ბაზას. ამ ქსელისთვის "ნორმალურია", თუ რა არის "ნორმალური", რა პროტოკოლები გამოიყენება, რა პორტები და მოწყობილობები ზოგადად ერთმანეთთან აკავშირებს და ადმინისტრატორს ან მომხმარებლის გაფრთხილებას, როდესაც მოძრაობა გამოვლინდა, რაც ანომალია, ან მნიშვნელოვნად განსხვავდება საბაზისო.
პასიური IDS
პასიური IDS უბრალოდ ცნობს და შეტყობინებებს. საეჭვო ან მავნე ტრაფიკის აღმოჩენისას მზადდება შეტყობინება და გადაეგზავნება ადმინისტრატორს ან მომხმარებელს, და მათ შეუძლიათ მიიღონ ზომები, რათა შეაჩერონ საქმიანობა ან უპასუხონ გარკვეულწილად.
რეაქტიული IDS
რეაქტიული IDS არა მხოლოდ საეჭვო ან მავნე ტრაფიკის გამოვლენას და ადმინისტრატორს გაფრთხილებას, არამედ საფრთხეს უპასუხებს წინასწარ განსაზღვრულ აქტიურ ქმედებებს. როგორც წესი, ეს ნიშნავს იმას, რომ ბლოკირება ნებისმიერი დამატებითი ქსელის მოძრაობის IP მისამართის ან მომხმარებლისგან.
ერთ-ერთი ყველაზე ცნობილი და ფართოდ გავრცელებული ჩანერგვის გამოვლენის სისტემა არის ღია წყარო, თავისუფლად ხელმისაწვდომი Snort. ეს ხელმისაწვდომია მთელი რიგი პლატფორმების და ოპერაციული სისტემების ჩათვლით, როგორც Linux და Windows . სნორში დიდი და ლოიალურია და არსებობს ბევრი რესურსი ინტერნეტში, სადაც შეგიძლიათ მიიღოთ ხელმოწერები იმისათვის, რომ განახორციელონ უახლესი საფრთხეები. სხვა უფასოდ შემოჭრის გამოვლენის განაცხადების, შეგიძლიათ ეწვიოთ უფასო თავდასხმის გამოვლენის პროგრამული უზრუნველყოფა .
არსებობს ჯარიმა ხაზს შორის firewall და IDS. არსებობს ასევე ტექნოლოგია მოუწოდა IPS - ინტრავენური პრევენციის სისტემა . IPS არსებითად არის Firewall, რომელიც აერთიანებს ქსელის დონის და აპლიკაციის დონის ფილტრაციას რეაქტიული IDS- თან ერთად პროაქტიულად დაცულ ქსელს. როგორც ჩანს, ხანძრის დროს IDS და IPS ერთმანეთისგან უფრო მეტ ატრიბუტს მიიღებენ და უფრო მეტ ხაზს აფერხებენ.
არსებითად, თქვენი firewall არის თქვენი პირველი ხაზი პერიმეტრის თავდაცვის. საუკეთესო პრაქტიკები გირჩევთ, რომ თქვენი firewall იყოს მკაფიოდ კონფიგურირებული DENY ყველა შემომავალი ტრაფიკი და შემდეგ გახსენით ხვრელები საჭიროების შემთხვევაში. თქვენ შეიძლება დაგჭირდეთ პორტის გახსნის 80-ის ვებ-გვერდები ან პორტი 21-ის FTP ფაილ სერვერზე . თითოეული ამ ხვრელი შეიძლება საჭირო გახდეს ერთი თვალსაზრისით, მაგრამ ისინი ასევე წარმოადგენენ შესაძლო ვექტორებს მავნე ტრაფიკისთვის, რათა შეიყვანოთ თქვენი ქსელი, ვიდრე ჩაშლილია ცეცხლსასროლი იარაღით.
ეს არის სადაც თქვენი IDS მოვა. თუ თქვენ განახორციელებთ NIDS- ს მთელ ქსელში ან HIDS- ს თქვენს სპეციფიკურ მოწყობილობაზე, IDS მონიტორინგს განახორციელებს შემომავალი და გამავალი ტრანსპორტის მონიტორინგი და იდენტიფიცირება საეჭვო ან მავნე ტრაფიკის იდენტიფიცირება, რაც შეიძლება გარკვეულწილად გვერდის ავლით თქვენს firewall შესაძლებელია ქსელის შიგნიდან წარმოშობა.
IDS შეიძლება იყოს დიდი ინსტრუმენტი პროაქტიულად მონიტორინგი და დაცვა თქვენი ქსელის მუქარის საქმიანობაში, თუმცა, ისინი ასევე მიდრეკილება ყალბი სიგნალი. მხოლოდ იმ IDS გადაწყვეტის მეშვეობით, რომელიც თქვენ განახორციელებთ, საჭიროა "სრულყოფილი", მას შემდეგ, რაც პირველად დამონტაჟდება. საჭიროა IDS- ს სათანადოდ კონფიგურირებული, თუ რა არის ნორმალური ტრაფიკი თქვენს ქსელში, თუ რა შეიძლება იყოს მავნე ტრაფიკი და თქვენ ან ადმინისტრატორებს, რომლებიც პასუხს აგებენ IDS- ის შეტყობინებებზე, უნდა გაიგონ, რა გაფრთხილებები ნიშნავს და რამდენად ეფექტურად რეაგირებენ.