Содержание
Система обнаружения вторжений (IDS) отслеживает сетевой трафик и отслеживает подозрительную активность и предупреждает системного или сетевого администратора. В некоторых случаях IDS также может реагировать на аномальный или злонамеренный трафик, предпринимая такие действия, как блокирование доступа пользователя или IP-адреса источника к сети.
IDS бывают разных «разновидностей» и по-разному подходят к цели обнаружения подозрительного трафика. Существуют сетевые (NIDS) и хостовые (HIDS) системы обнаружения вторжений. Существуют IDS, которые обнаруживают на основе поиска конкретных сигнатур известных угроз — подобно тому, как антивирусное программное обеспечение обычно обнаруживает и защищает от вредоносных программ, — и есть IDS, которые обнаруживают на основе сравнения шаблонов трафика с базовым уровнем и поиска аномалий. Есть IDS, которые просто отслеживают и предупреждают, и есть IDS, которые выполняют действие или действия в ответ на обнаруженную угрозу. Мы кратко рассмотрим каждый из них.
НДИ
Системы обнаружения вторжений в сеть размещаются в стратегических точках или точках сети для мониторинга трафика ко всем устройствам в сети и от них. В идеале вы должны сканировать весь входящий и исходящий трафик, однако это может создать узкое место, которое ухудшит общую скорость сети.
HIDS
Системы обнаружения вторжений хостов работают на отдельных хостах или устройствах в сети. HIDS контролирует входящие и исходящие пакеты только с устройства и предупреждает пользователя или администратора в случае обнаружения подозрительной активности.
Подпись-Based
IDS на основе сигнатур будет отслеживать пакеты в сети и сравнивать их с базой данных сигнатур или атрибутов известных вредоносных угроз. Это похоже на то, как большинство антивирусных программ обнаруживают вредоносные программы. Проблема заключается в том, что между обнаружением новой угрозы в дикой природе и подписью для обнаружения этой угрозы, применяемой к вашей IDS, будет лаг. В течение этого времени задержки ваша IDS не сможет обнаружить новую угрозу.
Anomaly-Based
IDS на основе аномалий будет отслеживать сетевой трафик и сравнивать его с установленным базовым уровнем. Базовая линия определит, что является «нормальным» для этой сети — какая полоса пропускания обычно используется, какие протоколы используются, какие порты и устройства обычно подключаются друг к другу — и предупредит администратора или пользователя при обнаружении аномального трафика, или значительно отличается от базовой линии.
Пассивные IDS
Пассивный IDS просто обнаруживает и предупреждает. При обнаружении подозрительного или вредоносного трафика генерируется предупреждение, которое отправляется администратору или пользователю, и они сами должны предпринять действия, чтобы заблокировать действие или ответить каким-либо образом.
Реактивные IDS
Реактивный IDS не только обнаружит подозрительный или злонамеренный трафик и предупредит администратора, но и предпримет заранее определенные активные действия для реагирования на угрозу. Как правило, это означает блокирование любого дальнейшего сетевого трафика от исходного IP-адреса или пользователя.
Одной из наиболее известных и широко используемых систем обнаружения вторжений является свободно доступный Snort с открытым исходным кодом. Он доступен для ряда платформ и операционных систем, включая Linux и Windows. У Snort большое количество постоянных подписчиков, и в Интернете доступно множество ресурсов, где вы можете приобрести подписи для обнаружения новейших угроз.
Брандмауэры против IDS против IPS
Существует тонкая грань между брандмауэром и IDS. Существует также технология под названием IPS (система предотвращения вторжений). IPS — это, по сути, межсетевой экран, который объединяет фильтрацию на уровне сети и на уровне приложений с реактивной IDS для упреждающей защиты сети. Кажется, что со временем брандмауэры IDS и IPS приобретают все больше атрибутов друг от друга и еще больше размывают границы.
По сути, ваш брандмауэр — ваша первая линия защиты периметра. В соответствии с рекомендациями рекомендуется, чтобы брандмауэр был явно настроен на ОТКЛОНЕНИЕ всего входящего трафика, а затем при необходимости открывайте дыры. Может потребоваться открыть порт 80 для размещения веб-сайтов или порт 21 для размещения файлового сервера FTP. Каждая из этих дыр может быть необходима с одной точки зрения, но они также представляют возможные векторы проникновения злонамеренного трафика в вашу сеть, а не блокирования брандмауэром.
Вот где ваш IDS должен войти. Независимо от того, внедрите ли вы NIDS по всей сети или HIDS на вашем конкретном устройстве, IDS будет отслеживать входящий и исходящий трафик и выявлять подозрительный или вредоносный трафик, который мог каким-то образом обойти ваш брандмауэр или его может также происходить из вашей сети.
IDS может быть отличным инструментом для упреждающего мониторинга и защиты сети от злонамеренных действий, однако они также подвержены ложным тревогам. Практически с любым IDS-решением, которое вы внедряете, вам нужно будет «настроить его» после его первой установки. Вам нужно, чтобы IDS был правильно настроен для распознавания того, что является обычным трафиком в вашей сети, и того, что может быть злонамеренным трафиком, и вы, или администраторы, отвечающие за реагирование на оповещения IDS, должны понимать, что означают оповещения и как эффективно на них реагировать.
