Sistem za otkrivanje intrusion-a (IDS) prati mrežni saobraćaj i nadgleda sumnjivu aktivnost i upozorava administratora sistema ili mreže. U nekim slučajevima, IDS može takođe reagovati na anomalan ili zlonamerni saobraćaj tako što preduzima akcije kao što je blokiranje korisničke ili izvorne IP adrese od pristupa mreži.
IDS dolazi u raznim "ukusima" i pristupa cilju otkrivanja sumnjivog saobraćaja na različite načine. Postoje mrežni sistemi (NIDS) i sistemi zasnovani na hostovima (HIDS). Postoje IDS koji detektuju na osnovu traženja određenih potpisa poznatih pretnji - slično načinu na koji antivirusni softver obično otkriva i štiti od malvera - i postoje IDS-ovi koji detektuju na osnovu poređenja saobraćajnih obrasca prema osnovnoj liniji i traženju anomalija. Postoje IDS-ovi koji jednostavno prate i upozoravaju i postoje IDS-ovi koji izvršavaju akciju ili radnje kao odgovor na otkrivenu pretnju. Ukratko ćemo pokriti sve ove.
NIDS
Sistemi za detekciju mrežnog upada postavljeni su na stratešku tačku ili tačke unutar mreže kako bi pratili saobraćaj do i sa svih uređaja na mreži. U idealnom slučaju, skenirali biste sve ulazne i odlazne saobraćajnice, međutim to bi moglo da stvori usko grlo koje bi ugrozilo ukupnu brzinu mreže.
HIDS
Sistemi za otkrivanje intrusion-sistema (Host Intrusion Detection Systems) se pokreću na pojedinačnim domaćinima ili uređajima na mreži. HIDS prati ulazne i odlazne pakete sa uređaja i upozorava korisnika ili administratora sumnjive aktivnosti
Signature Based
IDS zasnovan na potpisu će pratiti pakete na mreži i upoređivati ih sa bazom podataka o potpisima ili atributima iz poznatih zlonamernih pretnji. Ovo je slično načinu na koji većina antivirusnih programa otkriva malver. Problem je u tome što će se postojati zaostajanje između nove prijetnje otkrivene u divljini i potpisa za otkrivanje prijetnje koja se primjenjuje na vaš IDS. Tokom tog vremenskog perioda, IDS ne bi mogao da otkrije novu pretnju.
Anomaly Based
IDS koji je zasnovan na anomaliji pratiće mrežni saobraćaj i upoređuje ga sa utvrđenom osnovnom linijom. Osnovna linija će identifikovati ono što je "normalno" za tu mrežu - kakvu vrstu propusnog opsega se generalno koristi, koji protokoli se koriste, koje portove i uređaji se obično povezuju jedni sa drugima - i upozoravaju administratora ili korisnika kada je saobraćaj otkriven koji je anomalan, ili značajno drugačije od osnovnog nivoa.
Pasivni IDS
Pasivni IDS jednostavno otkriva i upozorava. Kada se otkrije sumnjiv ili zlonamerni saobraćaj, upozorenje se generiše i šalje administratoru ili korisniku, a na njih je potrebno preduzeti mjere da blokiraju aktivnost ili da odgovore na neki način.
Reaktivni IDS
Reaktivni IDS neće samo otkriti sumnjiv ili zlonameran saobraćaj i upozoriti administratora, već će preduzeti unapred definisane proaktivne akcije kako bi odgovorio na pretnju. Obično to znači blokiranje bilo kojeg daljnjeg mrežnog saobraćaja sa izvorne IP adrese ili korisnika.
Jedan od najpoznatijih i najčešće korišćenih sistema za otkrivanje intrusion-a je otvoreni izvor, slobodno dostupan Snort. Dostupan je za niz platformi i operativnih sistema uključujući i Linux i Windows . Snort ima veliko i lojalno slijedeće i postoji mnogo resursa dostupnih na Internetu gdje možete nabaviti potpise za implementaciju kako biste otkrili najnovije pretnje. Za druge besplatne aplikacije za detekciju upada možete posetiti Free Intrusion Detection Software .
Postoji tanka linija između zaštitnog zida i IDS-a. Postoji i tehnologija pod nazivom IPS - Sistem za sprečavanje upada . IPS je u suštini zaštitni zid koji kombinuje mrežno i filtriranje nivoa aplikacija sa reaktivnim IDS-om kako bi proaktivno zaštitio mrežu. Izgleda da, kako vreme prolazi na zaštitnim zidovima, IDS i IPS preuzmu više atributa jedan od drugog i zamagljuju liniju još više.
U suštini, vaš zaštitni zid je vaša prva linija odbrane od perimetara. Najbolje prakse preporučuju da vaši zaštitni zid bude eksplicitno konfigurisan da DENY sve dolazni saobraćaj, a zatim otvorite rupe ako je potrebno. Možda ćete morati otvoriti port 80 za hostovanje web stranica ili port 21 za hostovanje FTP datotečnog servera . Svaka od ovih rupa može biti neophodna s jedne tačke gledišta, ali takođe predstavljaju moguće vektore za zlonamerni saobraćaj da uđu u vašu mrežu umjesto da ih blokira zaštitni zid.
Tada će vaš IDS doći. Da li implementirate NIDS preko čitave mreže ili HIDS na vašem specifičnom uređaju, IDS će pratiti ulazni i odlazni saobraćaj i identifikovati sumnjiv ili zlonameran saobraćaj koji bi nekako mogao zaobići svoj zaštitni zid ili ga moguće je i poreklo iz vaše mreže.
IDS može biti odličan alat za proaktivno praćenje i zaštitu vaše mreže od zlonamerne aktivnosti, međutim, oni su takođe skloni lažnim alarmima. Sa skoro bilo kakvim IDS rešenjem koje implementirate, potrebno je da ga "podesite" kada se prvi put instalira. Potrebno vam je IDS da budete adekvatno konfigurisani da prepoznate koji je običan saobraćaj u vašoj mreži nasuprot tome što može biti zlonameran saobraćaj, a vi ili administratori odgovorni za odgovor na IDS upozorenja treba da razumeju šta upozorenja znače i kako efikasno odgovoriti.