Čo je IDS?

Systémy na detekciu narušenia narušeniaDetekčný systém) je súbor softvéru a / alebo hardvéru, ktorý slúži na zistenie faktov neoprávneného prístupu k počítačovej / počítačovej sieti, ako aj na zabránenie neoprávnenému nakladaniu s nimi.

Čo je IDS?

Jednoducho povedané, IDS je systém, ktorýZabezpečuje bezpečnosť používateľovej aktivity, chráni ju pred rôznymi druhmi útokov a sieťových útokov, ktoré sa vo veku informačnej technológie jednoducho nemôžu brať do úvahy. Okrem toho je IDS schopnosťou prijímať prognózy o budúcich útokoch a predchádzať im, ako aj získať informácie o informáciách o "útočníkoch", ktoré môžu byť užitočné pri náprave faktorov, ktoré umožnili neoprávnený prístup.

Prečo sú IDS potrebné?

Nedávno používanie používateľovSystémy detekcie narušenia aktívne získavajú popularitu. IDS je najdôležitejším prvkom informačnej bezpečnosti, ktorý vyžaduje každý ďalekohľad. Systém na detekciu narušenia nielenže detekuje útok počítača a zablokuje ho, ale tiež ho vykoná v praktickom grafickom rozhraní - používateľ nebude potrebovať špeciálne znalosti o sieťových protokoloch a možných zraniteľných miestach.

Analogicky s antivírusovými programami sa pri základnej metóde detekcie nepovolenej aktivity používajú systémy na detekciu narušenia:

• na základe podpisu. V tomto prípade je analýza vykonaná na základe určitého súboru udalostí, ktoré jednoznačne charakterizujú určitý útok. Táto technika je docela účinná a v hlavných metódach hľadania nebezpečenstva.
• založené na anomáliách. Tento typ práce sa vyznačuje detekciou útokov identifikáciou neobvyklého správania siete, servera alebo aplikácie. Systémy fungujúce v rámci tohto mechanizmu môžu účinne sledovať útoky, ale ich hlavným problémom je množstvo falošných pozitívov.

IDS Architecture

Každá IDS obsahuje:

• subsystém senzorov, ktorý neustále monitoruje udalosti súvisiace s bezpečnosťou systému;
• analytický subsystém, ktorý vyberá zo všetkých udalostí,vybrané snímačom, podozrivé. IDS s aktívnym analytickým subsystémom v prípade zistenia podozrivej aktivity môže prijať kroky na reakciu napríklad rozbiť sieťové pripojenie samostatne. Pasívne IDS iba informujú správcu o podozrivú aktivitu, a dávať pozor na to, alebo nie, používateľ musí rozhodnúť sám za seba.
• Skladovanie, zhromažďovanie primárnych udalostí a výsledky analýzy;
• ovládací panel, ktorý umožňuje používateľovi monitorovať systém.

Vo väčšine jednoduchých IDS, všetky vyššie uvedenékomponenty sú implementované ako jediné zariadenie. V závislosti od parametrov snímača a analytických metód systémy detekcie narušenia poskytujú odlišnú úroveň detekcie útokov.

IDS, ktorý chráni segment siete

Tento typ systému je veľmi spoľahlivý, pretožeNasadenie sa uskutočňuje na dedikovanom serveri, kde iné aplikácie nemôžu fungovať. V tomto prípade môže byť server útočníkovi neviditeľný. Pre mimoriadne vysokú kvalitu ochrany

sieť nastavuje počet takýchto serverov, ktoré môžu analyzovať návštevnosť vo všetkých segmentoch. S úspešným umiestnením týchto systémov môžete sledovať veľmi rozsiahlu sieť.

Vada IDS, ktorá chráni segment siete, jeťažkosti s rozpoznávaním útoku v čase vysokého zaťaženia siete. Okrem toho môže IDS hlásiť iba útok, ale neanalyzovať stupeň penetrácie.

IDS, ktorý chráni jeden server

Tieto systémy zhromažďujú a analyzujúinformácie o podozrivých procesoch, ktoré sa vyskytujú na konkrétnom serveri. Takáto IDS má pomerne úzku úlohu, a preto môže vykonávať veľmi podrobnú analýzu, ako aj identifikovať konkrétneho používateľa, ktorý vykonáva neautorizované činnosti.

Niektoré IDS, ktoré chránia serverschopnosť spravovať skupinu serverov naraz, zostavenie všeobecných správ o možnom sieťovom útoku. Na rozdiel od technológie IDS, ktorá chráni sieťový segment, môžu tieto systémy pracovať aj v sieti, ktorá používa šifrovanie v prípade, že informácie na serveri sú pred odoslaním v čistom tvare.

Hlavná nevýhoda IDS, ovládanie servera (serverov), -neschopnosť sledovať celú sieť. Pre nich sú viditeľné iba pakety prijaté chráneným serverom. Navyše výkon systému sa znižuje, keď server používa výpočtové zdroje.

IDS, ochrana aplikácií

Tieto bezpečnostné systémy monitorujú udalosti,ktoré sa vyskytujú v rámci tej istej aplikácie. Ako ste pravdepodobne hádali, tento systém vám umožňuje vytvoriť prehľad s najvyšším možným stupňom detailov, pretože pracuje s ešte užšou úlohou ako predchádzajúci typový systém.

IDS, ktorý chráni aplikáciu, využíva znalosti o aplikácii, ako aj analýzu dát svojho systémového denníka na analýzu. Systém spolupracuje s aplikáciou prostredníctvom rozhrania API.

Nevýhody IDS, ochrana aplikácií je zrejmé - príliš úzky profil. Samozrejme, ak je pre užívateľa dôležité zabezpečiť bezpečnosť konkrétnej aplikácie, je to prijateľná možnosť.

IDS - spoľahlivá ochrana?

Systém detekcie narušenia - účinnýUžívateľ nástroj na ochranu proti všetkým druhom neoprávnených útokov, ale nezabudnite, že keď hovoríme o plnohodnotné zabezpečenie IDS - jediný prvok systému. Plnohodnotná bezpečnosť je:

• Bezpečnostná politika intranetu;
• systém ochrany hostiteľov;
• audit siete;
• ochrana založená na routeroch;
• firewall;
• systém detekcie narušenia;
• politická odpoveď na zistené útoky.

Iba správnym kombinovaním všetkých vyššie uvedených typov ochrany môže byť používateľ absolútne pokojný pre bezpečnosť ukladania a prenosu dôležitých dát.