Un sistema de detección de intrusos (IDS) monitoriza o tráfico da rede e monitorea actividade sospeitosa e alerta o sistema ou o administrador da rede. Nalgúns casos, o IDS tamén pode responder a un tráfico anómalo ou malicioso tendo acción como bloquear o acceso do usuario ou o enderezo IP de orixe.
Os IDS veñen nunha variedade de "sabores" e achegan o obxectivo de detectar tráfico sospeitoso de diferentes xeitos. Existen sistemas de detección de intrusos baseados en rede (NIDS) e host (HIDS). Existen IDS que detectan en función da busca de sinaturas específicas de ameazas coñecidas, semellantes á forma en que o software antivirus normalmente detecta e protexe contra o malware e hai IDS que detectan en función da comparación dos patróns de tráfico fronte a unha liña de base e á procura de anomalías. Existen IDS que simplemente monitorean e alertan e hai IDS que realizan unha acción ou accións en resposta a unha ameaza detectada. Cubrimos cada un destes brevemente.
NIDS
Os sistemas de detección de intrusos de rede colócanse nun punto ou puntos estratéxicos dentro da rede para controlar o tráfico desde e para todos os dispositivos da rede. Idealmente, vostede escanearía todo o tráfico de entrada e saída, pero ao facelo podería crear un colapso de botella que afectaría a velocidade xeral da rede.
HIDS
Os sistemas de detección de intrusión do servidor son executados en servidores ou dispositivos individuais na rede. Un HIDS monitor os paquetes de entrada e saída do dispositivo só e alertará ao usuario ou administrador de actividade sospeitosa que se detecte.
Basado na sinatura
Un IDS baseado en sinatura monitor os paquetes da rede e os compara nunha base de datos de sinaturas ou atributos de ameazas maliciosas coñecidas. Isto é similar á forma en que o software antivirus detecta malware. O problema é que haberá un retraso entre unha nova ameaza que se descubrira en estado salvaxe ea sinatura para detectar esa ameaza que se aplica ao seu IDS. Durante ese tempo de retraso, o IDS non podería detectar a nova ameaza.
Anomalía baseada
Un IDS que está baseado en anomalías monitorará o tráfico da rede e comparalo fronte a unha liña base establecida. A liña base identificará o que é "normal" para esa rede: o tipo de ancho de banda que se usa xeralmente, os protocolos que se usan, o que os portos e os dispositivos xeralmente se conectan entre si e alertan ao administrador ou ao usuario cando se detecta tráfico que é anómalo, ou significativamente diferente á base.
IDS pasiva
Un IDS pasivo simplemente detecta e alerta. Cando se detecte tráfico sospeitoso ou malicioso, xérase unha alerta e envíalle ao administrador ou usuario e corresponde a eles actuar para bloquear a actividade ou responder de algunha maneira.
IDS reactivo
Un IDS reactivo non só detectará tráfico sospeitoso ou malicioso e avisará ao administrador, pero tomará accións proactivas predefinidas para responder á ameaza. Normalmente isto significa bloquear calquera outro tráfico de rede desde a dirección IP ou usuario orixinal.
Un dos sistemas de detección de intrusión máis coñecidos e máis utilizados é a fonte aberta, Snort libremente dispoñible. Está dispoñible para varias plataformas e sistemas operativos, incluíndo Linux e Windows . Snort ten un seguimento amplo e fiel e hai moitos recursos dispoñibles en Internet onde pode adquirir sinaturas para implementar para detectar as últimas ameazas. Para outras aplicacións de detección de intrusión de freeware, pode visitar o software de detección de intrusión gratuíto .
Hai unha liña fina entre un firewall e un IDS. Hai tamén unha tecnoloxía chamada IPS - Sistema de prevención de intrusos . Un IPS é esencialmente un firewall que combina filtros a nivel de rede e nivel de aplicación cun IDS reactivo para protexer de forma proactiva a rede. Parece que a medida que pasa o tempo os cortafuegos, IDS e IPS adquiren máis atributos entre si e desenfoque a liña aínda máis.
En esencia, o teu firewall é a túa primeira liña de defensa perimetral. As mellores prácticas recomendan que o seu firewall estea configurado explicitamente para DENY todo o tráfico entrante e que abra buracos cando sexa necesario. É posible que deba abrir o porto 80 aos sitios web de acollida ou ao porto 21 para aloxar un servidor de ficheiros FTP . Cada un destes buracos pode ser necesario desde un punto de vista, pero tamén representan vectores posibles de tráfico malicioso para entrar na rede en lugar de ser bloqueados polo firewall.
Aquí é onde entra o seu IDS. Se se implementa un NIDS en toda a rede ou un HIDS no seu dispositivo específico, o IDS supervisará o tráfico entrante e saínte e identificará tráfico sospeitoso ou malicioso que podería ignorar o firewall ou non podería ser orixinario desde dentro da túa rede tamén.
Un IDS pode ser unha gran ferramenta para monitorear e protexer de forma proactiva a súa rede de actividades maliciosas, con todo, tamén son propensas a falsas alarmas. Con case calquera solución IDS que implementa necesitará "sintonizarla" unha vez que se instale por primeira vez. Necesitas que o IDS estea correctamente configurado para recoñecer o tráfico normal na túa rede contra o que pode ser un tráfico malicioso e ti ou os administradores responsables de responder ás alertas de IDS precisan entender o que significan as alertas e como responder de forma eficaz.