Panimula sa Mga Sistema ng Pagtuklas sa Pag-intindi (IDS)

Sinusubaybayan ng sistema ng pagtuklas ng panghihimasok (IDS) ang trapiko at sinusubaybayan ng network para sa kahina-hinalang aktibidad at mga alerto sa system o administrator ng network. Sa ilang mga kaso, ang mga ID ay maaaring tumugon sa maanomalyang o malisyosong trapiko sa pamamagitan ng pagkuha ng pagkilos tulad ng pag-block sa user o source IP address mula sa pag-access sa network.

Ang mga ID ay may iba't ibang "lasa" at lumalapit sa layunin ng pag-detect ng kahina-hinalang trapiko sa iba't ibang paraan. Mayroong network based (NIDS) at host based (HIDS) na panghihimasok sistema ng pagtuklas. May mga ID na nakikita batay sa paghanap ng mga tukoy na pirma ng mga kilalang banta-katulad ng paraan ng pangkaraniwang pag-detect at proteksyon ng antivirus software laban sa malware- at may mga ID na nakikita batay sa paghahambing ng mga pattern ng trapiko laban sa isang baseline at naghahanap ng mga anomalya. May mga ID na lang na sinusubaybayan at alerto at may mga ID na nagsasagawa ng isang aksyon o mga aksyon bilang tugon sa isang napansing pagbabanta. Masakop namin ang bawat isa sa mga ito.

NIDS

Ang Network Intrusion Detection Systems ay inilalagay sa isang strategic point o point sa loob ng network upang masubaybayan ang trapiko patungo sa at mula sa lahat ng mga aparato sa network. Sa isip, i-scan mo ang lahat ng papasok at papalabas na trapiko, gayunpaman ang paggawa nito ay maaaring lumikha ng isang bottleneck na makapipinsala sa pangkalahatang bilis ng network.

HIDS

Ang Host Intrusion Detection Systems ay tatakbo sa mga indibidwal na nagho-host o device sa network. Sinusubaybayan ng isang HIDS ang mga papasok at papalabas na mga packet mula sa device lamang at babalaan ang user o administrator ng kahina-hinalang aktibidad na napansin

Batay sa Lagda

Ang mga IDS batay sa lagda ay susubaybayan ang mga packet sa network at ihambing ang mga ito laban sa isang database ng mga lagda o mga katangian mula sa mga kilalang nakakahamak na pagbabanta. Ito ay katulad ng paraan na nakita ng pinaka- antivirus software ang malware. Ang isyu ay magkakaroon ng lag sa pagitan ng isang bagong pagbabanta na natuklasan sa ligaw at ang lagda para sa pag-detect na banta na inilalapat sa iyong mga ID. Sa panahong iyon, ang iyong mga ID ay hindi makakakita ng bagong pagbabanta.

Batay sa Anomalya

Ang isang ID na kung saan ay batay sa anomalya ay subaybayan ang trapiko sa network at ihambing ito laban sa isang itinatag na baseline. Ang baseline ay makikilala kung ano ang "normal" para sa network na-kung anong uri ng bandwidth ang karaniwang ginagamit, kung ano ang mga protocol ang ginagamit, kung ano ang mga port at mga device sa pangkalahatan ay kumonekta sa isa't isa- at alertuhan ang administrator o user kapag napansin ang trapiko na kung saan ay maanomalyang, o naiiba kaysa sa baseline.

Passive IDS

Nakikita lamang ng mga passive ID ang mga alerto. Kapag nakikita ang kahina-hinalang o nakakahamak na trapiko ay nalikha ang isang alerto at ipinadala sa administrator o user at nakasalalay sa kanila upang kumilos upang harangan ang aktibidad o tumugon sa ilang mga paraan.

Reactive IDS

Ang isang reaktibo IDS ay hindi lamang makakakita ng kahina-hinala o nakahahamak na trapiko at alertuhan ang administrator ngunit gagawa ng paunang natukoy na mga aktibong aksyon upang tumugon sa pagbabanta. Kadalasan nangangahulugan ito ng pag-block sa anumang karagdagang trapiko sa network mula sa source IP address o gumagamit.

Ang isa sa mga pinaka mahusay na kilala at malawak na ginagamit panghihimasok sistema ng pagtuklas ay ang open source, malayang magagamit Snort. Ito ay magagamit para sa isang bilang ng mga platform at operating system kabilang ang parehong Linux at Windows . Ang Snort ay may isang malaki at tapat na sumusunod at maraming mga mapagkukunan na magagamit sa Internet kung saan maaari kang makakuha ng mga lagda upang ipatupad upang makita ang mga pinakabagong pagbabanta. Para sa iba pang mga application ng paghahanap ng panghihimasok ng freeware, maaari mong bisitahin ang Free Intrusion Detection Software .

May isang magandang linya sa pagitan ng isang firewall at isang IDS. Mayroon ding teknolohiya na tinatawag na IPs - System Intrusion Prevention . Ang isang IPS ay mahalagang isang firewall na pinagsasama ang antas ng network at pag-filter sa antas ng application na may reactive ID upang mapangalagaan ang network. Tila na habang ang oras ay tumatakbo sa mga firewalls, ang mga ID at IPS ay tumatagal ng higit pang mga katangian mula sa bawat isa at lumabo nang higit pa sa linya.

Mahalaga, ang iyong firewall ang iyong unang linya ng pagtatanggol sa buong gilid. Inirerekomenda ng mga pinakamahusay na kasanayan na ang iyong firewall ay malinaw na isinaayos upang DENY lahat ng papasok na trapiko at pagkatapos ay magbubukas ka ng mga butas kung kinakailangan. Maaaring kailanganin mong buksan ang port 80 upang i-host ang mga web site o port 21 upang mag-host ng server ng FTP file . Ang bawat isa sa mga butas ay maaaring kinakailangan mula sa isang paniniwala, ngunit ito rin ay kumakatawan sa posibleng mga vectors para sa malisyosong trapiko upang ipasok ang iyong network sa halip na mai-block ng firewall.

Iyon ay kung saan ang iyong mga ID ay papasok. Kung ipatupad mo ang isang NIDS sa buong network o isang HIDS sa iyong partikular na aparato, ang mga IDS ay susubaybayan ang dumarating at papalabas na trapiko at tukuyin ang kahina-hinala o nakahahamak na trapiko na maaaring sa anumang paraan ay na-bypass ang iyong firewall o ito maaaring posibleng nagmula sa loob ng iyong network pati na rin.

Ang isang ID ay maaaring maging isang mahusay na tool para sa proactively pagmamanman at pagprotekta sa iyong network mula sa malisyosong aktibidad, gayunpaman, sila ay madaling kapitan ng sakit sa maling mga alarma. Sa pamamagitan lamang ng anumang ID ng solusyon ipatupad mo kailangan mong "tune it" sa sandaling ito ay unang naka-install. Kailangan mo ang mga ID na maayos na isinaayos upang makilala kung ano ang normal na trapiko sa iyong network kumpara sa kung ano ang maaaring nakakahamak na trapiko at ikaw, o ang mga administrador na responsable sa pagtugon sa mga alerto ng IDS, kailangang maunawaan kung ano ang ibig sabihin ng mga alerto at kung paano epektibong tumugon.