Bir saldırı tespit sistemi (IDS) ağ trafiğini izler ve şüpheli etkinlik için izler ve sistemi veya ağ yöneticisini uyarır. Bazı durumlarda IDS, kullanıcının veya kaynak IP adresinin ağa erişmesini engellemek gibi eylemler gerçekleştirerek anormal veya zararlı trafiğe de yanıt verebilir.
IDS çeşitli "tatlar" gelir ve şüpheli trafiği farklı yollarla algılama amacına yaklaşır. Ağ tabanlı (NIDS) ve ana bilgisayar tabanlı (HIDS) saldırı tespit sistemleri vardır. Bilinen tehditlere özgü antivirüs yazılımlarının tipik olarak kötü amaçlı yazılımları algıladığı ve koruduğu şekle benzer olarak algılamaya çalışan IDS'ler vardır ve trafik örüntülerini taban çizgisine göre karşılaştırmaya ve anormallikleri aramaya dayalı olarak tespit eden IDS'ler vardır. Sadece izlemek ve uyarmak için IDS vardır ve tespit edilen tehdide yanıt olarak bir eylem veya eylem gerçekleştiren IDS'ler vardır. Bunların her birini kısaca ele alacağız.
NIDS
Ağa İzinsiz Giriş Algılama Sistemleri, ağdaki tüm cihazlara gelen ve giden trafiği izlemek için stratejik bir noktaya veya ağ içindeki noktalara yerleştirilir. İdeal olarak, tüm gelen ve giden trafiği tarayacaksınız, ancak bunu yapmak ağın genel hızını bozacak bir darboğaz yaratabilir.
HIDS
Host Intrusion Detection Systems , ağdaki tek tek ana bilgisayarlarda veya cihazlarda çalıştırılır. Bir HIDS, gelen ve giden paketleri yalnızca aygıttan izler ve şüpheli etkinliğin kullanıcı veya yöneticisinin algılandığını bildirir
İmza Tabanlı
İmza tabanlı bir IDS, ağdaki paketleri izleyecek ve bunları, bilinen zararlı tehditlere ait bir imza veya öznitelik veri tabanına karşı karşılaştıracaktır. Bu, çoğu antivirüs yazılımının kötü amaçlı yazılımı algılamasına benzer. Sorun şu ki, vahşi ortamda keşfedilen yeni bir tehdit ile bu tehdidin IDS'nize uygulandığını tespit etme imzası arasında bir gecikme olacak. Bu gecikme süresinde, IDS'niz yeni tehdidi algılayamayacaktı.
Anomali Temeli
Anomali tabanlı bir IDS, ağ trafiğini izleyecek ve bunu yerleşik bir temel çizgiyle karşılaştıracaktır. Taban çizgisi, bu ağ için “normal” in ne olduğunu, genellikle hangi bant genişliğinin kullanıldığını, hangi protokollerin kullanıldığını, hangi portların ve cihazların genel olarak birbirine bağlandığını tanımlayacak ve anormal olan trafik tespit edildiğinde yönetici veya kullanıcıyı uyarır. veya taban çizgisinden önemli ölçüde farklıdır.
Pasif IDS
Bir pasif IDS basitçe algılar ve uyarır. Şüpheli veya kötü niyetli trafik tespit edildiğinde, bir uyarı oluşturulur ve yönetici veya kullanıcıya gönderilir ve etkinliği engellemek ya da bir şekilde yanıt vermek için harekete geçmek onlara kalmış olur.
Reaktif IDS
Reaktif bir IDS sadece şüpheli veya zararlı trafiği tespit etmekle kalmaz ve yöneticiyi uyarır, ancak tehdide yanıt vermek için önceden tanımlanmış proaktif eylemler alır. Genellikle bu, kaynak IP adresinden veya kullanıcıdan başka ağ trafiğini engellemek anlamına gelir.
En iyi bilinen ve yaygın olarak kullanılan saldırı tespit sistemlerinden biri açık kaynak, serbestçe kullanılabilir Snort'tur. Hem Linux hem de Windows dahil olmak üzere çeşitli platformlar ve işletim sistemleri için kullanılabilir. Snort'un büyük ve sadık bir takipçisi var ve internette, en yeni tehditleri tespit etmek için uygulamak üzere imza alabileceğiniz birçok kaynak var. Diğer ücretsiz intrusion algılama uygulamaları için, Ücretsiz İzinsiz Giriş Tespit Yazılımını ziyaret edebilirsiniz.
Güvenlik duvarı ve IDS arasında ince bir çizgi var. IPS - Saldırı Önleme Sistemi adlı bir teknoloji de var. Bir IPS esasen ağ seviyesini ve uygulama düzeyinde filtrelemeyi, ağı proaktif olarak korumak için reaktif bir IDS ile birleştiren bir güvenlik duvarıdır. Görünen o ki, güvenlik duvarları üzerinde zaman geçtikçe IDS ve IPS birbirlerinden daha fazla özellik alır ve çizgiyi daha da bulanıklaştırır.
Esasen, güvenlik duvarınız ilk çevre savunma hattınızdır. En iyi yöntemler , güvenlik duvarınızın tüm gelen trafiği DENY olarak yapılandırmasını ve sonra gerektiğinde delik açmanızı önerir. Bir FTP dosya sunucusunu barındırmak için web sitelerini veya bağlantı noktası 21'i barındırmak için bağlantı noktası 80'i açmanız gerekebilir. Bu deliklerin her biri, bir bakış açısından gerekli olabilir, ancak aynı zamanda, kötü amaçlı trafik için olası vektörlerin, güvenlik duvarı tarafından engellenmek yerine ağınıza girmesini de sağlar.
IDS'nizin geleceği yer burasıdır. Ağınızdaki bir NIDS'i veya belirli bir cihazdaki bir HIDS'i uygularsanız, IDS, gelen ve giden trafiği izler ve güvenlik duvarınızı veya bir şekilde baypas etmiş olabilecek şüpheli veya zararlı trafiği tespit eder. muhtemelen ağınızın içinden de kaynaklanıyor olabilir.
IDS, ağınızı zararlı aktiviteden proaktif olarak izlemek ve korumak için harika bir araç olabilir, ancak yanlış alarmlara da yatkındır. Uyguladığınız hemen hemen tüm IDS çözümleriyle, ilk kurulduğunda “ayarlamanız” gerekir. Ağınızdaki normal trafiğin neyin kötü niyetli trafik olabileceğini ve siz veya IDS uyarılarına yanıt vermekten sorumlu yöneticilerin, uyarıların ne anlama geldiğini ve etkili bir şekilde nasıl yanıt vereceğini anlaması gerektiğini doğru bir şekilde yapılandırmak için IDS'ye ihtiyacınız vardır.