Ներխուժման հայտնաբերման համակարգերի (IDS) ներածություն

Ինտրուսների հայտնաբերման համակարգը (IDS) վերահսկում է ցանցի երթեւեկությունը եւ վերահսկում կասկածելի գործունեության համար եւ զգուշացնում է համակարգին կամ ցանցային ադմինիստրատորին: Որոշ դեպքերում IDS- ը կարող է նաեւ արձագանքել անոմալիային կամ չարամիտ երթեւեկությանը `օգտագործելով այնպիսի գործողություն, ինչպիսիք են օգտվողին կամ աղբյուրի IP- հասցեն արգելափակել ցանցից օգտվելու հնարավորությունից:

IDS- ը գալիս է մի շարք «բուրմունքներ» եւ մոտենում է կասկածելի երթեւեկությունը տարբեր ձեւերով հայտնաբերելու նպատակին: Կան ցանցային (NID) եւ հյուրընկալող (HIDS) ներխուժման հայտնաբերման համակարգեր: Գոյություն ունեն IDS- ներ, որոնք հայտնաբերում են հայտնի սպառնալիքների հատուկ ստորագրությունների հիման վրա հայտնաբերում ` հակավիրուսային ծրագրային ապահովման սովորաբար հայտնաբերում եւ պաշտպանում է չարամիտ ծրագրերից եւ կան IDS- ներ, որոնք հայտնաբերում են բազային գծի համեմատած երթեւեկության նախշերի համեմատության եւ անոմալիաների որոնման հիման վրա: Կան IDS- ները, որոնք պարզապես վերահսկում եւ զգուշացնում են, եւ կան IDS- ներ, որոնք հայտնաբերված սպառնալիքի դիմում են կատարում գործողություն կամ գործողություններ: Մենք դրանցից յուրաքանչյուրին կպատասխանենք համառոտ:

NIDS- ը

Ցանցի ներխուժման հայտնաբերման համակարգերը տեղադրվում են ցանցի ռազմավարական կետում կամ կետերում ցանցի բոլոր սարքերին եւ ցանցից դեպի երթեւեկությունը դիտելու համար: Իդեալում, դուք կարող եք սկանավորել բոլոր ներգնա եւ ելքային երթեւեկությունը, սակայն այդպես վարվելը կարող է ստեղծել արգելափակում, որը կարող է վնասել ցանցի ընդհանուր արագությունը:

HIDS- ը

Host ներթափանցման հայտնաբերման համակարգերը գործում են ցանցի առանձին տանտերերի կամ սարքերի վրա: HIDS- ը վերահսկում է միայն ներխուժման եւ ելքային փաթեթները սարքում եւ զգուշացնում է, որ օգտագործողը կամ կասկածելի գործունեության ադմինիստրատորը հայտնաբերվել է

Ստորագրության հիման վրա

Ստորագրության վրա հիմնված IDS- ն վերահսկում է ցանցի փաթեթները եւ դրանք համեմատում է ստորագրությունների կամ ատրիբուտների տվյալների բազայի դեմ `հայտնի վնասակար սպառնալիքներից: Սա նման է հակավիրուսային ծրագրերի մեծամասնության հայտնաբերմանը: Խնդիրն այն է, որ վայրի վայրում հայտնաբերված նոր սպառնալիքի եւ ձեր IDS- ի նկատմամբ կիրառվող սպառնալիքի հայտնաբերման ստորագրության միջեւ ընկած ժամանակահատվածը կլինի: Այդ ժամանակահատվածում ձեր IDS- ը չի կարողանա հայտնաբերել նոր սպառնալիքը:

Անոմալի հիմնված

Anomaly- ի հիմնված IDS- ն ցանցի երթեւեկությունը վերահսկում է եւ համեմատում է այն հիմնված բազայի հետ: Հիմնական գծերը ցույց կտան, թե ինչ է «նորմալ» այդ ցանցի համար, ինչ հաճախականությամբ օգտագործվում է, ինչ պրոտոկոլներ են օգտագործվում, ինչ նավահանգիստներն ու սարքերը, ընդհանուր առմամբ, միմյանց հետ կապում են եւ ահազանգում են ադմինիստրատորի կամ օգտագործողին, երբ հայտնաբերված երթեւեկությունը հայտնաբերվում է անոմալիայով, կամ զգալիորեն տարբերվում է բազայինից:

Պասիվ IDS

Պասիվ IDS- ը պարզապես հայտնաբերում եւ զգուշացնում է: Երբ հայտնաբերվում է կասկածելի կամ վնասակար երթեւեկություն, ահազանգը գեներացվում է եւ ուղարկվում է ադմինիստրատորին կամ օգտագործողին, եւ մինչեւ նրանց գործողությունները գործելու համար արգելափակել գործունեությունը կամ ինչ-որ կերպ արձագանքել:

Ռեակտիվ IDS

Ռեակտիվ IDS- ն ոչ միայն կասկածելի կամ չարամիտ երթեւեկության հայտնաբերում եւ զգուշացնում է ադմինիստրատորին, այլեւ կանխորոշված ​​կանխարգելիչ քայլեր կձեռնարկի, սպառնալիքին արձագանքելու համար: Սովորաբար դա նշանակում է արգելափակել ցանկացած հետագա ցանցային տրաֆիկ աղբյուրի IP հասցեն կամ օգտագործողից:

Առավել հայտնի եւ լայնորեն կիրառվող ներխուժման հայտնաբերման համակարգերից մեկը բաց կոդն է, ազատորեն մատչելի Snort- ը: Այն հասանելի է մի շարք հարթակների եւ օպերացիոն համակարգերի համար, ներառյալ Linux- ը եւ Windows- ը : Snort- ը ունի մեծ եւ հավատարիմ հետեւորդ եւ ինտերնետում կա բազմաթիվ միջոցներ, որտեղ դուք կարող եք ստորագրություններ ձեռք բերել `իրականացնել վերջին սպառնալիքները: Այլ freeware ներխուժման հայտնաբերման դիմումների համար դուք կարող եք այցելել Ազատ ներխուժման հայտնաբերման ծրագիր :

Firewall- ի եւ IDS- ի միջեւ լավ տող կա: Կա նաեւ IPS - ներխուժման կանխարգելման համակարգ կոչվող տեխնոլոգիա: IPS- ը հիմնականում firewall- ն է, որը համատեղում է ցանցի մակարդակը եւ կիրառական մակարդակի զտումը ռեակտիվ IDS- ի միջոցով `կանխարգելելու ցանցը: Թվում է, որ ժամանակն անցնում է firewalls, IDS եւ IPS- ն ավելի շատ հատկանիշներ են ստանում միմյանցից եւ ավելի շուտ խաթարում են գիծը:

Իմիջիայլոց, ձեր firewall- ը առաջին պարագծային պաշտպանությունն է: Լավագույն պրակտիկաները խորհուրդ են տալիս, որ ձեր firewall- ը հստակ կազմված լինի բոլոր մուտքային երթեւեկության համար, եւ անհրաժեշտության դեպքում բացեք անցքեր: Կարող եք հարկավոր է բացել 80-րդ նավահանգիստը, կայքերը տեղակայելու համար կամ 21-րդ նավահանգստի համար, FTP- ի սերվերի վրա : Այս անցքերից յուրաքանչյուրը կարող է անհրաժեշտ լինել մեկ տեսակետից, սակայն նրանք նաեւ ներկայացնում են վնասակար թրաֆիքի հնարավոր վեկտորներ, որպեսզի մուտքագրեք ձեր ցանցը, այլ ոչ թե արգելափակել է firewall- ը:

Այսինքն, ձեր IDS- ը կներկայանա: Անկախ նրանից, թե դուք իրականացնում եք NIDS- ի ամբողջ ցանցի կամ HIDS- ի ձեր կոնկրետ սարքի վրա, IDS- ը կհետեւի ներգնա եւ ելքային երթեւեկությունը եւ բացահայտել կասկածելի կամ վնասակար երթեւեկությունը, որը կարող է ինչ-որ կերպ շրջանցել ձեր firewall- ը կամ այն կարող է նաեւ լինել ձեր ցանցի ներսում:

IDS- ն կարող է մեծ գործիք լինել կանխարգելելու եւ պաշտպանելու ձեր ցանցը վնասակար գործունեությունից, սակայն նրանք նաեւ հակված են կեղծ ահազանգերի: Կիրառելով IDS- ի ցանկացած լուծում, դուք պետք է «համահեղինեք» այն տեղադրելու դեպքում: Ձեզ անհրաժեշտ IDS- ը պետք է պատշաճ կերպով կարգավորվի, թե ինչ է ձեր ցանցում նորմալ երթեւեկությունը, թե ինչ կարող է լինել վնասակար երթեւեկությունը եւ դուք, կամ IDS- ի զգուշացման պատասխանատուների համար պատասխանատու ադմինիստրատորները պետք է հասկանան, թե ինչ է նշանակում ազդանշաններ եւ ինչպես արդյունավետ կերպով արձագանքել: