Sistem pengesanan pencerobohan (IDS) memantau lalu lintas dan monitor rangkaian untuk aktiviti yang mencurigakan dan memberi isyarat kepada sistem atau pentadbir rangkaian. Dalam sesetengah kes, IDS juga boleh bertindak balas terhadap lalu lintas yang berunsur anomali atau berniat jahat dengan mengambil tindakan seperti menghalang pengguna atau alamat IP sumber daripada mengakses rangkaian.
IDS datang dalam pelbagai "perisa" dan mendekati matlamat mengesan trafik yang mencurigakan dengan cara yang berbeza. Terdapat sistem pengesanan pencerobohan berasaskan rangkaian (NIDS) dan berasaskan hantu (HIDS). Terdapat IDS yang mengesan berdasarkan mencari tandatangan khusus ancaman yang diketahui-sama dengan cara perisian antivirus biasanya mengesan dan melindungi terhadap perisian hasad- dan terdapat IDS yang mengesan berdasarkan membandingkan corak lalu lintas terhadap garis dasar dan mencari anomali. Terdapat ID yang hanya memantau dan memberi amaran dan terdapat IDS yang melakukan tindakan atau tindakan sebagai tindak balas terhadap ancaman yang dikesan. Kami akan menutup setiap ini secara ringkas.
NIDS
Sistem Pengesan Pencerobohan Rangkaian ditempatkan pada titik strategik atau titik dalam rangkaian untuk memantau lalu lintas ke dan dari semua peranti di rangkaian. Sebaik-baiknya, anda akan mengimbas semua lalu lintas masuk dan keluar, namun berbuat demikian akan menimbulkan hambatan yang akan menjejaskan kelajuan keseluruhan rangkaian.
HIDS
Hos Sistem Pengesan Intrusi dijalankan pada tuan rumah atau peranti individu di rangkaian. HIDS memantau paket masuk dan keluar dari peranti sahaja dan akan memberi amaran kepada pengguna atau pentadbir aktiviti mencurigakan yang dikesan
Berdasarkan tandatangan
IDS berasaskan tandatangan akan memantau paket pada rangkaian dan membandingkannya dengan pangkalan data tandatangan atau sifat dari ancaman yang berniat jahat. Ini serupa dengan cara kebanyakan perisian antivirus mengesan perisian hasad. Masalahnya ialah bahawa terdapat lag antara ancaman baru yang ditemui di alam liar dan tandatangan untuk mengesan ancaman yang digunakan untuk IDS anda. Semasa waktu lag, IDS anda tidak dapat mengesan ancaman baru.
Berdasarkan Anomali
IDS yang berasaskan anomali akan memantau lalu lintas rangkaian dan membandingkannya dengan garis dasar yang ditetapkan. Garis dasar akan mengenal pasti apa yang "biasa" untuk rangkaian itu - apa jenis jalur lebar yang biasa digunakan, protokol apa yang digunakan, apa yang pelabuhan dan peranti umumnya bersambung antara satu sama lain - dan memberi amaran kepada pentadbir atau pengguna apabila lalu lintas dikesan yang anomali, atau jauh berbeza daripada garis dasar.
IDS pasif
IDS pasif hanya mengesan dan memberi isyarat. Apabila lalu lintas yang mencurigakan atau berniat jahat dikesan, waspada dijana dan dihantar kepada pentadbir atau pengguna dan terpulang kepada mereka untuk mengambil tindakan untuk menyekat aktiviti atau bertindak balas dalam beberapa cara.
IDS reaktif
IDS reaktif tidak hanya akan mengesan lalu lintas yang mencurigakan atau berniat jahat dan memberi amaran kepada pentadbir tetapi akan mengambil tindakan proaktif yang telah ditentukan untuk bertindak balas terhadap ancaman tersebut. Biasanya ini bermakna menyekat mana-mana lalu lintas rangkaian dari sumber alamat IP atau pengguna.
Salah satu sistem pengesanan pencerobohan yang paling terkenal dan digunakan secara meluas adalah sumber terbuka, Snort yang tersedia secara bebas. Ia boleh didapati untuk beberapa platform dan sistem operasi termasuk Linux dan Windows . Snort mempunyai pengikut yang besar dan setia dan terdapat banyak sumber yang tersedia di Internet di mana anda boleh memperoleh tanda tangan untuk melaksanakan untuk mengesan ancaman terkini. Untuk aplikasi pengesanan pencerobohan freeware yang lain, anda boleh melawati Perisian Pengesanan Pencerobohan Percuma .
Terdapat garis halus antara firewall dan IDS. Terdapat juga teknologi yang dipanggil IPS - Sistem Pencegahan Pencerobohan . IPS pada dasarnya adalah firewall yang menggabungkan tahap penapisan peringkat dan rangkaian aplikasi dengan IDS reaktif untuk melindungi rangkaian secara proaktif. Ia seolah-olah sebagai masa berlalu firewall, IDS dan IPS mengambil lebih banyak sifat antara satu sama lain dan mengaburkan lebih banyak baris.
Pada asasnya, firewall anda adalah pertahanan perimeter pertama anda. Amalan terbaik mengesyorkan bahawa firewall anda dikonfigurasikan dengan jelas kepada DENY semua trafik masuk dan kemudian anda membuka lubang jika perlu. Anda mungkin perlu membuka port 80 untuk mengehos laman web atau port 21 untuk menjadi tuan rumah pelayan fail FTP . Setiap lubang ini mungkin diperlukan dari satu sudut, tetapi ia juga mewakili kemungkinan vektor untuk lalu lintas berniat jahat untuk memasuki rangkaian anda dan bukannya disekat oleh firewall.
Di sinilah IDS anda akan datang. Sama ada anda melaksanakan NIDS merentasi seluruh rangkaian atau HIDS pada peranti tertentu anda, IDS akan memantau lalu lintas masuk dan keluar dan mengenal pasti lalu lintas yang mencurigakan atau berniat jahat yang mungkin telah memintas firewall anda atau mungkin mungkin berasal dari dalam rangkaian anda juga.
IDS boleh menjadi alat yang hebat untuk pemantauan secara proaktif dan melindungi rangkaian anda dari aktiviti berniat jahat, namun, mereka juga rentan terhadap penggera palsu. Dengan hanya kira-kira sebarang penyelesaian IDS yang anda melaksanakan, anda perlu "menyesuaikannya" sebaik sahaja ia dipasang dahulu. Anda memerlukan IDS untuk dikonfigurasi dengan betul untuk mengenali lalu lintas biasa di rangkaian anda berbanding apa yang mungkin menjadi trafik yang berniat jahat dan anda, atau pentadbir yang bertanggungjawab untuk memberi maklum balas kepada isyarat IDS, perlu memahami apa maknanya makluman dan cara bertindak balas dengan berkesan.