Një sistem zbulimi i ndërhyrjeve (IDS) monitoron trafikun e rrjetit dhe monitoron aktivitetin e dyshimtë dhe njofton administratorin e sistemit ose të rrjetit. Në disa raste, IDS gjithashtu mund të përgjigjet ndaj trafikut anormal ose me qëllim të keq duke ndërmarrë veprime të tilla si bllokimi i përdoruesit ose burimi i adresës IP nga qasja në rrjet.
IDS vjen në një varietet "shije" dhe i afrohet qëllimit të zbulimit të trafikut të dyshimtë në mënyra të ndryshme. Ekzistojnë sisteme të zbulimit të ndërhyrjeve në rrjet (NIDS) dhe host-bazë (HIDS). Ekzistojnë IDS që zbulojnë bazuar në kërkimin e nënshkrimeve specifike të kërcënimeve të njohura - të ngjashme me mënyrën se si softueri antivirus zbulon dhe mbron në mënyrë tipike kundër malware- dhe ka IDS që zbulon bazuar në krahasimin e modeleve të trafikut ndaj një baze dhe duke kërkuar anomali. Ekzistojnë IDS që thjesht monitorojnë dhe alarmojnë dhe ka IDS që kryejnë një veprim ose veprime në përgjigje të një kërcënimi të zbuluar. Ne do të mbulojmë secilën nga këto shkurtimisht.
NIDS
Sistemet e zbulimit të ndërhyrjeve të rrjetit vendosen në një pikë ose pike strategjike brenda rrjetit për të monitoruar trafikun në dhe nga të gjitha pajisjet në rrjet. Në rastin ideal, do të skanonit të gjithë trafikun përbrenda dhe jashtë, mirëpo duke bërë kështu mund të krijojë një ngushtim që do të dëmtonte shpejtësinë e përgjithshme të rrjetit.
HIDS
Sistemet e Zbulimit të Ndërhyrjeve të Pritjes drejtohen në hostë ose pajisje individuale në rrjet. Një HIDS monitoron paketat përbrenda dhe jashtë vetëm nga pajisja dhe do të lajmërojë përdoruesin ose administratorin e aktivitetit të dyshimtë është zbuluar
Nënshkrimi Bazuar
Një IDS me bazë nënshkrimi do të monitorojë pako në rrjet dhe do t'i krahasojë ato me një bazë të dhënash të nënshkrimeve ose atributeve nga kërcënimet e njohura me qëllim të keq. Kjo është e ngjashme me mënyrën se si programi më antivirus zbulon malware. Çështja është se do të ketë një vonesë midis një kërcënimi të ri që do të zbulohet në të egra dhe nënshkrimin për të zbuluar se kërcënimi po aplikohet në IDS tuaj. Gjatë kësaj periudhe vonesë, IDS-ja juaj nuk do të ishte në gjendje të zbulonte kërcënimin e ri.
Bazuar në anomali
Një IDS i bazuar në anomali do të monitorojë trafikun e rrjetit dhe do ta krahasojë atë me një bazë bazë të përcaktuar. Baza bazë do të identifikojë atë që është "normale" për atë rrjet - çfarë lloj bandwidth përdoret në përgjithësi, çfarë protokollesh përdoren, cilat janë portet dhe pajisjet në përgjithësi lidhen me njëri-tjetrin - dhe alarmoni administratorin ose përdoruesin kur zbulohet trafiku që është anormal, ose në mënyrë të konsiderueshme të ndryshme nga ajo bazë.
IDS pasiv
Një IDS pasiv thjesht zbulon dhe paralajmëron. Kur zbulohet trafiku i dyshimtë ose i keq, gjenerohet një alarm dhe i dërgohet administratorit ose përdoruesit dhe është pranë tyre të ndërmarrin veprime për të bllokuar aktivitetin ose për t'iu përgjigjur në një farë mënyre.
IDS reaktive
Një IDS reaktive jo vetëm që do të zbulojë trafik të dyshimtë ose me qëllim të keq dhe do të njoftojë administratorin, por do të marrë veprime të paracaktuara proaktive për t'iu përgjigjur kërcënimit. Në mënyrë tipike kjo do të thotë bllokimin e çdo trafiku tjetër të rrjetit nga adresa IP ose përdoruesi burim.
Një nga sistemet më të njohura dhe më gjerësisht të përdorura për zbulimin e ndërhyrjeve është burimi i hapur, Snort falas. Është në dispozicion për një numër platformash dhe sistemesh operative duke përfshirë edhe Linux dhe Windows . Snort ka një ndjekje të madhe dhe besnike dhe ka shumë burime në dispozicion në internet ku mund të fitoni firma për t'u zbatuar për të zbuluar kërcënimet më të fundit. Për aplikacionet e tjera të zbulimit të ndërhyrjeve freeware, ju mund të vizitoni Softuerin e Zbulimit të Zbulimit të Lirë .
Ekziston një vijë e hollë mes një firewall dhe një IDS. Ekziston edhe një teknologji e quajtur IPS - Sistemi i Parandalimit të Ndërhyrjeve . Një IPS është në thelb një firewall i cili kombinon filtrimin e nivelit të rrjetit dhe të aplikacioneve me një IDS reaktive për të mbrojtur në mënyrë proaktive rrjetin. Duket se me kalimin e kohës në firewalls, IDS dhe IPS marrin më shumë atribute nga njëri-tjetri dhe e turbullojnë vijën edhe më shumë.
Në thelb, firewall juaj është linja juaj e parë e mbrojtjes perimetrike. Praktikat më të mira rekomandojnë që firewall juaj të konfigurohet në mënyrë eksplicite për të DENY gjithë trafikun në hyrje dhe pastaj hapni vrima kur është e nevojshme. Ju mund të keni nevojë të hapni portin 80 për të pritur faqet e internetit ose portin 21 për të pritur një server skedari FTP . Secila prej këtyre vrimave mund të jetë e nevojshme nga një pikëpamje, por gjithashtu përfaqësojnë vektorët e mundshëm për trafikun me qëllim të keq për të hyrë në rrjetin tuaj në vend që të bllokohen nga firewall.
Kjo është ajo ku do të hyjë IDS juaj. Nëse keni implementuar një NIDS në të gjithë rrjetin ose një HIDS në pajisjen tuaj specifike, IDS do të monitorojë trafikun përbrenda dhe jashtë dhe do të identifikojë trafikun e dyshimtë ose me qëllim të keq që mund të ketë anashkaluar disi firewallun tuaj ose atë mund të jetë me origjinë nga brenda rrjetit tuaj gjithashtu.
Një IDS mund të jetë një mjet i madh për monitorimin proaktiv dhe mbrojtjen e rrjetit tuaj nga aktivitetet me qëllim të keq, megjithatë, ata gjithashtu janë të prirur për alarme false. Me vetëm për ndonjë zgjidhje IDS që implementoni ju do të duhet të "përshtateni" sapo të instalohet së pari. Ju duhet që IDS të jetë konfiguruar siç duhet për të njohur atë që është trafiku normal në rrjetin tuaj kundrejt asaj që mund të jetë trafik i keq dhe ju ose administratorët përgjegjës për t'ju përgjigjur alarme IDS, duhet të kuptoni se çfarë do të thotë alarme dhe si të reagoni në mënyrë efektive.