Un sistema de detecció d'intrusos (IDS) monitoritza el trànsit de la xarxa i supervisa l'activitat sospitosa i alerta el sistema o l'administrador de la xarxa. En alguns casos, l'IDS també pot respondre a un trànsit anòmil o maliciós mitjançant l'adopció d'accions com ara bloquejar l'usuari o l' adreça IP d' origen per accedir a la xarxa.
Els IDS vénen en una varietat de "sabors" i s'apropen a l'objectiu de detectar trànsit sospitós de diferents maneres. Hi ha sistemes de detecció d'intrusos basats en la xarxa (NIDS) i host (HIDS). Hi ha identificadors que detecten basant-se en la cerca de signatures específiques d'amenaces conegudes, similar a la manera com el programari antivirus normalment detecta i protegeix contra el malware, i hi ha IDS que es detecten en funció de comparar els patrons de trànsit amb una línia de base i buscar anomalies. Hi ha IDS que simplement monitorean i alerten i hi ha IDS que realitzen una acció o accions en resposta a una amenaça detectada. Abastarem cadascun d'ells breument.
NIDS
Els sistemes de detecció d'intrusos de xarxa es col·loquen en un punt estratègic o dins de la xarxa per controlar el trànsit cap ai des de tots els dispositius de la xarxa. L'ideal seria escanejar tot el trànsit entrant i sortint, però, per fer-ho, podria crear un coll d'ampolla que perjudiqui la velocitat general de la xarxa.
HIDS
Els sistemes de detecció d'intrusió de host s'executen en host o dispositius individuals a la xarxa. Un HIDS monitoritza els paquets entrants i sortints només del dispositiu i alertarà que l'usuari o administrador d'activitat sospitosa es detecti.
Basat en la signatura
Un IDS basat en la signatura supervisarà els paquets de la xarxa i els compararà amb una base de dades de signatures o atributs d'amenaces malicioses conegudes. Això és similar a la manera en què la majoria del programari antivirus detecta malware. El problema és que hi haurà un retard entre una nova amenaça que es descobreix a la natura i la signatura per detectar aquesta amenaça aplicada al vostre IDS. Durant aquest temps de retard, el vostre IDS no podria detectar la nova amenaça.
Anomalia basada
Una identificació basada en anomalies farà un seguiment del trànsit de la xarxa i la compararà amb una base de referència establerta. La línia de base identificarà el que és "normal" per a aquesta xarxa, quin tipus d'ample de banda s'utilitza generalment, quins protocols s'utilitzen, quins ports i dispositius es connecten entre si i alerten a l'administrador o usuari quan es detecta el trànsit que és anòmala, o significativament diferent de la línia de base.
IDS passiu
Un IDS passiu simplement detecta i avisa. Quan es detecti trànsit sospitós o maliciós, es genera una alerta i s'envia a l'administrador o usuari i li correspon actuar per bloquejar l'activitat o respondre d'alguna manera.
IDS reactius
Un IDS reactiu no només detectarà trànsit sospitós o maliciós i avisarà a l'administrador, però prendrà accions proactives predefinides per respondre a l'amenaça. Normalment, això significa bloquejar qualsevol altre trànsit de xarxa des de l' adreça IP o usuari d'origen.
Un dels sistemes de detecció d'intrusió més coneguts i àmpliament utilitzats és el codi obert Snort lliurement disponible. Està disponible per a una sèrie de plataformes i sistemes operatius que inclouen tant Linux com Windows . Snort té un seguiment gran i fidel i hi ha molts recursos disponibles a Internet on podeu adquirir signatures per implementar per detectar les últimes amenaces. Per a altres aplicacions de detecció d'intrusió gratuïta, podeu visitar el programari gratuït de detecció d'intrusos .
Hi ha una línia fina entre un servidor de seguretat i un IDS. També hi ha una tecnologia anomenada IPS - Sistema de prevenció d'intrusions . Un IPS és essencialment un servidor de seguretat que combina el filtratge de nivell de xarxa i d'aplicació amb IDS reactiu per protegir de manera proactiva la xarxa. Sembla que a mesura que passa el temps en els tallafocs, IDS i IPS adquireixen més atributs els uns dels altres i desenfocen encara més la línia.
En essència, el tallafocs és la primera línia de defensa perimetral. Les bones pràctiques recomanen que el vostre tallafocs estigui configurat explícitament per a DENY tot el trànsit entrant i, després, obriu forats quan sigui necessari. És possible que hagueu d'obrir el port 80 per allotjar llocs web o port 21 per allotjar un servidor de fitxers FTP . Cadascun d'aquests forats pot ser necessari des d'un punt de vista, però també representen vectors possibles per al trànsit malintencionat per entrar a la vostra xarxa en lloc de ser bloquejats pel servidor de seguretat.
Aquí és on entra el vostre IDS. Ja sigui que implementeu un NIDS a tota la xarxa o un HIDS en el dispositiu específic, l'IDS supervisarà el trànsit entrant i sortint i identificarà trànsit sospitós o maliciós que podria haver saltat d'alguna manera el tallafocs o Pot ser que pugui provenir des de dins de la vostra xarxa també.
Un IDS pot ser una gran eina per controlar i protegir de manera proactiva la vostra xarxa des d'activitats malicioses, però també són propenses a falses alarmes. Amb gairebé qualsevol solució IDS que implementis, hauràs de "sintonitzar-la" una vegada que s'instal·la per primera vegada. Necessiteu que el IDS estigui configurat correctament per reconèixer el trànsit normal a la vostra xarxa enfront del trànsit maliciós i, o els administradors responsables de respondre a les alertes IDS, han d'entendre el significat de les alertes i com respondre de manera efectiva.