Co je IDS?

Systémy detekce narušení vniknutíDetekční systém) je soubor softwaru a / nebo hardwaru, který slouží k odhalení skutečností neoprávněného přístupu k počítačové nebo počítačové síti, stejně jako k zabránění jejich neoprávněné správy.

Co je IDS?

Jednoduše řečeno, IDS je systém, kterýTo zajišťuje bezpečnost aktivity uživatele chrání před všemi druhy vniknutí a síťových útoků, z nichž ve věku informačních technologií prostě nepočítá. Kromě IDS - je možné získat odhad budoucích útoků a zabránit jim, stejně jako zjistit informace o „útok“, což může být užitečné pro korekci faktorů, které zabraňují neoprávněnému přístupu.

Proč jsou potřebné IDS?

V poslední době je použití uživatelůSystémy detekce narušení jsou aktivně získávány popularitou. IDS je nejdůležitějším prvkem zabezpečení informací požadovaným každým zrakovým uživatelem. Systém detekce narušení nejen detekuje počítačový útok a zablokuje ho, ale také jej provede v praktickém grafickém rozhraní - uživatel nebude potřebovat speciální znalosti o síťových protokolech a možných zranitelných místech.

Analogicky s antivirovým softwarem, Intrusion Detection System je určen pro základní metodu detekce neoprávněných aktivit:

• na základě podpisu. V tomto případě se analýza provádí na základě určitého souboru událostí, které jednoznačně charakterizují konkrétní útok. Tato technika je docela účinná a v hlavních metodách hledání nebezpečí.
• založené na anomáliích. Tento typ práce se vyznačuje detekcí útoků zjištěním neobvyklého chování sítě, serveru nebo aplikace. Systémy fungující v rámci tohoto mechanismu mohou účinně sledovat útoky, ale jejich hlavním problémem je množství falešných pozitivních výsledků.

IDS Architecture

Každá IDS obsahuje:

• subsystém senzoru, který neustále sleduje události související s bezpečností systému;
• analytický subsystém, který vybírá ze všech událostí,zvolený senzorem, podezřelý. IDS s aktivním subsystémem analýzy v případě odhalení podezřelé aktivity může vést k reakcím například přerušení připojení k síti. Pasivní IDS informuje administrátora pouze o podezřelé akci a věnovat pozornost tomu nebo ne, musí se uživatel rozhodnout.
• Skladování, hromadění primárních událostí a výsledků analýzy;
• Ovládací panel umožňuje uživateli monitorovat systém.

Ve většině jednoduchých IDS, všechno výšekomponenty jsou implementovány jako jediné zařízení. V závislosti na parametrech senzorů a metodách analýzy systémy detekce narušení poskytují odlišnou úroveň detekce útoku.

IDS, chránící segment sítě

Tento typ systému je velmi spolehlivý, protožeNasazení se provádí na vyhrazeném serveru, kde ostatní aplikace nemohou fungovat. V tomto případě může být server pro útočníka neviditelný. Pro zvláště kvalitní ochranu

síť nastavuje řadu takových serverů, které mohou analyzovat provoz ve všech svých segmentech. Díky úspěšnému umístění těchto systémů můžete sledovat velmi rozsáhlou síť.

Vada IDS, která chrání segment sítě, jeobtížnost rozpoznávání útoku v době vysokého zatížení sítě. Navíc takový IDS může hlásit pouze útok, ale ne analyzuje stupeň proniknutí.

IDS, který chrání jediný server

Tyto systémy shromažďují a analyzujíinformace o podezřelých procesech, ke kterým dochází na konkrétním serveru. Takový IDS má spíše úzkou úlohu, a proto může provádět velmi detailní analýzu a také určit konkrétní uživatele, který provádí neautorizované akce.

Některé IDS, které chrání server, majíschopnost spravovat skupinu serverů najednou, sestavování obecných zpráv o možném síťovém útoku. Na rozdíl od IDS, které chrání segment sítě, mohou tyto systémy fungovat i v síti, která používá šifrování, pokud jsou informace na serveru uchovány v čisté podobě před jejich přenosem.

Hlavní nevýhoda IDS, ovládání serveru (serverů), -neschopnost sledovat celou síť. Pro ně jsou viditelné pouze pakety přijaté chráněným serverem. Kromě toho je výkon systému snížen, pokud server používá výpočetní prostředky.

IDS, ochrana aplikací

Tyto bezpečnostní systémy monitorují události,v rámci stejné aplikace. Jak jste asi pravděpodobně uhodli, tento systém vám umožní vytvořit report s nejvyšší možnou mírou detailu, protože pracuje s ještě užším úkolem než předchozí typový systém.

IDS, která chrání aplikaci, využívá znalosti o aplikaci a také analýzu dat svého systémového protokolu pro analýzu. Systém spolupracuje s aplikací prostřednictvím rozhraní API.

Nevýhody IDS, ochrana aplikací je zřejmá - příliš úzký profil. Samozřejmě, pokud je pro uživatele důležité zajistit bezpečnost konkrétní aplikace, je to přijatelná volba.

IDS - spolehlivá ochrana?

Systém detekce narušení - efektivnínástroj na ochranu uživatele před různými druhy neoprávněných útoků, ale nezapomeňte, že pokud hovoříme o plnohodnotné bezpečnosti, IDS je jen prvkem tohoto systému. Plnohodnotná bezpečnost je:

• Bezpečnostní politika intranetu;
• systém ochrany hostitelů;
• síťový audit;
• ochrana založená na směrovačích;
• firewall;
• systém detekce narušení;
• reakce na zjištěné útoky.

Pouze správným kombinováním všech výše uvedených typů ochrany může být uživatel absolutně klidný pro zabezpečení ukládání a přenosu důležitých dat.