Ce este IDS?

Sisteme de detectare a intruziunilor de intruziuneSistemul de detectare a) - este un set de software și / sau hardware care sunt folosite pentru a detecta cazuri de acces neautorizat la o rețea de calculatoare / calculator, și pentru a preveni managementul neautorizate.

Ce este IDS?

Pur și simplu pune, IDS este un sistem careAcesta asigură securitatea activității utilizatorului, protejându-l de diverse tipuri de atacuri și atacuri de rețea, care pur și simplu nu pot fi luate în considerare în era tehnologiei informației. În plus, IDS este abilitatea de a primi previziuni despre atacurile viitoare și de a le preveni, precum și de a afla informații despre "atacatori", care pot fi utile pentru corectarea factorilor care au permis accesul neautorizat.

De ce sunt necesare IDS?

Recent, utilizarea de utilizatoriSistemele de detectare a intruziunilor câștigă în mod activ popularitate. IDS este cel mai important element al securității informațiilor cerut de orice utilizator cu deficiențe de vedere. Sistemul de detecție a intruziunilor nu numai că detectează atacul computerului și îl blochează, ci îl realizează și într-o interfață grafică convenabilă - utilizatorul nu va avea nevoie de cunoștințe speciale despre protocoalele de rețea și posibilele vulnerabilități.

Prin analogie cu programele antivirus, sistemele de detectare a intruziunilor sunt folosite pentru metoda de bază de detectare a activității neautorizate:

• pe baza semnăturii. În acest caz, analiza este efectuată pe baza unui anumit set de evenimente care caracterizează unic un anumit atac. Această tehnică este destul de eficientă și în principalele metode de căutare a pericolului.
• bazate pe anomalii. Acest tip de activitate se caracterizează prin detectarea atacurilor prin identificarea comportamentului neobișnuit al rețelei, serverului sau aplicației. Sistemele care funcționează în cadrul acestui mecanism pot urmări în mod eficient atacurile, însă principala lor problemă este reprezentată de masa fals pozitivă.

IDS Architecture

Orice IDS include:

• un subsistem senzor care monitorizează în mod constant evenimentele legate de securitatea sistemului;
• un subsistem de analiză care selectează din toate evenimentele,selectat de senzor, suspicios. IDS cu un subsistem activ de analiză în cazul detectării unei activități suspecte poate lua măsuri de răspuns de exemplu, rupe conexiunea la rețea pe cont propriu. Identificarea pasivă va informa doar administratorul despre o acțiune suspectă și o va acorda atenție sau nu, utilizatorul trebuie să decidă.
• Depozitarea, acumularea evenimentelor primare și a rezultatelor analizelor;
• panoul de control, permițând utilizatorului să monitorizeze sistemul.

În cele mai simple IDS, toate cele de mai suscomponentele sunt implementate ca un singur dispozitiv. În funcție de parametrii senzorilor și metodele de analiză, sistemele de detectare a intruziunilor oferă un nivel diferit de detectare a atacurilor.

IDS, protejând segmentul de rețea

Acest tip de sistem este foarte fiabil, deoareceImplementarea are loc pe un server dedicat unde alte aplicații nu pot funcționa. În acest caz, serverul poate fi invizibil pentru atacator. Pentru protecție deosebit de înaltă

rețeaua stabilește o serie de astfel de servere care pot analiza traficul în toate segmentele sale. Cu localizarea cu succes a acestor sisteme, puteți monitoriza o rețea foarte mare.

Defectul IDS care protejează segmentul de rețea estedificultatea de a recunoaște un atac într-o perioadă de încărcare ridicată a rețelei. În plus, un astfel de IDS poate raporta doar un atac, dar nu analizează gradul de penetrare.

IDS, care protejează un singur server

Aceste sisteme colectează și analizeazăinformații despre procesele suspecte care apar pe un anumit server. Astfel de IDS are o sarcină destul de restrânsă și, prin urmare, poate efectua o analiză foarte detaliată, precum și identificarea unui utilizator specific care efectuează acțiuni neautorizate.

Unele IDS care protejează serverul auabilitatea de a gestiona simultan un grup de servere, întocmind rapoarte generale privind un posibil atac de rețea. Spre deosebire de IDS, protejând segmentul de rețea, aceste sisteme pot funcționa chiar și într-o rețea care utilizează criptarea, în cazul în care informațiile de pe server sunt păstrate în formă clară înainte de a fi transmise.

Principalul dezavantaj al IDS, controlul serverului (lor), -incapacitatea de a monitoriza întreaga rețea. Pentru ei sunt vizibile doar pachetele primite de serverul protejat. În plus, performanța sistemului este redusă atunci când serverul utilizează resurse de calcul.

IDS, protejând aplicațiile

Aceste sisteme de securitate monitorizează evenimentele,care apar în cadrul aceleiași aplicații. După cum probabil ați ghicit, acest sistem vă permite să creați un raport cu cel mai înalt grad de detaliere, deoarece funcționează cu o sarcină mai restrânsă decât sistemul de tip anterior.

IDS, protejează aplicația utilizează cunoștințele cu privire la aplicarea și analiza datelor analiza sa de jurnalul de sistem pentru a compila. Sistemul interacționează cu o aplicație de API.

Dezavantajul IDS, protejarea aplicațiilor este evident - profil prea îngust. Desigur, dacă este important pentru un utilizator să asigure securitatea unei anumite aplicații, aceasta este o opțiune acceptabilă.

IDS - protecție fiabilă?

Sistemul de detectare a intruziunilor - eficientun instrument pentru a proteja utilizatorul de diferite tipuri de atacuri neautorizate, dar nu uitați că, dacă vorbim de securitate deplină, IDS este doar un element al acestui sistem. Siguranța cu drepturi depline este:

• Politica de securitate intranet;
• sistemul de protecție a gazdelor;
• auditul rețelei;
• protecție bazată pe routere;
• firewall;
• sistem de detectare a intruziunilor;
• răspunsul politic la atacurile detectate.

Numai prin combinarea corectă a tuturor tipurilor de protecție de mai sus, utilizatorul poate fi absolut calm pentru securitatea stocării și transferului de date importante.