ข้อมูลเบื้องต้นเกี่ยวกับระบบตรวจจับการบุกรุก (IDS)

ระบบตรวจจับการบุกรุก (IDS) จะตรวจสอบการรับส่งข้อมูลเครือข่ายและมอนิเตอร์สำหรับกิจกรรมที่น่าสงสัยและแจ้งเตือนผู้ดูแลระบบหรือเครือข่าย ในบางกรณี IDS อาจตอบสนองต่อการเข้าชมที่ผิดปกติหรือเป็นอันตรายด้วยการดำเนินการเช่นการบล็อกที่ อยู่ IP ของ ผู้ใช้หรือที่มาจากการเข้าถึงเครือข่าย

IDS มีหลากหลาย "รสชาติ" และเข้าถึงเป้าหมายในการตรวจจับการเข้าชมที่น่าสงสัยในรูปแบบต่างๆ มีระบบตรวจจับการบุกรุกแบบเครือข่าย (NIDS) และโฮสต์ (HIDS) มี IDS ที่ตรวจพบโดยอาศัยการค้นหาลายเซ็นเฉพาะของภัยคุกคามที่ทราบซึ่งคล้ายกับวิธีที่ ซอฟต์แวร์ป้องกันไวรัส มักตรวจหาและป้องกันมัลแวร์และมี IDS ที่ตรวจพบตามการเปรียบเทียบรูปแบบการเข้าชมกับพื้นฐานและกำลังค้นหาความผิดปกติ มี IDS ที่เพียงแค่ตรวจสอบและแจ้งเตือนและมี IDS ที่ดำเนินการหรือการดำเนินการเพื่อตอบสนองต่อภัยคุกคามที่ตรวจพบ เราจะอธิบายถึงช่วงสั้น ๆ เหล่านี้

NIDS

ระบบตรวจจับการบุกรุกระบบเครือข่ายจะถูกวางไว้ที่จุดหรือจุดเชิงกลยุทธ์ภายในเครือข่ายเพื่อตรวจสอบการรับส่งข้อมูลไปยังและจากอุปกรณ์ทั้งหมดในเครือข่าย คุณจะสแกนการรับส่งข้อมูลขาเข้าและขาออกทั้งหมด แต่การทำเช่นนี้อาจทำให้เกิดคอขวดที่อาจทำให้ความเร็วโดยรวมของเครือข่ายลดลง

HIDS

ระบบตรวจจับการบุกรุก (Host Intrusion Detection Systems) จะทำงานบนเครื่องโฮสต์หรืออุปกรณ์ต่างๆในเครือข่าย HIDS ตรวจสอบแพ็คเก็ตขาเข้าและขาออกจากอุปกรณ์เท่านั้นและจะแจ้งเตือนผู้ใช้หรือผู้ดูแลระบบเกี่ยวกับกิจกรรมที่น่าสงสัย

ตามลายเซ็น

IDS ลายเซ็นจะตรวจสอบแพ็คเก็ตในเครือข่ายและเปรียบเทียบกับฐานข้อมูลของลายเซ็นหรือแอตทริบิวต์จากภัยคุกคามที่เป็นที่รู้จัก นี่คล้ายกับวิธีที่ ซอฟต์แวร์ป้องกันไวรัส ส่วนใหญ่ตรวจพบมัลแวร์ ปัญหาคือว่าจะมีความล่าช้าระหว่างภัยคุกคามใหม่ที่ถูกค้นพบในป่าและลายเซ็นสำหรับการตรวจหาภัยคุกคามที่ถูกนำไปใช้กับ IDS ของคุณ ในช่วงเวลาที่ล่าช้า IDS ของคุณจะไม่สามารถตรวจพบภัยคุกคามใหม่ได้

ใช้ความผิดปกติ

IDS ซึ่งเป็นความผิดปกติจะตรวจสอบการรับส่งข้อมูลเครือข่ายและเปรียบเทียบกับพื้นฐานที่กำหนดไว้ พื้นฐานที่จะระบุสิ่งที่เป็น "ปกติ" สำหรับเครือข่ายนั้น - ประเภทของแบนด์วิดท์ที่ใช้โดยทั่วไปคืออะไรโปรโตคอลที่ใช้พอร์ตและอุปกรณ์ใดที่เชื่อมต่อกันและแจ้งเตือนผู้ดูแลระบบหรือผู้ใช้เมื่อมีการตรวจพบการจราจรซึ่งผิดปกติ, หรือแตกต่างอย่างมีนัยสำคัญกว่าพื้นฐาน

Passive IDS

Passive IDS เพียงตรวจพบและแจ้งเตือน เมื่อมีการตรวจพบการเข้าชมที่น่าสงสัยหรือไม่ประสงค์ดีการแจ้งเตือนจะถูกสร้างขึ้นและส่งไปยังผู้ดูแลระบบหรือผู้ใช้และจะต้องดำเนินการเพื่อปิดกั้นกิจกรรมหรือตอบสนองในบางกรณี

IDS เชิงปฏิกิริยา

IDS ปฏิกิริยาจะไม่เพียง แต่ตรวจจับการเข้าชมที่น่าสงสัยหรือเป็นอันตรายและแจ้งเตือนผู้ดูแลระบบ แต่จะใช้การดำเนินการเชิงรุกที่กำหนดไว้ล่วงหน้าเพื่อตอบสนองต่อภัยคุกคาม โดยปกติจะหมายถึงการบล็อกการรับส่งข้อมูลเครือข่ายเพิ่มเติมจากที่ อยู่ IP หรือผู้ใช้ต้นทาง

หนึ่งในระบบตรวจจับการบุกรุกที่รู้จักกันดีและใช้กันอย่างแพร่หลายคือโอเพ่นซอร์ส Snort ที่ให้บริการฟรี สามารถใช้ได้กับแพลตฟอร์มและ ระบบปฏิบัติการ จำนวนมากรวมทั้ง Linux และ Windows Snort มีผู้ติดตามที่มีขนาดใหญ่และจงรักภักดีและมีทรัพยากรมากมายพร้อมใช้งานบนอินเทอร์เน็ตซึ่งคุณสามารถรับลายเซ็นเพื่อใช้ตรวจหาภัยคุกคามล่าสุดได้ สำหรับแอพพลิเคชันตรวจจับการบุกรุกฟรีแวร์อื่น ๆ คุณสามารถเข้าไปที่ Free Intrusion Detection Software

มีเส้นแบ่งระหว่างไฟร์วอลล์และ IDS นอกจากนี้ยังมีเทคโนโลยีที่เรียกว่า IPS - Intrusion Prevention System IPS เป็นไฟร์วอลล์ที่รวมการกรองระดับเครือข่ายและระดับแอพพลิเคชันด้วย IDS แบบรีแอคทีฟเพื่อป้องกันเครือข่ายในเชิงรุก ดูเหมือนว่าเมื่อเวลาผ่านไปบนไฟร์วอลล์ IDS และ IPS จะใช้แอตทริบิวต์เพิ่มเติมจากแต่ละอื่น ๆ และเบลอบรรทัดมากยิ่งขึ้น

โดยพื้นฐานแล้วไฟร์วอลล์ของคุณคือสายป้องกันพื้นที่รอบแรกของคุณ แนวทางปฏิบัติที่ดีที่สุด แนะนำให้คุณกำหนดค่าไฟร์วอลล์ของคุณโดยชัดแจ้งเพื่อปฏิเสธการรับส่งข้อมูลทั้งหมดและจากนั้นเปิดช่องโหว่ตามที่จำเป็น คุณอาจต้องเปิดพอร์ต 80 เพื่อโฮสต์เว็บไซต์หรือพอร์ต 21 เพื่อโฮสต์ ไฟล์เซิร์ฟเวอร์ FTP หลุมเหล่านี้อาจจำเป็นต้องใช้จากมุมมองหนึ่ง แต่อาจเป็นตัวแทนของเวกเตอร์ที่เป็นไปได้สำหรับการเข้าชมที่เป็นอันตรายเพื่อเข้าสู่เครือข่ายของคุณแทนที่จะถูกบล็อกโดยไฟร์วอลล์

นั่นคือสิ่งที่ IDS ของคุณจะเข้ามาไม่ว่าคุณจะติดตั้ง NIDS ในเครือข่ายทั้งหมดหรือ HIDS บนอุปกรณ์เฉพาะของคุณ IDS จะตรวจสอบการรับส่งข้อมูลขาเข้าและขาออกและระบุการเข้าชมที่น่าสงสัยหรือเป็น อันตราย ซึ่งอาจมีการละเลยไฟร์วอลล์ของคุณหรือไม่ก็ตาม อาจมาจากภายในเครือข่ายของคุณเช่นกัน

IDS อาจเป็นเครื่องมือสำคัญในการตรวจสอบและปกป้องเครือข่ายของคุณจากกิจกรรมที่เป็นอันตรายอย่างไรก็ตามพวกเขายังมีแนวโน้มที่จะแจ้งเตือนผิดพลาด ด้วยโซลูชัน IDS ที่คุณใช้คุณจะต้อง "ปรับแต่ง" ทุกครั้งที่ติดตั้งครั้งแรก คุณต้องมี IDS ที่จะได้รับการกำหนดค่าอย่างถูกต้องเพื่อรับรู้ว่าการเข้าชมตามปกติในเครือข่ายของคุณเป็นอย่างไรบ้างกับสิ่งที่อาจเป็นข้อมูลที่เป็นอันตรายและคุณหรือผู้ดูแลระบบที่รับผิดชอบในการตอบกลับการแจ้งเตือน IDS จำเป็นต้องเข้าใจว่าการแจ้งเตือนหมายถึงอะไรและจะตอบสนองได้อย่างไร