מערכת איתור פריצה (IDS) עוקבת אחר תעבורת הרשת ומפקחת על פעילות חשודה ומזהירה את המערכת או את מנהל הרשת. במקרים מסוימים, ה- IDS יכול גם להגיב לתנועה חריגה או זדונית על ידי נקיטת פעולה כגון חסימת כתובת ה- IP של המשתמש או המקור מהגישה לרשת.
IDS לבוא במגוון של "טעמים" ולגשת למטרה של גילוי תנועה חשודה בדרכים שונות. יש מבוססי רשת (NIDS) ו מארח מבוסס (HIDS) מערכות גילוי פריצה. יש מזהים IDS המבוססים על חיפוש חתימות ספציפיות של איומים ידועים - בדומה לאופן שבו תוכנת האנטי-וירוס מגלה ומגינה מפני תוכנות זדוניות - וישנם מזהים שמזהים על סמך השוואת דפוסי תנועה כנגד בסיס וחיפוש אחר חריגות. ישנם IDS פשוט לפקח ולהתריע ויש IDS המבצעים פעולה או פעולות בתגובה לאיום זוהה. נסקור כל אחד מהם בקצרה.
NIDS
רשת חדירות איתור מערכות ממוקמות בנקודה אסטרטגית או נקודות בתוך הרשת כדי לפקח על התנועה אל וממנו מכל ההתקנים ברשת. באופן אידיאלי, היית לסרוק את כל תנועה נכנסת ויוצאת, אבל עושה את זה עלול ליצור צוואר הבקבוק כי יפגע המהירות הכוללת של הרשת.
HIDS
Host Intrusion Detection Systems מופעלות על גבי מארחים או התקנים בודדים ברשת. HIDS עוקב אחר מנות נכנסות ויוצאות מהמכשיר בלבד, ויזהה את המשתמש או מנהל המערכת של פעילות חשודה מזוהה
מבוסס על חתימה
IDS מבוסס חתימה יעקוב אחר מנות ברשת וישווה אותן למסד נתונים של חתימות או תכונות מאיומים זדוניים מוכרים. זה דומה לדרך שבה רוב תוכנות אנטי וירוס מזהה תוכנה זדונית. הבעיה היא כי יהיה פער בין איום חדש להתגלות בטבע לבין החתימה לאיתור כי האיום מוחל על IDS שלך. במהלך זמן השהיה, IDS שלך לא יוכל לזהות את האיום החדש.
מבוסס אנומליה
IDS אשר מבוסס אנומליה יהיה לפקח על תעבורת הרשת ולהשוות אותו כנגד בסיס הוקמה. קו הבסיס יזהה את ה"נורמלי "עבור אותה רשת - איזה סוג של רוחב פס משמש בדרך כלל, אילו פרוטוקולים משמשים, אילו יציאות והתקנים בדרך כלל מתחברים זה לזה - ומזהירים את מנהל המערכת או המשתמש כאשר מזוהה תנועה שהיא חריגה, או שונה באופן משמעותי מאשר הבסיס.
IDS פסיבי
IDS פסיבי פשוט מזהה והתראות. כאשר מזוהה תנועה חשודה או זדונית נוצרת התראה ונשלחת למנהל המערכת או למשתמש, ועליך לנקוט פעולה כדי לחסום את הפעילות או להגיב באופן כלשהו.
תגובתי IDS
תגובת תגובת IDS לא רק תגלה תנועה חשודה או זדונית ותזעיק את מנהל המערכת, אלא תנקוט בפעולות יזומות מוגדרות מראש כדי להגיב לאיום. בדרך כלל זה אומר חסימת כל תעבורת רשת נוספת מכתובת ה- IP או המשתמש המקוריים.
אחת ממערכות איתור החדירה הידועה והנפוצה ביותר היא קוד פתוח, זמין באופן חופשי. זה זמין עבור מספר פלטפורמות ומערכות הפעלה, כולל לינוקס ו- Windows . Snort יש גדול ונאמן הבאה ויש הרבה משאבים זמינים באינטרנט שבו אתה יכול לרכוש חתימות ליישם כדי לזהות את האיומים האחרונים. עבור יישומים אחרים חדירה חופשית freeware, אתה יכול לבקר חינם חדירה איתור תוכנה .
יש קו דק בין חומת אש לבין IDS. יש גם טכנולוגיה בשם IPS - חדירה למניעת מערכת . שב"ס הוא למעשה חומת אש המשלבת סינון ברמת הרשת ברמת היישום עם IDS תגובתי כדי להגן על הרשת באופן פרואקטיבי. נראה כי ככל שחולף הזמן על חומות אש, IDS ו- IPS לוקחים על עצמם מאפיינים נוספים זה מזה ומטשטשים את הקו עוד יותר.
בעיקרון, חומת האש שלך היא הקו הראשון של ההגנה היקפית. שיטות עבודה מומלצות ממליצות להגדיר את חומת האש שלך באופן מפורש ל- DENY לכל התנועה הנכנסת ולאחר מכן לפתוח חורים במידת הצורך. ייתכן שיהיה עליך לפתוח את היציאה 80 לארח אתרי אינטרנט או יציאה 21 לארח שרת קובץ FTP . כל אחד מהחורים האלה עשוי להיות נחוץ מנקודת מבט אחת, אך הם גם מייצגים וקטורים אפשריים לתנועה זדונית כדי להיכנס לרשת שלך במקום להיות חסום על ידי חומת האש.
זה המקום שבו IDS שלך יגיע פנימה בין אם אתה מיישם NIDS על פני הרשת כולה או HIDS על המכשיר הספציפי שלך, IDS יהיה לפקח על תעבורה נכנסת ויוצאת לזהות תנועה חשודה או זדונית שעשויים איכשהו לעקוף את חומת האש שלך או את זה יכול להיות שמקורו גם בתוך הרשת שלך.
IDS יכול להיות כלי נהדר עבור ניטור ניטור והגנה על הרשת מפני פעילות זדונית, עם זאת, הם נוטים גם אזעקות שווא. עם כמעט כל פתרון IDS לך ליישם תצטרך "לכוון את זה" פעם זה מותקן הראשון. אתה צריך להגדיר את IDS כראוי כדי לזהות מה היא תנועה רגילה ברשת שלך לעומת מה שעלול להיות תנועה זדונית ואתה, או מנהלי אחראי על התראות IDS, צריך להבין מה ההתראות מתכוון וכיצד להגיב ביעילות.