یک سیستم تشخیص نفوذ (IDS) ترافیک شبکه را نظارت می کند و برای فعالیت مشکوک نظارت می کند و سیستم یا مدیر شبکه را هشدار می دهد. در بعضی موارد، IDS همچنین ممکن است به ترافیک غیرمحسوس یا مخرب پاسخ دهد و اقداماتی نظیر مسدود کردن آدرس IP کاربر یا منبع را از دسترسی به شبکه انجام دهد.
IDS در انواع "طعم دهنده ها" قرار دارد و به هدف تشخیص ترافیک مشکوک به روش های مختلف نزدیک می شود. سیستم های تشخیص نفوذ مبتنی بر شبکه (NIDS) و میزبان (HIDS) وجود دارد. IDS وجود دارد که بر اساس جستجو برای امضای خاص تهدیدات شناخته شده است - شبیه به روش نرم افزار آنتی ویروس به طور معمول در برابر نرم افزارهای مخرب تشخیص داده و محافظت می کند و IDS هایی هستند که براساس مقایسه الگوهای ترافیکی علیه یک خط مبنایی و جستجوی ناهنجاری ها شناسایی می شوند. IDS وجود دارد که به سادگی نظارت و هشدار می دهد و IDS وجود دارد که در پاسخ به یک تهدید شناسایی اقدامات یا اقداماتی انجام می دهند. ما هر کدام از این ها را به طور خلاصه پوشش می دهیم.
NIDS
سیستم های تشخیص نفوذ شبکه در یک نقطه استراتژیک یا نقاط درون شبکه قرار می گیرند تا ترافیک را از طریق تمام دستگاه ها در شبکه نظارت کنند. در حالت ایده آل، شما تمام ترافیک ورودی و خروجی را اسکن می کنید، اما این کار ممکن است یک تنگنا را ایجاد کند که باعث کاهش سرعت کلی شبکه شود.
HIDS
سیستم های تشخیص نفوذ میزبان در میزبان یا دستگاه های شخصی در شبکه اجرا می شوند. HIDS بسته های ورودی و خروجی را تنها از دستگاه کنترل می کند و کاربر یا مدیر فعال فعالیت مشکوک را شناسایی می کند
امضا بر اساس
IDS مبتنی بر امضا بسته های شبکه را نظارت خواهد کرد و آنها را در برابر یک پایگاه داده از امضا یا ویژگی های تهدیدات مخرب شناخته شده مقایسه می کند. این شبیه به شیوه ای است که بیشتر نرم افزار آنتی ویروس بدافزار را شناسایی می کند. مسئله این است که بین یک تهدید جدید که در وحشی کشف می شود و امضای آن برای تشخیص تهدیدی که برای IDS شما اعمال می شود، فاصله ای خواهد بود. در طول زمان وقوع، IDS شما قادر به شناسایی تهدید جدید نیست.
بر اساس آنومالی
یک IDS که مبتنی بر انحراف است، ترافیک شبکه را نظارت خواهد کرد و آن را با یک خط پایه ثابت مقایسه می کند. خط پایه شناسایی آنچه که "طبیعی" برای آن شبکه است - چه نوع پهنای باند به طور کلی استفاده می شود، کدام پروتکل ها استفاده می شود، چه پورت ها و دستگاه ها به طور کلی به یکدیگر متصل می شوند - و هشدار مدیر یا کاربر هنگام شناسایی ترافیک که غیرعادی است یا به طور قابل توجهی متفاوت از پایه است.
IDS منفعل
یک IDS غیرفعال به سادگی تشخیص و هشدار. هنگامی که ترافیک مشکوک یا مخرب شناسایی می شود، هشدار ایجاد می شود و به مدیر یا کاربر ارسال می شود و برای انجام اقدامات لازم برای جلوگیری از فعالیت یا به نحوی پاسخ می دهد.
IDS واکنش پذیر
یک IDS واکنشی نه تنها ترافیک مشکوک و مخرب را شناسایی می کند و هشدار به مدیر را می دهد بلکه اقدامات پیشگیرانه ای را برای پاسخ به تهدید انجام می دهد. به طور معمول این بدان معنی است که هرگونه ترافیک شبکه بیشتر از آدرس آی پی یا کاربر منبع را مسدود کند.
یکی از شناخته شده ترین و به طور گسترده ای استفاده از سیستم های تشخیص نفوذ منبع باز است، آزاد Snort در دسترس است. این در دسترس برای تعدادی از سیستم عامل ها و سیستم عامل ها از جمله لینوکس و ویندوز است . Snort یک دنباله بزرگ و وفادار دارد و منابع زیادی در اینترنت وجود دارد که در آن شما می توانید امضا را برای پیاده سازی برای شناسایی آخرین تهدیدات به دست آورید. برای سایر برنامه های تشخیص نفوذ نرم افزار رایگان، شما می توانید نرم افزار تشخیص نفوذ رایگان مراجعه کنید.
بین یک فایروال و یک IDS یک خط خوب وجود دارد. همچنین تکنولوژی IPS - Prevention System Intrusion نامیده می شود. یک IPS اساسا یک فایروال است که فیلتر کردن سطح شبکه و برنامه کاربردی را با یک IDS واکنشی ترکیب می کند تا امنیت شبکه را فعال کند. به نظر می رسد که به عنوان زمان بر روی فایروال ها، IDS و IPS ویژگی های بیشتری را از یکدیگر می گیرند و خط را حتی بیشتر تار می کنند.
اساسا فایروال شما اولین خط دفاع شماست. بهترین شیوه ها توصیه می کنند که فایروال شما به صراحت پنهان شود تا تمام ترافیک ورودی DENY پنهان شود و سپس در صورت لزوم سوراخ ها را باز کنید. شما ممکن است نیاز به باز کردن پورت 80 برای میزبانی وب سایت ها و یا پورت 21 برای میزبانی سرور فایل FTP . هر یک از این سوراخ ها ممکن است از یک نقطه نظر ضروری باشد، اما آنها همچنین نشان دهنده توزیع احتمالی ترافیک مخرب برای ورود به شبکه شما می باشند تا اینکه فایروال آن را مسدود کند.
این همان چیزی است که IDS شما وارد می شود. اگر NIDS را در کل شبکه یا HIDS در دستگاه خاص خود نصب کنید، IDS ترافیک ورودی و خروجی را کنترل می کند و ترافیک مشکوک یا مخرب را شناسایی می کند که ممکن است به نوعی فایروال شما را از بین ببرد احتمالا می تواند از داخل شبکه شما نیز ایجاد شود.
IDS می تواند یک ابزار عالی برای نظارت و حفاظت از شبکه شما از فعالیت های مخرب باشد، اما آنها نیز به آلرژی های دروغین مبتلا هستند. با استفاده از هر راه حل IDS که شما پیاده سازی می کنید، باید بعد از نصب اولین بار آن را تنظیم کنید. شما باید IDS را به درستی پیکربندی کنید تا به رسمیت شناختن ترافیک عادی در شبکه خود، در مقابل آنچه ممکن است ترافیک مخرب باشد، و یا شما یا مدیران مسئول پاسخ به هشدارهای IDS، باید بدانید که چه معنای هشدار و چگونه به طور موثر پاسخ میدهند.