Intrusioaren detekzio sistema (IDS) monitorizatzen du sareen trafikoa eta monitoreak jarduera susmagarriak eta sistemaren edo sareko administratzaileari jakinarazten dio. Zenbait kasutan, IDSk trafiko anomal edo maltzurren bat ere erantzuten du, hala nola, erabiltzailea edo iturburuko IP helbidea blokeatzea sarean sartzea.
IDS "zapore" ugari biltzen dira eta trafiko susmagarriak modu ezberdinetan detektatzeko helburua dute. Sareko (NIDS) eta ostalarien oinarritutako (HIDS) intrusio detekzio sistemak daude. Badira mehatxu ezagunen sinadura espezifikoetan oinarritutako detektatzen dituzten IDSak ( birusen aurkako softwarea normalean antzematen eta babesten du malwarearen aurka), eta oinarrian oinarritutako trafiko-ereduak alderatuz eta anomaliak bilatuz oinarritzen diren identifikazioak daude. Segimendua eta alertak soilik egiten dituzten IDS daude eta detektatuta dagoen mehatxu bati erantzuten dien ekintza edo ekintza bat egiten duten IDS daude. Laburki horietako bakoitza estaltzen dugu.
NIDS
Sareko Intrusio Detekzio Sistemak sare estrategikoan puntu edo puntuetako batean kokatzen dira sarean sartzen diren gailu guztietatik zirkulazioa kontrolatzeko. Egokiena, sarrerako eta irteerako zirkulazio guztiak aztertuko dituzu, hala ere sarearen abiadura orokorra kaltetu dezakeen botiken bat sor dezake.
HIDS
Ostalariaren intrusioak detektatzeko sistemak ostalari bakarreko edo gailu sareetan exekutatzen dira. HIDS-k paketeetatik irteten eta atera egiten ditu paketeak bakarrik, eta jarduera susmagarriaren erabiltzaile edo administratzaileari detektatu egingo zaio.
Sinadura oinarrituta
Sinadura oinarritutako IDS-k sarean dauden paketeak monitorizatuko ditu eta sinadurak edo atributuen datu-base baten aurka konparatuko ditu mehatxu gaizto ezagunetatik. Antivirus software gehienak malwareak detektatzen dituen moduaren antzekoa da. Arazoa da basamortuan aurkitutako mehatxu berri bat eta sinadura hori identifikatzeko zure IDSari aplikatutako mehatxua detektatzeko. Atzerapen denboran zehar, zure IDS ezin izango du mehatxu berri bat antzeman.
Anomalia oinarrituta
Anomalia oinarritutako IDS batek sare trafikoa monitorizatuko du eta ezarritako lerroaren oinarria alderatuko du. Oinarrian sare hori "normala" identifikatuko du, zein banda zabalera erabiltzen den, protokoloak erabiltzen direnak, portuak eta gailuak, oro har, elkarri konektatzen direnak, eta administratzaileak edo erabiltzaileak trafikoa detektatzen duenean anomala da, edo lerroa baino askoz nabarmenagoa.
IDS pasiboa
IDS pasiboa soilik detektatu eta alertak. Trafiko susmagarriak edo maltzurrenak detektatzen badira, alerta bat sortzen da eta administratzaileari edo erabiltzaileari bidaliko zaie eta ekintza burutzeko ekintza bat burutzeko edo nolabait erantzuteko.
IDE erreaktiboa
IDak erreaktiboak ez du trafiko susmagarriak edo maltzurrak detektatuko eta administratzaileari ohartaraziko dio, baina aurrez zehaztutako ekintzak proaktiboak hartuko ditu mehatxuari erantzuteko. Normalean horrek esan nahi du sareko trafiko gehiago blokeatzea iturburuko IP helbide edo erabiltzaile batetik.
Intrusio detektatzeko sistemarik ezagunenetako eta zabalduenetakoa da Snort libreki erabilgarri dagoen iturburu irekia. Plataforma eta sistema eragile ugari daude, bai Linux eta bai Windows barne. Snort-ek jarraitzaile handiak eta leialak ditu eta Interneten eskura dauden baliabide ugari daude, sinadurak eskuratu ahal izateko, azken mehatxuak hautemateko. Beste freeware intrusio detekzio aplikazioetarako, Free Intrusion Detection Software bisitatu ahal izango duzu.
Suebakia eta IDS baten arteko lerro fina dago. IPS - Intrusio Prebentzio Sistema izeneko teknologia ere badago. IPS bat da, funtsean, sare-maila eta aplikazio-maila iragazteak IDS erreaktiboa sare proaktiboan babesten duen konbinatzen duen suhiltzailea. Badirudi denbora suebakietan gertatzen den bezala, IDS eta IPS elkarren arteko atributu gehiago hartzen dituztela eta lerroa are gehiago ezabatzen dela.
Funtsean, suebakia zure perimetroen defentsa lerro lehenekoa da. Jardunbide egokiak gomendatzen da zure suhiltzailea esplizituki konfiguratzen dela DENY sarrerako trafiko guztia eta, ondoren, zuloak ireki behar dituzu. Portua 80 ireki behar duzu web gune edo ataka 21 ostalatzeko FTP fitxategi-zerbitzari bat ostatatzeko. Zulo horietako bakoitzak beharrezkoa izan daiteke ikuspuntutik, baina trafiko maltzurraren bektore posibleak ere adierazten dituzte sarea sarritan suteak blokeatuta egon ez dadin.
Horrek zure IDSa sartuko luke. Sarea osoan zehar HIESa edo HIDEA zure gailu zehatzean inplementatzen duzun ala ez adierazten du, IDS-k sarrerako eta irteerako trafikoa kontrolatuko du eta trafiko susmagarriak edo maltzurrenak identifikatu beharko lituzke, suebaki batek nolabait esatearren baliteke sarean jatorria izatea ere.
IDS tresna ezin hobea izan daiteke zure sarean jarduera maltzurrak proaktiboki monitorizatzeko eta babesteko, ordea, faltsuak diren alarmak ere badira. IDS irtenbide guztiarekin batera ezartzen duzunean "lehenetsi" beharko duzu lehenik. IDS behar bezala konfiguratuta egon behar duzu zer den zure sarean trafiko arrunta eta zer den trafiko maltzurrena zein den jakiteko, edo IDSen alertak erantzuteko arduradunek, alertak zer esan nahi duten eta nola eraginkortasunez erantzuteko ulertu behar dute.