Що таке ids?

Дивіться відео

Що таке IDS?

Системи виявлення вторгнень (Intrusion Detection System) - це сукупність програмних та / або апаратних засобів, службовців для виявлення фактів несанкціонованого доступу в комп'ютер / комп'ютерну мережу, а також запобігання неавторизованого управління ними.

Що таке IDS?

Простіше кажучи, IDS - це система, яка забезпечує безпеку діяльності користувача, захищаючи його від різного роду вторгнень і мережевих атак, яких в епоху інформаційних технологій просто не злічити. Крім того, IDS - це можливість отримувати прогноз про майбутні атаках і запобігати їх, а також дізнаватися інформацію про "атакуючих", яка може бути корисною для коригування факторів, які допустили несанкціонованих доступ.

Чому IDS необхідні?

Останнім часом застосування користувачами систем виявлення вторгнення активно набирає популярність. IDS - найважливіший елемент інформаційної безпеки, необхідний кожному далекоглядному користувачеві. Система виявлення вторгнень дозволить не тільки виявити комп'ютерну атаку і блокувати її, а й виконати це в зручному графічному інтерфейсі - від користувача не потрібно спеціальних знань про мережевих протоколах і можливих уязвимостях.

За аналогією з антивірусними програмами системи виявлення вторгнення застосовують для базового методу виявлення несанкціонованої діяльності:

• на основі сигнатури. В даному випадку аналіз проводиться на базі відповідності певному набору подій, які унікально характеризують те чи інше відоме напад. Дана методика досить ефективна і в комерційних способах пошуку небезпеки - головна.
• на основі аномалій. Такий тип роботи характеризується виявленням атак шляхом ідентифікації незвичайної поведінки мережі, сервера або програми. Системи, що працюють за даним механізмом, можуть ефективно відстежувати нападу, однак їхня головна проблема - маса помилкових спрацьовувань.

Архітектура IDS

Будь IDS включає в себе:

• сенсорну підсистему, яка постійно відстежує події, пов'язані з безпекою системи;
• підсистему аналізу, відбирають з усіх подій, обраних сенсором, підозрілі. IDS з активною підсистемою аналізу в разі виявлення підозрілої діяльності можуть вжити заходів у відповідь, до Приміром, самостійно розірвати мережеве з'єднання. Пасивні IDS лише повідомлять адміністратору про підозрілий дії, а звертати на нього увагу чи ні, повинен вирішити сам користувач.
• сховище, нагромаджує первинні події і результати аналізу;
• панель управління, яка дає можливість користувачеві відслідковувати роботу системи.

У більшості простих IDS всі перераховані вище компоненти реалізовані у вигляді одного пристрою. Залежно від параметрів сенсорів та методів аналізу системи виявлення вторгнень забезпечують різний рівень виявлення атак.

IDS, що захищає сегмент мережі

Цей тип систем дуже надійний, оскільки розгортання відбувається на спеціалізованому сервері, на якому інші програми працювати не можуть. При цьому сервер можна зробити невидимим для нападника. Для особливо якісного захисту мережі встановлюється ряд таких серверів, які можуть аналізувати трафік у всіх її сегментах. При вдалому розташуванні цих систем можна контролювати вельми масштабну мережу.

Недолік IDS, що захищає сегмент мережі, - складність розпізнання атаки в момент високого навантаження мережі. Крім того, така IDS зможе лише повідомити про напад, але не проаналізувати ступінь проникнення.

IDS, що захищає окремий сервер

Дані системи здійснюють збір і аналіз інформації про підозрілі процеси, які відбуваються на конкретному сервері. Така IDS має досить вузьке завдання, а тому може виконувати високо деталізований аналіз, а також визначати конкретного користувача, який здійснює несанкціоновані дії.

Деякі IDS, що захищають сервер, мають можливість управляти відразу групою серверів, становлячи загальні звіти про можливу мережевий атаці. На відміну від IDS, що захищають сегмент мережі, ці системи можуть працювати навіть в мережі, яка використовує шифрування, - в тому випадку, якщо інформація на сервері до її передачі міститься у відкритому вигляді.

Головний мінус IDS, контролюючих сервер (и), - неможливість виконувати контроль всієї мережі. Для них видимі лише пакети, одержувані захищається сервером. Крім того, ефективність роботи систем знижується, коли сервер використовує обчислювальні ресурси.

IDS, що захищає додатки

Ці системи захисту контролюють події, що відбуваються в межах однієї програми. Як ви вже, напевно, здогадалися, така система дозволяє створювати звіт з максимально високим ступенем деталізації, оскільки працює з ще більш вузької завданням, ніж система попереднього типу.

IDS, що захищає додаток, використовує знання про програму, а також дані аналізу його системного журналу для складання аналізу. Система взаємодіє з додатком допомогою API.

Недолік IDS, що захищають додатки очевидний - занадто вузький профіль. Звичайно, якщо для користувача важливо забезпечити безпеку конкретного додатка - це цілком прийнятний варіант.

IDS - надійний захист?

Системи виявлення вторгнень - ефективний інструмент захисту користувача від різного роду несанкціонованих атак, проте не варто забувати, що якщо ми говоримо про повноцінну безпеки, IDS - всього лише елемент даної системи. Повноцінна безпеку це:

• політика безпеки інтрамережі;
• система захисту хостів;
• мережевий аудит;
• захист на базі маршрутизаторів;
• міжмережевий екран;
• система виявлення вторгнень;
• політика реагування на виявлені атаки.

Тільки грамотно поєднуючи всі перераховані вище типи захисту, користувач може бути абсолютно спокійний за безпеку зберігання і передачі важливих даних.