IDS - o que é?Como isso funciona?Intrusion Detection System - um software ou hardware de detecção de ataques e atividade maliciosa.Eles ajudam a redes e sistemas informáticos para dar-lhes uma rejeição adequada.Para conseguir isso, IDS recolhe informações de fontes múltiplas, sistema ou rede.Em seguida, o IDS análises para determinar a presença de ataques.Este artigo irá tentar responder à pergunta: "IDS - o que é e para que serve"
Quais são os sistemas de detecção de intrusão sistemas de informação (IDS)
e redes estão constantemente expostos a ataques cibernéticos.Firewalls e software antivírus para refletir todos esses ataques não é suficiente, porque eles só são capazes de proteger a "porta da frente" de sistemas de computadores e redes.Outros adolescentes, imaginava-se hackers, constantemente vasculhando a Internet em busca de brechas nos sistemas de segurança.
Graças à World Wide Web à sua disposição uma grande quantidade de totalmente livre de software malicioso - qualquer Slammer, slepperov e programas maliciosos semelhantes.Serviço é assaltantes profissionais são empresas concorrentes para neutralizar um ao outro.Assim, os sistemas que detectam invasão (sistemas de detecção de intrusão), - uma necessidade vital.Não é de admirar que a cada dia estão mais amplamente utilizada.Elementos
IDS
Elements IDS incluem:
- subsistema detector, cujo objectivo - o acúmulo de eventos de rede ou sistema informático;
- análise subsistema, que detecta ataques cibernéticos e atividade duvidosa;
- repositório para armazenar informações sobre os eventos e os resultados da análise de ataques cibernéticos e atividades não autorizadas;Console de gerenciamento
- , com o qual você pode definir parâmetros IDS, monitorar o status da (ou sistema de computador), ter acesso a informações sobre a análise subsistema detectou o ataque e ações ilegais.
De fato, muitos podem perguntar: "Como é traduzido IDS?"A tradução de Inglês soa como "sistema que capta os intrusos quentes."
tarefas básicas para resolver sistemas de detecção de intrusão
Intrusion Detection System tem dois objetivos principais: a análise das fontes de informação e uma resposta adequada, com base nos resultados dessa análise.Para realizar essas tarefas, o IDS executa as seguintes ações: monitores
- e analisa a atividade do usuário;
- trata da configuração do sistema de auditoria e suas fraquezas;
- verifica a integridade dos arquivos críticos do sistema e arquivos de dados;
- realiza uma análise estatística dos estados do sistema baseados em uma comparação com os Estados que tiveram lugar durante os ataques já conhecidos;
- audita o sistema operacional.
que pode fornecer o sistema de detecção de intrusão e que não podem pagar
pode usá-lo para alcançar o seguinte:
- melhorar os parâmetros da integridade da infra-estrutura de rede;
- para controlar a atividade do usuário na data da sua entrada no sistema e para a aplicação do danificá-lo ou fazer quaisquer ações não autorizadas;
- identificar e informar sobre a alterar ou excluir dados;
- automatizar a tarefa de monitorar a Internet para encontrar os mais recentes ataques;
- detectar erros na configuração do sistema;
- detectar o início do ataque e notificar.
O IDS não pode fazê-lo:
- para preencher as lacunas em protocolos de rede;
- desempenhar um papel compensatório no caso de mecanismos de autenticação fracos e autenticação em redes ou sistemas de computador que ele monitora;
- também deve ser notado que IDS nem sempre lidar com os problemas associados com os ataques a nível de pacotes (packet-level).
IPS (Intrusion Prevention System) - uma continuação do IDS
IPS significa "sistema de prevenção de intrusões."Esta variedade avançado, mais funcional do IDS.IPS IDS sistema reactivo (por oposição ao normal).Isso significa que eles podem não só identificar, registrar e informar sobre o ataque, mas também para desempenhar funções de protecção.Estas funções incluem a redefinição conexões e bloqueando pacotes de tráfego de entrada.Outra característica do IPS é que eles trabalham on-line e pode bloquear automaticamente o ataque.
Sub-IDS a um método para o monitoramento
NIDS (ou seja, IDS, que monitora a rede inteira (de rede)) que se dedicam à análise de tráfego em sub-redes e gerenciado centralmente.Bom posicionamento de vários NIDS pode ficar muito grande rede tamanho do monitor.
Eles trabalham em modo promíscuo (ou seja, verificar todos os pacotes de entrada, e não torná-lo opcional), o tráfego de sub-rede comparando com os ataques conhecidos com a sua biblioteca.Quando um ataque é identificado, ou atividade não autorizada é detectada, um sinal de alarme é enviado ao administrador.No entanto, deve mencionar-se que uma grande rede com elevado tráfego NIDS por vezes não consegue lidar com todos os pacotes de informação de teste.Por conseguinte, existe uma possibilidade de que durante o "pico", que não podem reconhecer um ataque.
NIDS (IDS baseado em rede) - estes são os sistemas que são facilmente integradas em nova topologia de rede tanto impacto sobre o seu funcionamento, eles não têm, sendo passiva.Eles só fixa é gravada e notificar ao contrário tipo reativo sistema IPS, que foram discutidos acima.No entanto, também deve ser dito sobre os IDS baseado em rede, este é o sistema que não pode analisar a informação sujeita a criptografia.Esta é uma desvantagem significativa por causa da introdução cada vez mais generalizada de rede privada virtual (VPN) para criptografar a informação é cada vez mais utilizada por cibercriminosos para atacar.
também NIDS não pode determinar o que aconteceu como resultado do ataque, que causou danos ou não.Todos eles oferecem - é fixar o seu início.Assim, o administrador é forçado a re-examinar cada caso sobre os seus próprios ataques, para assegurar que o ataque bem sucedido.Outro problema significativo é que quase não capta o ataque NIDS usando pacotes fragmentados.Eles são particularmente perigosas, pois podem interferir com o funcionamento normal do NIDS.O que isso significa para todo o sistema de rede ou computador, não há necessidade de explicar.
HIDS (host sistema de detecção de intrusão)
HIDS (IDS, anfitrião monitoryaschie (host)) servem apenas um computador específico.Isto, é claro, proporciona muito mais elevada eficiência.HIDS analisados dois tipos de informação: registros do sistema e resultados de auditoria do sistema operacional.Eles fazem um instantâneo de arquivos do sistema e compará-lo com a imagem anterior.Se os arquivos de sistema de missão crítica têm sido alterados ou removidos, o administrador é enviado um alarme.
HIDs Uma vantagem significativa é a capacidade de realizar o seu trabalho em uma situação em que o tráfego de rede é a encriptação suscetíveis.Isso é possível porque o são no host (host-based) fontes de informação pode ser criado antes dos dados é passível de criptografia ou descriptografia depois no host de destino.
As desvantagens deste sistema incluem a capacidade de bloquear ou mesmo a proibição de utilizar certos tipos de DoS-ataques.O problema aqui é que alguns sensores e ferramentas de análise HIDS estão localizados no host que é atacado, ou seja, eles também atacou.O fato de que os recursos são HIDS anfitriões cujos trabalhos eles monitoram, também, não é um plus, como ele é, naturalmente, reduz a sua produtividade.
Sub IDS para detectar ataques métodos
Método
método de análise de anomalia e as assinaturas de método de políticas - tais subespécie sobre como identificar um sistema de ataques IDS.Método de Análise
assinaturas
Neste caso, os pacotes de dados são verificados para o ataque de assinatura.A assinatura do ataque - um evento correspondente uma das amostras, descrevendo ataques conhecidos.Este método é bastante eficaz, porque quando você usa os falsos relatos de ataques são raros.Método
anomalias
Com sua ajuda encontrado ações ilegais na rede e host.Com base no histórico do funcionamento normal do hospedeiro e a rede criada perfis especiais com dados sobre ela.Em seguida, vêm em detectores de folgas especiais que analisam eventos.Usando algoritmos diferentes que produzem uma análise desses eventos, comparando-os com a "norma" nos perfis.A falta de necessidade de acumular uma enorme quantidade de assinaturas de ataque - uma clara vantagem deste método.No entanto, um número considerável de alarmes falsos sobre os ataques de rede eventos incomuns, mas bastante legítimas - é, sem dúvida, negativo.
método político
Outro método é o método de políticas de detecção de ataques.A essência da mesma - na criação de regras de segurança de rede, em que, por exemplo, pode indicar o princípio da interoperabilidade entre si e com os protocolos utilizados.Este método é promissor, mas a dificuldade é bastante complicado processo de políticas de criação de banco de dados.
ID Sistemas irá fornecer proteção confiável dos seus sistemas de rede e computadores
Grupo ID Systems é hoje uma das líderes de mercado na área de sistemas de segurança para redes de computadores.Ele irá lhe fornecer proteção confiável contra os ciber-vilões.Com sistemas de sistemas de proteção de identidade, você não pode se preocupar com seus dados importantes.Desta forma, você pode aproveitar mais a vida, porque você tem em sua mente estará menos ansiedade.
ID Systems - feedback dos funcionários
grande equipa e, mais importante, é claro - essa é a atitude correta da empresa para seus funcionários.Todos (mesmo os novatos inexperientes) têm a oportunidade de crescimento profissional.No entanto, para isso, é claro, que você precisa para se expressar, e então tudo vai sair.
ambiente saudável na equipe.Os novatos são sempre ao redor e tudo show de trem.Sem concorrência desleal não é sentida.Os funcionários que trabalham na empresa há muitos anos, tem o prazer de compartilhar todas as complexidades técnicas.Eles são simpáticos, mesmo sem uma pitada de condescendência responder às perguntas mais estúpidas trabalhadores inexperientes.Em geral, a partir de um trabalho ID Systems algumas emoções positivas.
contra a liderança agradavelmente satisfeito.Além disso prazer que aqui, obviamente, sabe como trabalhar com a equipe porque a equipe é realmente altamente correspondido.Empregado quase inequívoca: eles se sentem no trabalho em casa.
