Systém detekce narušení (IDS) je technologie zabezpečení sítě původně vytvořená pro detekci zneužití zranitelností cílové aplikace nebo počítače. Systémy prevence narušení (IPS) rozšířily řešení IDS o schopnost kromě detekce hrozeb také jejich blokování a staly se dominantní možností nasazení technologií IDS/IPS. Tento článek se bude podrobněji zabývat konfigurací a funkcemi, které definují nasazení IDS.
Systém IDS potřebuje pouze detekovat hrozby a jako takový je umístěn mimo pásmo síťové infrastruktury, což znamená, že není ve skutečné komunikační cestě mezi odesílatelem a příjemcem informací v reálném čase. Řešení IDS spíše často využívají port TAP nebo SPAN k analýze kopie datového toku v síti (a tím zajišťují, že IDS neovlivňuje výkon sítě v síti).
IDS byl původně vyvinut tímto způsobem, protože v té době nebylo možné provádět hloubkovou analýzu potřebnou pro detekci narušení rychlostí, která by dokázala udržet krok s komponentami na přímé komunikační cestě síťové infrastruktury.
Jak bylo vysvětleno, IDS je také zařízení pouze pro poslech. Systém IDS monitoruje provoz a hlásí své výsledky správci, ale nemůže automaticky podniknout kroky, které by zabránily detekovanému zneužití v ovládnutí systému. Útočníci jsou schopni zneužít zranitelnosti velmi rychle, jakmile se dostanou do sítě, což činí IDS nedostatečným zařízením pro nasazení prevence.
Následující tabulka shrnuje rozdíly v technologii vlastní IPS a nasazení IDS:
| Systém prevence narušení | Nasazení IDS | |
|---|---|---|
| Umístění v síťové infrastruktuře | Součást přímé komunikační linie (inline) | Mimo přímou komunikační linii (out-of-band) |
| Typ systému | Aktivní (monitor & automaticky brání) a/nebo pasivní | Pasivní (monitor & oznamuje) |
| Mechanismy detekce | 1. Statistická detekce založená na anomáliích 2. Detekce pomocí signatur: – Signatury zaměřené na zneužití – Signatury zaměřené na zranitelnosti |
1. Detekce signatur: – Signatury zaměřené na zneužití |
.