A Intrusion Detection System (IDS) egy olyan hálózati biztonsági technológia, amely eredetileg egy célalkalmazás vagy számítógép sérülékenységének kihasználására készült. A behatolásmegelőző rendszerek (IPS) kibővítették az IDS-megoldásokat azzal, hogy a fenyegetések észlelése mellett azok blokkolására is képesek, és az IDS/IPS-technológiák domináns telepítési lehetőségévé váltak. Ez a cikk az IDS telepítését meghatározó konfigurációt és funkciókat fejti ki.
Az IDS-nek csak a fenyegetések észlelésére van szüksége, és mint ilyen, sávon kívül helyezkedik el a hálózati infrastruktúrán, ami azt jelenti, hogy nincs benne az információ küldője és fogadója közötti valós idejű kommunikációs útvonalban. Az IDS-megoldások inkább gyakran kihasználják egy TAP- vagy SPAN-port előnyeit, hogy elemezzék a hálózaton belüli forgalmi folyam egy másolatát (és így biztosítsák, hogy az IDS nem befolyásolja a hálózaton belüli teljesítményt).
Az IDS-t eredetileg azért fejlesztették ki így, mert akkoriban a behatolásérzékeléshez szükséges mélységű elemzést nem lehetett olyan sebességgel elvégezni, amely lépést tudott volna tartani a hálózati infrastruktúra közvetlen kommunikációs útvonalán lévő komponensekkel.
Az IDS – mint már említettük – egy csak figyelő eszköz is. Az IDS figyeli a forgalmat és jelenti az eredményeit a rendszergazdának, de nem képes automatikusan intézkedni annak megakadályozására, hogy egy észlelt exploit átvegye a rendszer irányítását. A támadók nagyon gyorsan képesek kihasználni a sebezhetőségeket, amint belépnek a hálózatba, így az IDS nem megfelelő telepítési eszköz a megelőzéshez.
A következő táblázat összefoglalja az IPS és az IDS telepítésben rejlő technológiai különbségeket:
| Hatolást megelőző rendszer | IDS telepítése | |
|---|---|---|
| Hálózati infrastruktúrában való elhelyezés | A közvetlen kommunikációs vonal része (inline) | A közvetlen kommunikációs vonalon kívül (out-of-band) |
| Rendszer típusa | Aktív (monitor & automatikus védelem) és/vagy passzív | Passzív (monitor & értesítés) |
| Észlelési mechanizmusok | 1. Statisztikai anomália alapú észlelés 2. Aláírás alapú észlelés: – Exploit-központú aláírások – Sebezhetőség-központú aláírások |
1. Aláírás-érzékelés: – Exploit-fókuszú aláírások |