System wykrywania włamań (IDS) to technologia bezpieczeństwa sieciowego pierwotnie stworzona do wykrywania luk w zabezpieczeniach przeciwko docelowej aplikacji lub komputerowi. Systemy zapobiegania włamaniom (Intrusion Prevention Systems, IPS) rozszerzyły rozwiązania IDS o możliwość blokowania zagrożeń oprócz ich wykrywania i stały się dominującą opcją wdrażania technologii IDS/IPS. W tym artykule omówiono konfigurację i funkcje, które definiują wdrożenie systemu IDS.
System IDS musi tylko wykrywać zagrożenia i jako taki jest umieszczany poza pasmem w infrastrukturze sieciowej, co oznacza, że nie znajduje się na ścieżce komunikacji w czasie rzeczywistym między nadawcą a odbiorcą informacji. Rozwiązania IDS często wykorzystują port TAP lub SPAN do analizowania kopii strumienia ruchu w sieci (zapewniając w ten sposób, że IDS nie wpływa na wydajność sieci inline).
IDS został pierwotnie opracowany w ten sposób, ponieważ w tamtym czasie głębokość analizy wymagana do wykrywania włamań nie mogła być wykonywana z prędkością, która mogłaby dotrzymać kroku komponentom znajdującym się na bezpośredniej ścieżce komunikacyjnej infrastruktury sieciowej.
Jak wyjaśniono, IDS jest również urządzeniem typu „tylko nasłuchuj”. IDS monitoruje ruch i raportuje swoje wyniki do administratora, ale nie może automatycznie podjąć działań, aby zapobiec przejęciu systemu przez wykryty exploit. Atakujący są w stanie wykorzystywać luki w zabezpieczeniach bardzo szybko po wejściu do sieci, co sprawia, że IDS jest nieodpowiednim urządzeniem do zapobiegania atakom.
Poniższa tabela podsumowuje różnice w technologii nieodłącznie związanej z IPS i wdrożeniem IDS:
| Intrusion Prevention System | IDS Deployment | |
|---|---|---|
| Placement in Network Infrastructure | Part of the direct line of communication (inline) | Outside direct line of communication (out-of-band) |
| Typ systemu | Aktywny (monitor & automatycznie się broni) i/lub pasywny | Pasywny (monitor & powiadamia) |
| Mechanizmy wykrywania | 1. Statystyczna detekcja oparta na anomaliach 2. Wykrywanie sygnatur: – Exploit-facing signatures – Vulnerability-facing signatures |
1. Wykrywanie sygnatur: – Sygnatury ukierunkowane na exploity |
.