Un sistem de detectare a intruziunilor (IDS) este o tehnologie de securitate a rețelei construită inițial pentru detectarea exploatărilor de vulnerabilități împotriva unei aplicații sau a unui computer țintă. Sistemele de prevenire a intruziunilor (IPS) au extins soluțiile IDS prin adăugarea capacității de a bloca amenințările în plus față de detectarea lor și a devenit opțiunea dominantă de implementare pentru tehnologiile IDS/IPS. Acest articol va detalia configurația și funcțiile care definesc implementarea IDS.
Un IDS trebuie doar să detecteze amenințările și, ca atare, este plasat în afara benzii pe infrastructura de rețea, ceea ce înseamnă că nu se află în adevărata cale de comunicare în timp real între expeditorul și receptorul de informații. Mai degrabă, soluțiile IDS vor profita adesea de un port TAP sau SPAN pentru a analiza o copie a fluxului de trafic în linie (asigurându-se astfel că IDS nu are impact asupra performanțelor rețelei în linie).
IDS a fost inițial dezvoltat în acest mod deoarece, la vremea respectivă, profunzimea analizei necesară pentru detectarea intruziunilor nu putea fi realizată la o viteză care să țină pasul cu componentele aflate pe calea de comunicare directă a infrastructurii de rețea.
După cum s-a explicat, IDS este, de asemenea, un dispozitiv doar de ascultare. IDS-ul monitorizează traficul și raportează rezultatele sale unui administrator, dar nu poate lua automat măsuri pentru a împiedica preluarea sistemului de către un exploit detectat. Atacatorii sunt capabili să exploateze vulnerabilitățile foarte rapid odată ce intră în rețea, ceea ce face ca IDS-ul să fie o implementare inadecvată pentru dispozitivul de prevenire.
Tabelul următor rezumă diferențele tehnologice intrinseci între IPS și implementarea IDS:
| Sistemul de prevenire a intruziunilor | Dezvoltarea IDS | |
|---|---|---|
| Plasarea în infrastructura rețelei | Parte a liniei directe de comunicație (inline) | În afara liniei directe de comunicație (out-of-band) |
| Tip de sistem | Activ (monitor & se apără automat) și/sau pasiv | Pasiv (monitor & notifică) |
| Mecanisme de detecție | 1. Detectarea statistică bazată pe anomalii 2. Detectarea semnăturilor: – Semnături orientate spre exploatări – Semnături orientate spre vulnerabilități |
1. Detectarea semnăturilor: – Semnături orientate spre exploatare |
.