Cos'è l'IDS?
Guarda il video
Sistemi di rilevamento delle intrusioni anti-intrusioneDetection System) è una raccolta di software e / o hardware che serve a rilevare i fatti di accesso non autorizzato a una rete di computer / computer, nonché a impedire la loro gestione non autorizzata.
Cos'è l'IDS?
In poche parole, IDS è un sistema cheGarantisce la sicurezza dell'attività dell'utente, proteggendolo da vari tipi di intrusioni e attacchi di rete, che nell'era della tecnologia informatica non possono essere semplicemente considerati. Inoltre, IDS è la capacità di ricevere previsioni sugli attacchi futuri e prevenirli, nonché di apprendere informazioni sugli "attaccanti", che possono essere utili per correggere i fattori che consentivano l'accesso non autorizzato.
Perché sono necessari IDS?
Di recente, l'uso degli utentiI sistemi di rilevamento delle intrusioni stanno guadagnando popolarità. IDS è l'elemento più importante della sicurezza delle informazioni richiesto da ogni utente lungimirante. Il sistema di rilevamento delle intrusioni non solo rileva l'attacco del computer e lo blocca, ma lo esegue anche in una comoda interfaccia grafica: l'utente non avrà bisogno di conoscenze specifiche sui protocolli di rete e sulle possibili vulnerabilità.
Per analogia con i programmi antivirus, i sistemi di rilevamento delle intrusioni sono utilizzati per il metodo di base per rilevare attività non autorizzate:
- basato sulla firma. In questo caso, l'analisi viene condotta sulla base di un certo insieme di eventi che caratterizzano in modo univoco un particolare attacco. Questa tecnica è abbastanza efficace e nei principali metodi di ricerca del pericolo.
- basato su anomalie. Questo tipo di lavoro è caratterizzato dal rilevamento di attacchi identificando comportamenti insoliti della rete, del server o dell'applicazione. I sistemi che operano con questo meccanismo possono tracciare efficacemente gli attacchi, ma il loro problema principale è la massa di falsi positivi.
Architettura IDS
Qualsiasi IDS include:
- un sottosistema di sensori che monitora costantemente gli eventi relativi alla sicurezza del sistema;
- un sottosistema di analisi che seleziona da tutti gli eventi,selezionato dal sensore, sospetto. Gli ID con un sottosistema di analisi attivo in caso di rilevamento di attività sospette possono richiedere azioni di risposta a
- Archiviazione, accumulo di eventi primari e risultati di analisi;
- pannello di controllo, che consente all'utente di monitorare il sistema.
Nella maggior parte dei semplici ID, tutto quanto soprai componenti sono implementati come un singolo dispositivo. A seconda dei parametri del sensore e dei metodi di analisi, i sistemi di rilevamento delle intrusioni forniscono un diverso livello di rilevamento degli attacchi.
IDS, proteggendo il segmento di rete
Questo tipo di sistema è molto affidabile, perchéL'implementazione avviene su un server dedicato in cui altre applicazioni non possono funzionare. In questo caso, il server può essere reso invisibile all'utente malintenzionato. Per una protezione particolarmente di alta qualità
Il difetto IDS che protegge il segmento di rete èla difficoltà di riconoscere un attacco in un momento di elevato carico di rete. Inoltre, tale ID può solo segnalare un attacco, ma non analizzare il grado di penetrazione.
IDS, che protegge un singolo server
Questi sistemi raccolgono e analizzanoinformazioni sui processi sospetti che si verificano su un particolare server. Tale IDS ha un compito piuttosto limitato, e quindi può eseguire analisi altamente dettagliate, nonché identificare un utente specifico che esegue azioni non autorizzate.
Alcuni IDS che proteggono il server hannola possibilità di gestire un gruppo di server contemporaneamente, redigendo report generali su un possibile attacco di rete. A differenza di IDS, che protegge il segmento di rete, questi sistemi possono funzionare anche su una rete che utilizza la crittografia, nel caso in cui le informazioni sul server siano mantenute in forma chiara prima di essere trasmesse.
Lo svantaggio principale di IDS, il controllo del server (s), -l'incapacità di monitorare l'intera rete. Per loro solo i pacchetti ricevuti dal server protetto sono visibili. Inoltre, le prestazioni del sistema si riducono quando il server utilizza risorse di calcolo.
IDS, protezione delle applicazioni
Questi sistemi di sicurezza monitorano gli eventi,che si verificano all'interno della stessa applicazione. Come probabilmente già indovinato, questo sistema consente di creare un report con il più alto grado possibile di dettaglio, poiché funziona con un compito ancora più ristretto rispetto al precedente tipo di sistema.
IDS, che protegge l'applicazione, utilizza la conoscenza dell'applicazione, nonché l'analisi dei dati del suo log di sistema per l'analisi. Il sistema interagisce con l'applicazione tramite l'API.
Lo svantaggio di IDS, la protezione delle applicazioni è ovvio: un profilo troppo ristretto. Naturalmente, se per un utente è importante garantire la sicurezza di una particolare applicazione, questa è un'opzione perfettamente accettabile.
IDS - protezione affidabile?
Sistema di rilevamento delle intrusioni - efficaceuno strumento per proteggere l'utente da vari tipi di attacchi non autorizzati, ma non dimenticare che se stiamo parlando di sicurezza a tutti gli effetti, IDS è solo un elemento di questo sistema. La sicurezza a tutti gli effetti è:
- Politica di sicurezza Intranet;
- sistema di protezione degli ospiti;
- audit di rete;
- protezione basata su router;
- firewall;
- sistema di rilevamento delle intrusioni;
- risposta politica agli attacchi rilevati.
Correttamente solo la combinazione di tutti i tipi di protezione, l'utente può essere assolutamente calma per lo stoccaggio sicuro e la trasmissione di dati sensibili.
