يراقب نظام كشف التسلل (IDS) حركة مرور الشبكة ويراقب النشاط المريب وينبه النظام أو مسؤول الشبكة. في بعض الحالات ، قد تستجيب IDS أيضًا لحركة المرور الشاذة أو الخبيثة من خلال اتخاذ إجراء مثل حظر المستخدم أو عنوان IP المصدر من الوصول إلى الشبكة.
تأتي IDS بمجموعة متنوعة من "النكهات" وتقترب من هدف اكتشاف حركة المرور المشبوهة بطرق مختلفة. هناك أنظمة تعتمد على الشبكات (NIDS) و المستندة إلى المضيف (HIDS). هناك IDS تقوم بالاكتشاف بناءً على البحث عن توقيعات محددة للتهديدات المعروفة - تشبه الطريقة التي يكتشف بها برنامج مكافحة الفيروسات ويحميها من البرامج الضارة - وهناك IDS تقوم بالكشف بناءً على مقارنة أنماط المرور مع خط الأساس والبحث عن الحالات الشاذة. هناك IDS التي تراقب وتنبه ببساطة وهناك IDS التي تقوم بتنفيذ إجراء أو أفعال ردا على تهديد مكتشف. سنقوم بتغطية كل من هذه باختصار.
NIDS
يتم وضع أنظمة الكشف عن اقتحام الشبكات في نقطة أو نقاط استراتيجية داخل الشبكة لمراقبة حركة المرور من وإلى كافة الأجهزة الموجودة على الشبكة. من الناحية المثالية ، يمكنك فحص جميع الزيارات الواردة والصادرة ، ومع ذلك قد يؤدي ذلك إلى حدوث اختناق قد يؤدي إلى ضعف السرعة الإجمالية للشبكة.
HIDS
يتم تشغيل أنظمة كشف التسلل المضيف على الأجهزة المضيفة أو الأجهزة الفردية على الشبكة. تراقب HIDS الحزم الواردة والصادرة من الجهاز فقط وستقوم بتنبيه المستخدم أو المسؤول عن اكتشاف نشاط مشبوه
بناء على التوقيع
ستقوم IDS المبنية على التوقيع بمراقبة الحزم على الشبكة ومقارنتها بقاعدة بيانات للتوقيعات أو السمات من تهديدات خبيثة معروفة. يشبه هذا الطريقة التي يكشف بها معظم برامج مكافحة الفيروسات عن البرامج الضارة. القضية هي أنه سيكون هناك تأخر بين التهديد الجديد الذي يتم اكتشافه في البرية والتوقيع لاكتشاف هذا التهديد الذي يتم تطبيقه على IDS الخاص بك. خلال فترة التأخر ، لن تتمكن IDS من اكتشاف التهديد الجديد.
الشذوذ القائم
إن نظام IDS القائم على الشذوذ سيرصد حركة مرور الشبكة ويقارنها مقابل خط الأساس المحدد. سيحدد الخط الأساسي ما هو "طبيعي" لهذه الشبكة - ما هو نوع عرض النطاق الترددي المستخدم بشكل عام ، وما هي البروتوكولات المستخدمة ، وما هي الموانئ والأجهزة التي تتصل بشكل عام ببعضها - وينبه المسؤول أو المستخدم عند اكتشاف حركة المرور غير العادية ، أو تختلف اختلافاً كبيراً عن خط الأساس.
معرفات سلبية
يكشف IDS السلبي ببساطة والتنبيهات. عندما يتم اكتشاف حركة مرور مشبوهة أو ضارة يتم إنشاء تنبيه وإرسالها إلى المسؤول أو المستخدم ويعود الأمر إليهم لاتخاذ إجراءات لمنع النشاط أو الاستجابة بطريقة ما.
معرفات تفاعلية
لن تكشف IDS التفاعلية عن حركة المرور المشبوهة أو الخبيثة فقط وتنبه المسؤول ولكنها ستتخذ إجراءات استباقية محددة مسبقًا للرد على التهديد. عادةً ما يعني هذا حظر أي حركة مرور أخرى على الشبكة من عنوان IP المصدر أو المستخدم.
واحدة من أنظمة كشف التسلل الأكثر شهرة والمستخدمة على نطاق واسع هي المصدر المفتوح ، وهو Snort المتاح بحرية. وهو متوفر لعدد من الأنظمة الأساسية وأنظمة التشغيل بما في ذلك Linux و Windows . يتبع Snort عددًا كبيرًا من المتابعين المخلصين ، وهناك العديد من الموارد المتاحة على الإنترنت حيث يمكنك الحصول على توقيعات للتطبيق للكشف عن أحدث التهديدات. لتطبيقات كشف التطفل المجانية الأخرى ، يمكنك زيارة برنامج Free Intrusion Detection .
هناك خط رفيع بين جدار الحماية و IDS. هناك أيضا تقنية تسمى IPS - Intrusion Prevention System . IPS هو في الأساس جدار حماية يجمع بين مستوى الشبكة والتصفية على مستوى التطبيقات مع IDS التفاعلي لحماية الشبكة بشكل استباقي. يبدو أنه مع مرور الوقت على جدران الحماية ، تأخذ IDS و IPS المزيد من الخصائص من بعضهما البعض ويطمسان الخط أكثر.
أساسا ، جدار الحماية الخاص بك هو السطر الأول من الدفاع عن محيطك. توصي أفضل الممارسات بتكوين جدار الحماية بشكل صريح حتى يتم رفض كل حركة المرور الواردة ثم فتح ثغرات عند الضرورة. قد تحتاج إلى فتح منفذ 80 لاستضافة مواقع الويب أو المنفذ 21 لاستضافة خادم ملفات FTP . قد يكون كل من هذه الثقوب ضروريًا من وجهة نظر واحدة ، ولكنها تمثل أيضًا نواقل محتملة لحركة المرور الضارة لدخول شبكتك بدلاً من حظرها بواسطة الجدار الناري.
هذا هو المكان الذي ستدخل فيه IDS. سواء كنت تنفذ NIDS عبر الشبكة بالكامل أو HIDS على جهازك المحدد ، ستراقب IDS حركة المرور الواردة والصادرة وتحدد حركة المرور المشبوهة أو الخبيثة التي ربما تجاوزت جدار الحماية الخاص بك أو يمكن أن تنشأ من داخل شبكتك أيضًا.
يمكن أن تكون أداة IDS أداة رائعة لمراقبة وحماية الشبكة بشكل استباقي من أي نشاط ضار ، ومع ذلك فهي عرضة أيضًا للإنذارات الكاذبة. مع أي حل IDS تقوم بتطبيقه ، ستحتاج إلى "ضبطه" بمجرد تثبيته لأول مرة. تحتاج إلى تكوين IDS بشكل صحيح للتعرف على حركة المرور العادية على شبكتك مقابل ما قد يكون حركة مرور ضارة وأنت ، أو المسؤولون عن الاستجابة لتنبيهات IDS ، بحاجة إلى فهم ما تعنيه التنبيهات وكيفية الاستجابة بشكل فعال.