Интернет 

Система Обнаружения Сетевых Атак (IDS)

Анастасия Макарова

Итак – что происходит, когда бывает атака на компьютерную сеть? Возможно, вы видели фильм или телепрограмму где администраторы торопятся к своим клавиатурам и неистово начинают печатать, мигают лампочки, звучит сирена – это очень волнующе – но происходит ли что-то подобное в реальной жизни?

Как вы можете подозревать, ответ – нет, на самом деле нет. Компьютерные сети регулярно подвергаются атакам, но отклик редко бывает волнующим, хотя создатели фильма хотят, чтобы вы в это верили.

IDS может быть выделенным устройством или программой и обычно делятся на два типа, в зависимости от их функций:

  • Система Определения Сетевых Атак (Network Intrusion Detection System) (NIDS) ответственна за мониторинг данных проходящих через сеть
  • Хостовая Система Обнаружения Атак (Host Intrusion Detection System) (HIDS) ответственна за мониторинг данных поступающих на компьютер и отправляющихся с него.

IDS может поддерживать сетевой брандмауэр. В идеале брандмауэр должен быть закрыт для всего трафика, кроме известного и необходимого для организации (такого как веб-трафик, электронная почта и FTP). Кроме этого, IDS может использоваться для сканирования любого трафика, проходящего брандмауэр на предмет потенциальных атак с использованием NIDS, а также, используя HIDS, может обнаружить атаки, которые исходят изнутри сети – например с персонального компьютера, инфицированного вредоносной программой.

Определение сетевых атак может считаться пассивным – оно определяет, что атака происходит и информирует администратора, который должен принять соответствующие меры. Однако, они также могут быть активными – кроме информирования администратора, IDS может активно пытаться остановить атаку, в большинстве случаев блокировать какие-либо пакеты данных отправленных с IP адреса источника. Эти системы также называют Предотвращением Атак или Системой Защиты (IPS).

IDS 1

Уязвимости

Автоматические системы обнаружения атак имеют некоторые недостатки. Они могут быть слишком чувствительными, подавать ложные отчеты о надвигающейся атаке, например, если сеть неправильно настроена, или программа, имеющая ошибки, начинает использовать большое число пакетов.

С другой стороны, иногда они недостаточно чувствительны чтобы различить типы атак, которые происходят очень медленно и не используют достаточно трафика данных, чтобы поднять тревогу. Наконец, IDS подписей полагается на поставщиков программного обеспечения создающих регулярные обновления в списке известных подписей, и до тех пор, пока IDS получает обновления, она практически слепа к атакам.

  •  По материалам The Open University.
  • Перевод thingshistory.com. Использовать только с разрешения!

Читать далее