👋 Привет, сетевой друг!
Продолжая тему IPS/IDS, поговорим подробнее про IDS.
⏺ IDS — это система
обнаружения атак, предназначенная для сканирования сетевого трафика, регистрации подозрительной активности в сети и оповещения при срабатывании определенных правил. Обычно
IDS просматривает трафик и журналы, ищет в данных признаки вредоносной активности и в случае атаки уведомляет специалиста по безопасности через управляющую консоль, SMS-сообщение или электронную почту.
⏺ IDS умеют регистрировать разнообразные виды атак (
DDoS; атаки через Bot C&C и P2P, внедрение SQL инъекций, атаки на сервисы IMAP, POP3, VoIP, SMTP и т.п.) выявлять попытки повышения привилегий и несанкционированного доступа, обнаруживать активность вредоносного софта (
черви, трояны, малвари и эксплойты), отслеживать сканирование портов и их открытие.
⏺ Важно помнить, что
IDS — это не средство непосредственного контроля, а
инструмент улучшения видимости сети.
IDS помогает специалистам по безопасности понять, насколько все хорошо с
защищенностью. В этом плане эта технология похожа на анализатор протоколов (
например, Wireshark), только в данном контексте речь идет об анализе и оценке безопасности.
⏺ По виду анализируемого трафика IDS делят на:
⬜️ Основанные на протоколе (
PIDS)
⬜️ Основанные на прикладных протоколах (
APIDS)
Первая разновидность мониторит коммуникационные протоколы со связанными пользователями или системами. Второй вид анализирует узкий список прикладных протоколов, специфичных для приложений.
⏺ От места расположения в сети IDS разделяют на:
⬜️ Хостовые (
HIDS)
⬜️ Сетевые (
NIDS)
HIDS производит мониторинг в пределах единственного хоста, а NIDS - в пределах сетевого сегмента, где она установлена.
Network Academy |
#IPS #IDS
