IDS - apa itu Intrusion Detection System (IDS) bagaimana cara kerjanya?

IDS - apa itu Bagaimana sistem ini bekerja? Sistem deteksi intrusi adalah perangkat lunak atau perangkat keras untuk mendeteksi serangan dan tindakan jahat. Mereka membantu jaringan dan sistem komputer untuk memberi mereka penolakan yang tepat. Untuk mencapai tujuan ini, IDS mengumpulkan informasi dari beberapa sumber sistem atau jaringan. Kemudian sistem IDS menganalisanya karena adanya serangan. Artikel ini akan mencoba menjawab pertanyaan: "IDS - apa dan untuk apa?"

Mengapa Intrusion Detection Systems (IDS)

Sistem informasi dan jaringan terus terpapar serangan cyber. Firewall dan antivirus untuk mengusir semua serangan ini jelas tidak cukup, karena mereka hanya mampu melindungi "pintu depan" sistem komputer dan jaringan. Remaja yang berbeda, membayangkan diri mereka hacker, terus menjelajahi Internet untuk mencari celah dalam sistem keamanan.

Berkat World Wide Web, mereka memiliki banyak perangkat lunak berbahaya gratis - semua jenis spammer, penutup mata dan program berbahaya serupa. Layanan perampok profesional digunakan oleh perusahaan pesaing untuk menetralisir satu sama lain. Jadi sistem yang mendeteksi sistem deteksi intrusi merupakan kebutuhan mutlak. Tidak mengherankan, mereka menjadi lebih banyak digunakan dari hari ke hari.

Elemen IDS

Elemen IDS meliputi:

• Sebuah subsistem detektor, yang tujuannya adalah akumulasi kejadian jaringan atau sistem komputer;
• Sebuah subsistem analisis yang mendeteksi serangan cyber dan aktivitas yang meragukan;
• Penyimpanan untuk akumulasi informasi tentang kejadian, serta hasil analisis cyber-attack dan tindakan yang tidak sah;
• Konsol manajemen yang dengannya Anda dapat mengatur parameter IDS, memantau status jaringan (atau sistem komputer), memiliki akses ke informasi tentang terdeteksi oleh analisis serangan dan tindakan ilegal.

Omong-omong, banyak yang bertanya: "Bagaimana IDS diterjemahkan?" Terjemahan dari bahasa Inggris terdengar seperti "sebuah sistem yang menangkap tamu tak diundang yang panas."

Tugas utama yang dipecahkan oleh sistem deteksi intrusi

Sistem deteksi intrusi memiliki dua tugas utama: analisis sumber informasi dan respon yang memadai berdasarkan hasil analisis ini. Untuk melakukan tugas ini, sistem IDS melakukan tindakan berikut:

• Memantau dan menganalisa aktivitas pengguna;
• Ini mengaudit konfigurasi sistem dan kelemahannya;
• Memeriksa integritas file sistem yang paling penting, serta file data;
• Melakukan analisis statistik terhadap keadaan sistem, berdasarkan perbandingan dengan yang terjadi selama serangan yang sudah diketahui;
• Mengaudit sistem operasi.

Apa yang bisa dilakukan oleh sistem deteksi intrusi dan apa yang berada di luar kekuatannya

Dengan bantuannya, Anda dapat mencapai hal berikut:

• Meningkatkan integritas infrastruktur jaringan;
• Lacak aktivitas pengguna sejak saat masuk ke sistem dan sampai saat melukainya atau produksi tindakan tidak sah;
• Identifikasi dan beri tahu tentang mengubah atau menghapus data;
• Mengotomatiskan tugas pemantauan Internet untuk mencari serangan terbaru;
• Identifikasi kesalahan dalam konfigurasi sistem;
• Deteksi awal serangan dan beri tahu tentang hal itu.

Sistem IDS tidak bisa melakukan ini:

• Mengisi kekurangan dalam protokol jaringan;
• Mainkan peran kompensasi jika terjadi mekanisme identifikasi dan otentikasi yang lemah di jaringan atau sistem komputer yang dipantau;
• Perlu juga dicatat bahwa IDS tidak selalu mengatasi masalah yang terkait dengan serangan tingkat paket.

IPS (sistem pencegahan intrusi) - lanjutkan IDS

IPS singkatan dari "mencegah intrusi ke dalam sistem." Ini adalah varietas IDS yang diperluas dan lebih fungsional. Sistem IPS IDS bersifat reaktif (berlawanan dengan konvensional). Ini berarti bahwa mereka tidak hanya bisa mendeteksi, mencatat dan memberitahukan adanya serangan, tapi juga melakukan fungsi pelindung. Fungsi ini termasuk mengatur ulang koneksi dan memblokir paket lalu lintas yang masuk. Fitur lain yang membedakan dari IPS adalah mereka bekerja secara online dan dapat secara otomatis memblokir serangan.

Subspesies IDS dengan cara pemantauan

NIDS (yaitu IDS yang memantau keseluruhan jaringan) menganalisis lalu lintas seluruh subnet dan dikelola secara terpusat. Lokasi yang benar dari beberapa NIDS dapat dicapai dengan memantau ukuran jaringan yang cukup besar.

Mereka bekerja dalam mode yang tidak terbaca (yaitu, mereka memeriksa semua paket yang masuk, dan tidak melakukannya secara selektif), membandingkan lalu lintas subnet dengan serangan yang diketahui dari perpustakaan mereka. Saat serangan diidentifikasi atau aktivitas tidak sah terdeteksi, alarm akan dikirim ke administrator. Namun, harus disebutkan bahwa dalam jaringan besar dengan lalu lintas yang besar, NIDS terkadang gagal memeriksa semua paket informasi. Oleh karena itu, ada kemungkinan bahwa selama "jam sibuk" mereka tidak akan bisa mengenali serangan tersebut.

NIDS (IDS berbasis jaringan) adalah sistem yang mudah digabungkan ke topologi jaringan baru, karena tidak memiliki efek khusus pada fungsinya, bersifat pasif. Mereka hanya merekam, merekam dan memberi tahu, berbeda dengan tipe reaktif dari sistem IPS yang dibahas di atas. Namun, juga harus dikatakan tentang IDS berbasis jaringan bahwa ini adalah sistem yang tidak dapat menganalisis informasi yang telah dienkripsi. Ini adalah kelemahan yang signifikan, karena karena pengenalan jaringan pribadi virtual (VPN) yang terus meningkat, informasi terenkripsi semakin banyak digunakan oleh penjahat dunia maya untuk melakukan serangan.

Juga, NIDS tidak dapat menentukan apa yang terjadi sebagai akibat dari serangan tersebut, apakah itu dirugikan atau tidak. Semua yang ada dalam kekuasaan mereka adalah memperbaiki permulaannya. Oleh karena itu, administrator dipaksa untuk secara independen memeriksa kembali setiap kasus serangan untuk memastikan penyerang telah mencapai tujuan mereka. Masalah penting lainnya adalah NIDS hampir tidak bisa mendeteksi serangan dengan menggunakan paket terfragmentasi. Mereka sangat berbahaya, karena bisa mengganggu operasi normal NIDS. Apa ini bisa berarti untuk keseluruhan jaringan atau sistem komputer, Anda tidak perlu menjelaskannya.

HIDS (sistem deteksi intrusi inang)

HIDS (IDS, pemantauan host) hanya melayani komputer tertentu. Ini, tentu saja, memberikan efisiensi jauh lebih tinggi. HIDS menganalisis dua jenis informasi: log sistem dan hasil audit dari sistem operasi. Mereka mengambil snapshot dari file sistem dan membandingkannya dengan snapshot sebelumnya. Jika file penting untuk sistem telah diubah atau dihapus, alarm akan dikirim ke administrator.

Keuntungan penting dari HIDS adalah kemampuan untuk melakukan pekerjaannya dalam situasi di mana lalu lintas jaringan dapat dienkripsi. Hal ini dimungkinkan karena sumber informasi berbasis host dapat dibuat sebelum data dienkripsi, atau setelah didekripsi di host tujuan.

Kelemahan dari sistem ini mencakup kemungkinan pemblokiran atau bahkan larangan terhadap jenis serangan DoS tertentu. Masalahnya di sini adalah bahwa sensor dan beberapa alat analisis HIDS ada di host yang diserang, yaitu mereka juga diserang. Fakta bahwa HIDS menggunakan sumber daya host yang pekerjaannya mereka pantau juga sulit untuk disebut nilai tambah, karena ini secara alami mengurangi kinerjanya.

IDE IDS untuk metode mendeteksi serangan

Metode anomali, metode analisis tanda tangan dan metode kebijakan - subtipe semacam itu dengan metode mendeteksi serangan memiliki sistem IDS.

Metode analisis tanda tangan

Dalam kasus ini, paket data diperiksa untuk tanda tangan serangan. Tanda tangan serangan tersebut adalah korespondensi kejadian tersebut dengan salah satu contoh yang menggambarkan serangan yang diketahui. Cara ini cukup efektif, karena bila Anda menggunakannya, pesan tentang serangan palsu cukup langka.

Metode anomali

Dengan bantuannya, tindakan ilegal terdeteksi pada jaringan dan host. Berdasarkan sejarah pengoperasian normal host dan jaringan, profil khusus dibuat dengan data tentang hal itu. Kemudian detektor khusus ikut bermain yang menganalisa kejadian. Dengan menggunakan berbagai algoritma, mereka menganalisis kejadian ini, membandingkannya dengan "norma" dalam profil. Tidak adanya kebutuhan untuk mengumpulkan sejumlah besar tanda tangan serangan adalah metode yang pasti untuk metode ini. Namun, sejumlah besar sinyal palsu tentang serangan dengan kejadian atipikal namun cukup sah dalam jaringan - ini adalah hal yang tidak diragukan lagi negatifnya.

Metode Kebijakan

Metode lain untuk mendeteksi serangan adalah metode kebijakan. Inti dari itu - dalam pembuatan aturan keamanan jaringan, di mana, misalnya, prinsip jaringan antara satu sama lain dan protokol yang digunakan dapat ditentukan. Cara ini cukup menjanjikan, namun kesulitannya terletak pada proses pembuatan polis yang agak rumit.

ID Systems akan memberikan perlindungan yang andal untuk jaringan dan sistem komputer Anda

ID Systems Group of companies merupakan salah satu pemimpin pasar di bidang pembuatan sistem keamanan untuk jaringan komputer. Ini akan memberi Anda perlindungan yang andal terhadap penjahat dunia maya. Dengan sistem perlindungan Sistem ID, Anda tidak perlu khawatir dengan data penting untuk Anda. Berkat ini Anda akan bisa menikmati hidup lebih banyak, karena Anda akan memiliki sedikit kecemasan dalam jiwa Anda.

ID Systems - umpan balik karyawan

Tim yang bagus, dan yang terpenting, tentu saja, adalah sikap manajemen perusahaan terhadap karyawannya. Semua (bahkan pendatang baru yang masih muda) memiliki kesempatan untuk pertumbuhan profesional. Benar, untuk ini, tentu saja, Anda perlu membuktikan diri, dan kemudian semuanya akan berubah.

Tim memiliki suasana yang sehat. Pemula akan selalu diajarkan semuanya dan semua akan ditampilkan. Tidak ada persaingan yang tidak sehat yang tidak dirasakan. Karyawan yang bekerja di perusahaan selama bertahun-tahun, dengan senang hati berbagi semua kehalusan teknis. Mereka baik hati, bahkan tanpa bayangan merendahkan menjawab pertanyaan paling bodoh tentang pekerja yang tidak berpengalaman. Secara umum, dari bekerja di ID Systems beberapa emosi yang menyenangkan.

Sikap manajemen sangat menyenangkan. Juga berkenan bahwa di sini, jelas, mereka bisa bekerja dengan kader, karena tim ini sangat profesional. Pendapat para karyawan hampir tidak ambigu: mereka merasa betah di rumah.