Sistem deteksi intrusi (IDS) ngontrol lalu lintas lan monitor jaringan kanggo aktivitas sing curiga lan menehi tandha ing sistem utawa administrator jaringan. Ing sawetara kasus, IDS uga nanggepi lalu lintas anomali utawa kanthi nglakokake kanthi nglakoke tindakan kayata mblokake pangguna utawa alamat IP sumber saka ngakses jaringan.
IDS teka ing macem-macem "rasa" lan nyedhaki tujuan ndeteksi lalu lintas sing curiga kanthi cara sing beda-beda. Ana sistem deteksi intrusi adhedhasar jaringan (NIDS) lan inang (HIDS). Ana ID sing ndeteksi adhedhasar nggoleki tandha-tandha khusus saka ancaman sing dikenal - kaya cara piranti lunak antivirus biasane ndeteksi lan nglindhungi malware- lan ana ID sing ndeteksi adhedhasar mbandhingake pola lalu lintas marang baseline lan looking for anomali. Ana ID sing mung ngawasi lan waspada lan ana ID sing tumindak utawa tumindak nanggepi ancaman sing dideteksi. Kita bakal nutupi saben kasebut sedhela.
NIDS
Jaringan Intrusion Detection Systems disusun ing titik strategis utawa titik ing jaringan kanggo ngawasi lalu lintas menyang lan saka kabeh perangkat ing jaringan. Saenipun, sampeyan bakal mindhai kabeh lalu lintas inbound lan njaba, nanging nglakoni supaya bisa nggawe hambatan sing bakal ngganggu kecepatan sakabèhé jaringan.
HIDS
Tuan rumah Intrusion Detection Systems dikelola ing saben host utawa piranti ing jaringan. HIDS memantau paket inbound lan outbound saka piranti kasebut lan bakal menehi tandha panganggo utawa pangurus aktivitas sing mencurigakan sing dideteksi
Based Signature
IDS basis dhasar bakal ngawasi paket kasebut ing jaringan kasebut lan mbandhingake sawijining basis data tandha utawa atribut saka ancaman ala sing dikenal. Iki meh padha karo cara piranti lunak antivirus paling ndeteksi malware. Jebule iku bakal ana lag antarane ancaman anyar sing ditemokake ing alam liar lan teken kanggo ndeteksi ancaman sing ditrapake marang IDS. Sak wektu sing sithik, IDS ora bisa ndeteksi ancaman anyar.
Anomali Adhedhasar
IDS sing adhedhasar anomali bakal ngawasi lalu lintas jaringan lan mbandhingake karo baseline sing diadegaké. Baseline bakal ngenali apa sing "normal" kanggo jaringan kasebut - apa jenis bandwidth sing umum digunakake, apa protokol sing digunakake, apa port lan piranti umume nyambungake siji-liyane - lan menehi tandha administrator utawa pangguna nalika lalu lintas dideteksi sing anomali, utawa beda banget tinimbang baseline.
IDS pasif
IDS pasif mung ndeteksi lan tandha. Nalika lalu lintas sing mencurigakan utawa nglakoni angkoro dideteksi tandha diwatesake lan dikirim menyang administrator utawa pangguna lan entuk wong-wong mau kanggo njupuk tindakan kanggo mblokir kegiatan utawa nanggapi kanthi cara sawetara.
IDAS reaktif
IDS reaktif ora mung ndeteksi lalu lintas sing curiga utawa ala lan menehi tandha administrator nanging bakal njupuk tindakan proaktif sing ditetepake kanggo nanggepi ancaman. Biasane, iki tegese ngalangi lalu lintas jaringan luwih saka alamat IP utawa panganggo.
Salah sawijining sistem deteksi intrusi sing paling misuwur lan dikenal minangka sumber terbuka, Snort bebas kasedhiya. Iku kasedhiya kanggo sawetara platform lan sistem operasi kalebu loro Linux lan Windows . Snort nduweni tanggung jawab gedhe lan manut lan ana akeh sumber daya sing kasedhiya ing Internet, ing ngendi sampeyan bisa ndarbeni tetenger kanggo ngleksanakake kanggo ndeteksi ancaman paling anyar. Kanggo aplikasi deteksi gangguan freeware liyane, sampeyan bisa visit Software Intrusion Detection Free .
Ana garis sing apik antara firewall lan IDS. Ana uga teknologi sing disebut IPS - Intrusion Prevention System . Ing IPS tegese sawijining firewall sing nggabungake tingkat jaringan lan penapisan tingkat aplikasi kanthi IDS reaktif kanggo proaktif nglindhungi jaringan kasebut. Iku misale jek yen wektu terus ing firewalls, IDS lan IPS njupuk liyane atribut saka saben liyane lan kurang jelas garis malah liyane.
Intine, firewall sampeyan baris pertahanan perimeter sing pisanan. Prabeya sing paling apik nyaranake yen firewall sampeyan wis diatur kanthi jelas kanggo DENY kabeh lalu lintas sing mlebu banjur sampeyan mbukak bolongan yen perlu. Sampeyan bisa uga kudu mbukak port 80 kanggo nyinkronake situs web utawa port 21 kanggo mlebu server file FTP . Saben bolongan iki perlu saka sudut pandang, nanging uga makili vektor bisa kanggo lalu lintas angkoro kanggo ngetik jaringan tinimbang diblokir dening firewall.
Ing ngendi IDS bakal teka. Apa sampeyan ngleksanakake NIDS ing kabeh jaringan utawa HIDS ing piranti tartamtu, IDS bakal ngawasi lalu lintas inbound lan njaba lan ngidhentifikasi lalu lintas sing curiga utawa mbebayani sing sawayah-wayah ngliwati firewall utawa bisa uga bakal metu saka njero jaringan sampeyan uga.
IDS bisa dadi alat sing apik kanggo ngawasi lan njaga jaringan kanthi proaktif sacara aktif, nanging uga ana ing weker palsu. Kanthi babagan apa wae solusi IDS sampeyan ngleksanakake sampeyan kudu "nyetel" kasebut sawise pisanan diinstal. Sampeyan mbutuhake IDS supaya dikonfigurasi kanthi bener kanggo ngenali apa lalu lintas normal ing jaringan vs. apa sing bisa dadi lalu lintas angkoro lan sampeyan, utawa pangurus sing tanggung jawab kanggo nanggepi tandha IDS, kudu ngerti apa makna tegese lan cara efektif nanggapi.