214
Antivirus fayllarni, spam-filtr xabarlarni, xavfsizlik devori IP-ulanishlarni tahlil qiladi. IDS /
IPS ma'lumotlar va tarmoq xatti-harakatlarini tahlil qiladi.
IDS arxitekturasi va texnologiyasi
IDS printsipi transport tahlili asosida tahdidlarni aniqlashdan iborat, ammo keyingi harakatlar
administratorda qoladi. IDS tizimlari o'rnatish joyiga va ishlash printsipiga ko'ra turlarga bo'linadi.
Sayt identifikatorlari turlari
Ushbu sohada eng keng tarqalgan ikki turdagi IDS:
Sayt identifikatorlari turlari
Ushbu sohada eng keng tarqalgan ikki turdagi IDS:
Tarmoqqa kirishni aniqlash tizimi (NIDS),
Xostga asoslangan kirishni aniqlash tizimi (HIDS).
Birinchisi tarmoq
darajasida ishlaydi, ikkinchisi esa faqat bitta xost darajasida ishlaydi.
Tarmoq hujumlarini aniqlash tizimlari (NIDS)
NIDS texnologiyasi tizimni strategik muhim tarmoq joylarida o'rnatish va barcha tarmoq
qurilmalarining kirish/chiqish trafigini tahlil qilish imkonini beradi. NIDS, kanal darajasidan
ilovalar darajasiga qadar har bir paketga "qarash" orqali chuqur darajadagi trafikni tahlil qiladi.
NIDS xavfsizlik devori yoki xavfsizlik devori farq qiladi. Xavfsizlik devori faqat tarmoqdan
tashqarida keladigan hujumlarni aniqlaydi, NIDS esa ichki tahdidni aniqlay oladi.
Tarmoq hujumlarini aniqlash tizimlari butun tarmoqni nazorat qiladi, bu esa qo'shimcha
echimlarga pul sarflamaslikka imkon beradi. Biroq, kamchiliklar mavjud: NIDS ko'plab resurslarni
iste'mol qilib, barcha tarmoq trafigini kuzatib boradi. Trafik miqdori qanchalik ko'p bo'lsa, CPU va
RAM resurslariga bo'lgan ehtiyoj qanchalik baland. Bu ma'lumotlar
almashinuvining sezilarli
kechikishiga va tarmoq tezligini pasayishiga olib keladi. Katta miqdordagi ma'lumot, shuningdek,
tizimni ba'zi paketlarni o'tkazib yuborishga majbur qilib, NIDSNI "bezovta qilishi" mumkin, bu esa
tarmoqni zaiflashtiradi.
Host intrusion Detection tizimi (HIDS)
Tarmoq tizimlariga muqobil-host. Bunday tizimlar tarmoq ichida bitta uy egasiga o'rnatiladi
va faqat uni himoya qiladi. HIDS shuningdek, barcha kiruvchi va chiquvchi paketlarni tahlil qiladi,
lekin faqat bitta qurilma uchun. HIDS tizimi fayl snapshotlarini yaratish tamoyiliga asoslangan:
joriy versiyaning rasmini oladi va uni avvalgi bilan taqqoslaydi, shu bilan mumkin bo'lgan
tahdidlarni
aniqlaydi.
HIDS
tarmoqdagi
muhim
mashinalarga
kamdan-kam
hollarda
konfiguratsiyani o'zgartiradigan yaxshiroqdir.
Snort - bu bepul, ochiq manbali, tarmoqqa asoslangan kirib borishni oldini olish tizimi (IPS)
va kirishni aniqlash tizimi (IDS), bu IP-tarmoqlarda paketlarni ro'yxatdan o'tkazish va real vaqtda
trafik tahlilini amalga oshirishi mumkin.
Tizimga kirish, tahlil qilish, tarkibni qidirishni amalga oshiradi
va bir qator hujumlarni va
zondlarni faol ravishda blokirovka qilish yoki passiv ravishda aniqlash uchun keng foydalaniladi,
masalan, buferdan oshib ketishga urinishlar, yashirin portni skanerlash, veb-ilovalar hujumlari,
SMB problari va OSni aniqlash tizimlari. Dastur asosan tajovuzni
oldini olish uchun ishlatiladi,
agar ular paydo bo'lsa hujumlarni bloklaydi.
Snort oddiy, ammo moslashuvchan va kuchli tilda yozilgan qoidalardan foydalanadi. Yodda
saqlash oson bo'lgan bir qator umumiy yozuv tamoyillari mavjud.
Snort qoidalari ikki qismdan iborat: qoida sarlavhasi va qoida parametrlari. Sarlavhada
harakatning tavsifi, aloqa protokoli, IP-manzillar, tarmoq maskalari va manba va manzil portlari
mavjud. Qoida parametrlari ogohlantiruvchi
xabarni saqlaydi, shuningdek, agar qoida ishga
tushirilsa, aniqlangan paketning qaysi qismi qayta ishlanishi kerakligi haqida ma'lumot.
Avvalo, snort.org rasmiy saytiga o'tiladi. Dastur to'liq bepul bo'lgani uchun, litsenziya talab
qilinmaydi.
Get Started tugmasi bosiladi