IDS

IDS – Intrusion Detection System

Här kommer ni att kunna läsa mer om IDS – Intrusion Detection Systems. Vad det finns för gratisvarianter, terminologi kring IDS och även vart man kan få hjälp
Vi börjar lite med det svenska ordet för IDS. Om vi försöker översätta IDS /Intrusion Detection System till svenska så kommer vi nog att få någonting snarlikt Intrångsdetektionssystem.Och hur övervakar denna typ av applikation ett nät, jo en IDS är ett verktyg som kan tex titta på nätverkstrafik. Därefter kan en IDS kolla i olika protokoll och oftast se om denna typ av innehåll får lov att vara i paketet. Om den inte får den så lämnar oftast en IDS ett alarm och då får man hoppas att det är ett True Positive alarm man har fått. True Positive är i princip när IDSen alarmerat och att det faktiskt är en attack som skett och att IDS’en har alarmerat ang denna attack.

Terminologi

IDS – Intrusion Detection System. På svenska så Intrångsdetektionssystem.
Alarm/Alert – Det är alarmet som IDSen skapar. Det behöver inte vara ett riktigt intrång som har hänt men IDSen har åtminstone upptäckt någonting som den tror är en attack och alarmerar.
När man pratar om alarm som en IDS har skapat så delar man oftast upp alarmen i följande typer.
True Positive – Detta är ett alarm som kommit in där IDSen verkligen rapporterade om ett riktigt alarm.Detta skiljer sig mot False Positive som är när IDS’en rapporterat om ett alarm fast det inte varit ett sådant.
False Negative – När IDSen inte ser att den bör alarmera.
True Negative – När inget alarm har kommit eftersom det inte kommit någon attack.

Olika typer av IDS tjänster

Finns olika typer av IDS tjänster som egentligen tittar på olika nivåer. Om det är nätverket man är sugen på att övervaka så är det en NIDS man ska ha installerat. NIDS står för Network Intrusion Detection System och bevakar såsom ni säkert förstår på nätverksnivån. Den tittar i nätverkstrafik som kommer till IDS enheten antingen genom att all trafik från en hub eller spegling av port på switchnivå som speglar all trafik in till den porten som IDSen sitter på.
En av de större och mest kända Nätverks IDSerna som även är gratis är SNORT. Själva SNORT sensorerna är gratis och det går även att använda IDS regler helt gratis om man registrerar sig som användare. Men är man inte villig att betala en slant så får man använda sig av de reglerna som är över 30 dagar gamla.
Vill man ha support för Snort så är det även möjligt. FInns många valmöjligheter.

HIDS – Hostbaserad IDS

På samma sätt som en NIDS övervakar nätet och tittar efter attacker där så finns det hostbaserade IDS’er som kollar av den hosten som har detta program installerat.
Jag skulle vilja även klassificera en Honeypot som detta, där man lockar personer att komma in för att sedan övervaka dom. Detta sker även på hostnivå.
HIDS är inte lika vanligt att se i vanliga nät såsom vanliga nätverksbaserade IDS-systemm.

Tråkigaste med IDSer och även andra verktyg är att dom måste övervakas för att man ska få ut någonting vettigt.
Men som tur väl är att efter man kört dessa ett tag och börjat inse värdet så kanske man väljer att outsourca IDS driften till en IDS MSS leverantör. MSS står för i detta fall Managed Security Services där sådana företag kan tex vara behjälpliga med managerade driftandet av brandväggar, IDS, IPS, säkerhetsscanning osv. Finns flertalet sådana leverantörer i Sverige och vi kommer att försöka skriva lite mer om olika sådana leverantörer här på sidan.

Leave a Reply


Nätverksövervakning
  • Här hittar ni en sida där ni kan läsa om det mesta som är relevant inom nätverksövervakning
Länkar



Copyright © 2009 Nätverksövervakning.se. All Rights Reserved.

Powered by WordPress and WordPress Theme created with Artisteer.