Эффективность IDS

минута на чтение

Эффективность IDSЭффективность IDS прежде всего зависит от местоположения ее Сенсоров (датчиков). Обычно они размещаются за экраном в DMZ или на особо чувствительных к атаке сегментах защищенной сети (см. рис. 5.5). Датчик, расположенный за экраном, контролирует этот экран, улавливая «тревожные» пакеты, которые не были отфильтрованы запрещающими правилами. Кроме того, появляется возможность слежения за трафиком DMZ-сегмента, что немаловажно при выявлении злоумышленников, пользующихся компьютерами компании. Разработчики некоторых сайтов устанавливают дополнительные сенсоры на внешнем интерфейсе экрана. Это позволяет наблюдать за всем Internet — трафиком, улавливая неудачные попытки вторжения, которые блокируются экраном. Кроме того, информация с «внешних» датчиков помогает представить довольно полную картину опасностей, что немаловажно при определении уровня потенциальной угрозы. Если вы решили воспользоваться такими средствами мониторинга, учтите, что «внешние» IDS должны быть пассивными и не должны блокировать трафик или управлять правилами экранирования. IDS, работающие с внешним интерфейсом экрана, генерируют такое количество событий, что активно реагировать на них не представляется возможным. Однако, как показывает практика, «внешние» сенсоры очень информативны и могут использоваться для сбора статистических данных.

Итак, несмотря на некоторые сложности, грамотно размещенные, надлежащим образом настроенные и управляемые сетевые IDS остаются незаменимым инструментом администратора сети.

Локальные системы IDS предназначены для слежения за событиями операционной системы. При возникновении того или иного события IDS сравнивает параметры этого события с шаблонами из своей базы данных и, если соответствие найдено, предпринимает действия, установленные администратором.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Хотя некоторые IDS способны автоматически контролировать изменения среды, эффективность этих систем не сравнима с элементарной аккуратностью людей, вручную вносящих изменения. В конечном итоге протоколирование изменений очень похоже на пошаговое резервное копи...
Сетевые IDS предназначены для слежения за трафиком и выявления «подозрительных» фрагментов. Фрагмент определяется как «подозрительный» или «тревожный», если удовлетворяет параметрам встроенного или предопределенного пользователем шаблона. Таким образом, IDS пр...
Хорошо настроенная IDS позволит системному администратору вовремя обнаружить активность зомби или мастер-компьютеров. Старайтесь использовать как локальные, так и сетевые IDS. Сканер уязвимостей. Кроме упомянутой IDS, крайне важно задействовать систему автомат...