Komponentene i en Intrusion Detection System

October 21

Komponentene i en Intrusion Detection System


Intrusion Detection systemer er i kjernen av datamaskinen og nettverkssikkerhet virksomhet. Til uinnvidde, de bærer en tilfeldig likhet med brannmurer, men det er en viktig forskjell: Mens brannmurer søke å forbedre sikkerheten ved å begrense nettverkstilgang mellom separate nettverk, har som mål en IDS å finne inntrenging og skadelig aktivitet innenfor system.There er to store klasser av disse systemene: nettverksbasert (NIDS) og vertsbasert (HIDS). Som navnene antyder, Nids metodene innebærer skanning nettverkstrafikk, mens HIDs metodene innebærer å skanne maskinene er koblet til nettverket selv.

Sensor / Agent

Dette er den komponenten som aktivt overvåker trafikk og aktivitet. Begrepet sensor betyr vanligvis nettverksbasert overvåking, mens agenten er oftere brukt i beskrivelsen av vertsbaserte systemer.

Management Server

Ledelsen serveren er enheten, enten fysisk eller programvarebasert, at sensoren eller agent rapporterer sine funn til. Noen forvaltnings servere er konfigurert for å gi en mer høyt nivå av aktivitet analyse enn sensorene seg selv ved hjelp av data samlet av sensorene til å snuse opp trafikk som kanskje ikke har blitt plukket opp som mistenkt. Videre fortsatt er det noen mindre IDS-distribusjoner ikke bruke en administrasjonsserver i det hele tatt, selv om dette er sjelden. Større IDS distribusjoner bruker ofte flere administrasjonsservere for en høy grad av oversikt.

database Server

En databaseserver er den generelle hvelv for all informasjon som er registrert av sensorer og administrasjonsservere. Dette er i utgangspunktet arkiv av systemet der hendelseslogger rapportert og / eller håndteres av sensorer, agenter eller serveradministrasjons er lagret.

Console

Dette er sluttbrukeren tilknytning til systemet, der IT og nettverkssikkerhet fagfolk få sine hender inn i ting. Noen konsoller er utformet strengt for administrasjon og konfigurasjon formål, for eksempel tilpasning sensorer for å lete etter en bestemt type trafikk, mens andre er utelukkende for overvåking og analyse av et menneske.

Forbindelse

Alle disse komponentene kan være forbundet med hverandre gjennom nettverkene i bedriften eller organisasjonen som driver IDS, eller de kan være koblet til en server viet til sikkerhetsprogramvare administrasjon. I disse tilfellene, hver del av systemet benytter også et administrasjonsgrensesnitt for å koble til ledelsen server, og er ikke gitt tillatelse til å passere trafikk fra nevnte grensesnitt til andre nettverksgrensesnitt det kan kobles til. Dette skjuler effektivt IDS bak et lag av mulm, noe som gjør det vanskeligere for en som ønsker å være angriper å deaktivere, bypass eller på annen måte marginalisere effektiviteten av systemet.

De viktigste ulempene med et slikt oppsett er uunngåelig økning i kostnader og vedlikeholdstimene som kommer med å opprettholde et eget nettverk, og det milde problemer for administratorer eller brukere å samhandle med flere PCer for overvåking og styring av organisasjonens IDS.


© 2020 urbancellarsmd.com | Kontakt oss: webmaster# urbancellarsmd.com