एक घुसपैठ का पता लगाने प्रणाली (आईडीएस) संदिग्ध गतिविधि के लिए नेटवर्क यातायात और मॉनीटर पर नज़र रखता है और सिस्टम या नेटवर्क प्रशासक को अलर्ट करता है। कुछ मामलों में, आईडीएस उपयोगकर्ता या स्रोत आईपी पते को नेटवर्क तक पहुंचने से अवरुद्ध करने जैसी कार्रवाई करके असंगत या दुर्भावनापूर्ण यातायात का भी जवाब दे सकता है।
आईडीएस विभिन्न प्रकार के "स्वाद" में आते हैं और विभिन्न तरीकों से संदिग्ध यातायात का पता लगाने के लक्ष्य तक पहुंचते हैं। नेटवर्क आधारित (एनआईडीएस) और होस्ट आधारित (एचआईडीएस) घुसपैठ का पता लगाने सिस्टम हैं। ऐसे आईडीएस हैं जो ज्ञात खतरों के विशिष्ट हस्ताक्षरों की तलाश के आधार पर पता लगाते हैं- वैसे ही एंटीवायरस सॉफ़्टवेयर आमतौर पर मैलवेयर के खिलाफ पता लगाता है और सुरक्षा करता है- और ऐसे आईडीएस हैं जो बेसलाइन के खिलाफ यातायात पैटर्न की तुलना करने और विसंगतियों की तलाश करने के आधार पर पता लगाते हैं। ऐसे आईडीएस हैं जो बस निगरानी और चेतावनी देते हैं और ऐसे आईडीएस हैं जो किसी ज्ञात खतरे के जवाब में कोई कार्रवाई या क्रियाएं करते हैं। हम इनमें से प्रत्येक को संक्षिप्त रूप से कवर करेंगे।
NIDS
नेटवर्क घुसपैठ का पता लगाने सिस्टम नेटवर्क पर सभी उपकरणों से यातायात की निगरानी के लिए नेटवर्क के भीतर एक रणनीतिक बिंदु या बिंदु पर रखा जाता है। आदर्श रूप से, आप सभी इनबाउंड और आउटबाउंड ट्रैफिक को स्कैन करेंगे, हालांकि ऐसा करने से एक बाधा उत्पन्न हो सकती है जो नेटवर्क की समग्र गति को खराब कर देगी।
HIDS
होस्ट घुसपैठ का पता लगाने सिस्टम नेटवर्क पर व्यक्तिगत मेजबान या डिवाइस पर चलाए जाते हैं। एक छिपाई केवल डिवाइस से इनबाउंड और आउटबाउंड पैकेट पर नज़र रखता है और उपयोगकर्ता को चेतावनी देगा या संदिग्ध गतिविधि के व्यवस्थापक को पता चला है
हस्ताक्षर आधारित
एक हस्ताक्षर आधारित आईडीएस नेटवर्क पर पैकेट की निगरानी करेगा और हस्ताक्षर के डेटाबेस या ज्ञात दुर्भावनापूर्ण खतरों से विशेषताओं के डेटाबेस की तुलना करेगा। यह वैसे ही है जैसे अधिकांश एंटीवायरस सॉफ़्टवेयर मैलवेयर का पता लगाता है। मुद्दा यह है कि जंगली में खोजे जाने वाले नए खतरे और आपके आईडीएस पर उस खतरे को पहचानने के लिए हस्ताक्षर के बीच एक अंतराल होगा। उस अंतराल के दौरान, आपका आईडीएस नए खतरे का पता लगाने में असमर्थ होगा।
विसंगति आधारित
एक आईडीएस जो विसंगति आधारित है, नेटवर्क यातायात की निगरानी करेगी और इसकी स्थापना एक आधारभूत आधार रेखा से की जाएगी। आधारभूत रेखा उस नेटवर्क के लिए "सामान्य" की पहचान करेगी- किस प्रकार की बैंडविड्थ आम तौर पर उपयोग की जाती है, कौन से प्रोटोकॉल का उपयोग किया जाता है, कौन से बंदरगाह और उपकरण आम तौर पर एक दूसरे से जुड़ते हैं- या जब ट्रैफिक का पता चला है तो व्यवस्थापक या उपयोगकर्ता को चेतावनी दें जो असंगत है, या आधार रेखा से काफी अलग है।
निष्क्रिय आईडीएस
एक निष्क्रिय आईडीएस बस पता लगाता है और अलर्ट करता है। जब संदिग्ध या दुर्भावनापूर्ण यातायात का पता चला है तो एक चेतावनी उत्पन्न होती है और व्यवस्थापक या उपयोगकर्ता को भेजी जाती है और गतिविधि को अवरुद्ध करने या किसी भी तरह से प्रतिक्रिया देने के लिए कार्रवाई करने के लिए उन पर निर्भर करता है।
प्रतिक्रियाशील आईडीएस
एक प्रतिक्रियाशील आईडीएस न केवल संदिग्ध या दुर्भावनापूर्ण यातायात का पता लगाएगा और व्यवस्थापक को सतर्क करेगा, लेकिन खतरे का जवाब देने के लिए पूर्व परिभाषित सक्रिय कार्रवाई करेगा। आम तौर पर इसका अर्थ स्रोत आईपी पते या उपयोगकर्ता से किसी और नेटवर्क ट्रैफिक को अवरुद्ध करना है।
सबसे प्रसिद्ध और व्यापक रूप से उपयोग किए जाने वाले घुसपैठ का पता लगाने सिस्टम में से एक ओपन सोर्स, स्वतंत्र रूप से उपलब्ध स्नॉर्ट है। यह लिनक्स और विंडोज दोनों सहित कई प्लेटफॉर्म और ऑपरेटिंग सिस्टम के लिए उपलब्ध है। स्नॉर्ट के पास एक बड़ा और वफादार अनुसरण है और इंटरनेट पर कई संसाधन उपलब्ध हैं जहां आप नवीनतम खतरों का पता लगाने के लिए लागू करने के लिए हस्ताक्षर प्राप्त कर सकते हैं। अन्य फ्रीवेयर घुसपैठ का पता लगाने के अनुप्रयोगों के लिए, आप नि: शुल्क घुसपैठ का पता लगाने सॉफ्टवेयर पर जा सकते हैं।
फ़ायरवॉल और एक आईडीएस के बीच एक अच्छी रेखा है। आईपीएस - घुसपैठ रोकथाम प्रणाली नामक एक तकनीक भी है। एक आईपीएस अनिवार्य रूप से एक फ़ायरवॉल है जो नेटवर्क की स्तर को सक्रिय रूप से संरक्षित करने के लिए एक प्रतिक्रियाशील आईडीएस के साथ नेटवर्क-स्तर और एप्लिकेशन-स्तरीय फ़िल्टरिंग को जोड़ता है। ऐसा लगता है कि फ़ायरवॉल पर समय बीतता है, आईडीएस और आईपीएस एक-दूसरे से अधिक विशेषताओं को लेते हैं और लाइन को और भी धुंधला करते हैं।
अनिवार्य रूप से, आपकी फ़ायरवॉल परिधि रक्षा की आपकी पहली पंक्ति है। सर्वोत्तम प्रथाओं की अनुशंसा करते हैं कि आपके फ़ायरवॉल को सभी आने वाले ट्रैफ़िक को स्पष्ट रूप से कॉन्फ़िगर किया जाए और फिर आवश्यक हो वहां छेद खोलें। एक FTP फ़ाइल सर्वर होस्ट करने के लिए आपको वेब साइट्स या पोर्ट 21 होस्ट करने के लिए पोर्ट 80 खोलना पड़ सकता है । इन छेदों में से प्रत्येक एक स्टैंडपॉइंट से आवश्यक हो सकता है, लेकिन वे फ़ायरवॉल द्वारा अवरुद्ध होने के बजाय आपके नेटवर्क में प्रवेश करने के लिए दुर्भावनापूर्ण ट्रैफ़िक के संभावित वैक्टर का भी प्रतिनिधित्व करते हैं।
यही वह जगह है जहां आपका आईडीएस आ जाएगा। चाहे आप पूरे नेटवर्क में एनआईडीएस या अपने विशिष्ट डिवाइस पर छिपाएं, आईडीएस इनबाउंड और आउटबाउंड ट्रैफिक की निगरानी करेगा और संदिग्ध या दुर्भावनापूर्ण ट्रैफिक की पहचान करेगा जो किसी भी तरह से आपके फ़ायरवॉल को छोड़ सकता है या संभवतः आपके नेटवर्क के अंदर से भी उत्पन्न हो सकता है।
एक आईडीएस दुर्भावनापूर्ण गतिविधि से आपके नेटवर्क की सक्रिय निगरानी और सुरक्षा के लिए एक शानदार उपकरण हो सकता है, हालांकि, वे झूठे अलार्म के लिए भी प्रवण हैं। आपके द्वारा लागू किए जाने वाले किसी भी आईडीएस समाधान के साथ आपको पहले इंस्टॉल होने के बाद "इसे ट्यून" करने की आवश्यकता होगी। आपको पहचानने के लिए आईडीएस की आवश्यकता है कि आपके नेटवर्क बनाम सामान्य ट्रैफ़िक क्या हो। दुर्भावनापूर्ण ट्रैफ़िक क्या हो सकता है और आप या आईडीएस अलर्ट का जवाब देने के लिए जिम्मेदार प्रशासकों को यह समझने की आवश्यकता है कि अलर्ट का क्या अर्थ है और प्रभावी ढंग से जवाब कैसे दिया जाए।