Billbloom.com

Composants d'un système de détection d'intrusion

Composants d'un système de détection d'intrusion

systèmes de détection d'intrusion sont au cœur de l'entreprise de sécurité informatique et réseau. Pour les non-initiés, ils ont une ressemblance passagère aux pare-feu, mais il ya une différence importante: Bien que les pare-feu visent à améliorer la sécurité en limitant l'accès de réseau entre réseaux distincts, un IDS vise à trouver les intrusions et les activités malveillantes dans le system.There sont deux grands classes de ces systèmes: basé sur le réseau (NIDS) et basé sur l'hôte (HIDS). Comme les noms l'indiquent, les méthodes NIDS impliquent le trafic réseau de balayage, alors que les méthodes HIDS impliquent scannant les machines connectées au réseau eux-mêmes.

Capteur / Agent


Ce est le composant qui surveille activement le trafic et l'activité. Le capteur terme indique généralement surveillance basée sur le réseau, alors que l'agent est plus souvent utilisée dans la description des systèmes basés sur l'hôte.

Management Server


Le serveur de gestion est le dispositif, soit physique ou logiciel basé, que le capteur ou l'agent rapports ses conclusions. Certains serveurs de gestion sont configurés pour fournir une vue plus haut niveau de l'analyse de l'activité que les capteurs eux-mêmes en utilisant les données recueillies par les capteurs à flairer le trafic qui ne auraient pas été ramassé comme suspecte. Plus encore, certains IDS déploiements plus petits ne utilisent pas un serveur de gestion du tout, si cela est rare. Grandes IDS déploiements utilisent souvent plusieurs serveurs de gestion pour un niveau élevé de vue d'ensemble.

Database Server


Un serveur de base de données est la voûte général pour toutes les informations enregistrées par les capteurs et les serveurs de gestion. Ce est essentiellement l'archive du système où les journaux d'événements déclarés et / ou manipulés par des capteurs, des agents ou le serveur de gestion sont stockés.

Console


Ce est la connexion de l'utilisateur final au système, où la sécurité informatique et réseau professionnels obtiennent leurs mains dans les choses. Certaines consoles sont conçus strictement pour administration et de configuration fins, comme peaufiner capteurs pour trouver un certain type de trafic, tandis que d'autres sont uniquement pour le suivi et l'analyse par un humain.

Lien


Tous ces composants peuvent être reliés les uns aux autres par l'intermédiaire des réseaux de la société ou de l'organisme qui gère les IDS, ou ils peuvent être connectés à un serveur dédié à la gestion de logiciel de sécurité. Dans ces cas, chaque pièce du système utilise également une interface de gestion de se connecter au serveur de gestion, et ne est pas donné les autorisations pour passer le trafic à partir de ladite interface pour d'autres interfaces réseau, il peut être connecté à. Ce masque efficacement les IDS derrière une couche de l'obscurité, ce qui rend plus difficile pour un soi-disant utilisateur malveillant de désactiver, dérivation ou autrement marginaliser l'efficacité du système.

Les principaux inconvénients d'une telle configuration sont l'augmentation inévitable des heures de coûts et d'entretien qui viennent avec le maintien d'un réseau distinct, et les tracas doux pour les administrateurs ou les utilisateurs d'avoir à interagir avec plusieurs ordinateurs pour surveiller et gérer les IDS de l'organisation.