Эффективность IDS

Эффективность IDS прежде всего зависит от местоположения ее Сенсоров (датчиков). Обычно они размещаются за экраном в DMZ или на особо чувствительных к атаке сегментах защищенной сети (см. рис. 5.5). Датчик, расположенный за экраном, контролирует этот экран, улавливая «тревожные» пакеты, которые не были отфильтрованы запрещающими правилами. Кроме того, появляется возможность слежения за трафиком DMZ-сегмента, что немаловажно при выявлении злоумышленников, пользующихся компьютерами компании. Разработчики некоторых сайтов устанавливают дополнительные сенсоры на внешнем интерфейсе экрана. Это позволяет наблюдать за всем Internet — трафиком, улавливая неудачные попытки вторжения, которые блокируются экраном. Кроме того, информация с «внешних» датчиков помогает представить довольно полную картину опасностей, что немаловажно при определении уровня потенциальной угрозы. Если вы решили воспользоваться такими средствами мониторинга, учтите, что «внешние» IDS должны быть пассивными и не должны блокировать трафик или управлять правилами экранирования. IDS, работающие с внешним интерфейсом экрана, генерируют такое количество событий, что активно реагировать на них не представляется возможным. Однако, как показывает практика, «внешние» сенсоры очень информативны и могут использоваться для сбора статистических данных.

Итак, несмотря на некоторые сложности, грамотно размещенные, надлежащим образом настроенные и управляемые сетевые IDS остаются незаменимым инструментом администратора сети.

Локальные системы IDS предназначены для слежения за событиями операционной системы. При возникновении того или иного события IDS сравнивает параметры этого события с шаблонами из своей базы данных и, если соответствие найдено, предпринимает действия, установленные администратором.