токолу FTP для анонімного користувача ). На виявлення помилок другого типу, а також інших слабкостей більш загального характеру і націлені системи виявлення вторгнень (intrusion detection system - IDS), які діють як системи попередження. Коли IDS виявляє щось схоже на атаку, вона може вжити самостійні дії або повідомити систему управління, щоб відповідні дії міг вжити мережевий адміністратор. Деякі системи такого типу забезпечуються більш-менш ефективними засобами реагування та відбиття атак. Системи виявлення атак, що працюють на хостах (host-based IDS - HIDS), можуть перехоплювати виклики операційних систем та програм на окремому хості. Крім того, вони можуть згодом проводити аналіз локальних лог-файлів. Перехоплення дозволяє краще запобігати атаки, а аналіз являє собою пасивний засіб реагування. Специфіка хост-систем (HIDS) робить їх більш ефективними для запобігання атак деяких типів у порівнянні з мережевими системами NIDS (network IDS), які зазвичай видають сигнал тривоги тільки після виявлення атаки. Однак та ж специфіка не дає хост-системам загальносітьового перспективи, якій повною мірою володіють системи NIDS. Тому Cisco рекомендує поєднувати системи обох типів і розміщувати HIDS на критично важливих хостах, а NIDS - для спостереження за всією мережею. У результаті такого поєднання виникає повномасштабна система виявлення атак. p align="justify"> Після установки системи необхідно налаштувати її, щоб підвищити ефективність і скоротити число помилкових спрацьовувань. Під хибним спрацьовуванням розуміється сигнал тривоги, викликані не атакою, а звичайним трафіком або звичайною діяльністю. Негативним спрацьовуванням називається випадок, коли система не виявляє справжньої атаки. Після налаштування системи IDS ви можете точно конфігурувати її для конкретних дій з ліквідації загроз. Як вже зазначалося, потрібно націлювати HIDS на ліквідацію найбільш небезпечних загроз на рівні хоста, бо саме тут HIDS може працювати з найбільшою ефективністю. p align="justify"> Визначаючи роль системи NIDS, ви можете вибрати один з двох основних варіантів.
Перший варіант (і потенційно - у разі неправильного впровадження - найбільш небезпечний) - це "відрубування" трафіку за допомогою фільтрів управління доступом, встановлених на маршрутизаторах. Якщо система NIDS виявляє атаку, джерелом якої є який-небудь хост, вона блокує цей хост, не даючи йому можливості на певний час зв'язуватися з даною мережею. На перший погляд цей спосіб здається дуже зручним і добре допомагає адміністратору безпеки, проте насправді вдаватися до нього слід з великою обережністю, а, можливо, і не вдаватися зовсім. p align="justify"> Перша проблема полягає в тому, що хакер може користуватися чужими адресами. Якщо система NIDS вирішує, що атака йде з певного пристрою, і "відрубує" це пристрій, воно втрачає права доступу до вашої мережі. Однак, якщо хакер користується чужим адресою, NIDS блокує адресу, господар якого ні коли не планував жодних ...
