IDS Vs Firewall (ความแตกต่างระหว่างระบบตรวจจับการโจมตีกับไฟร์วอลล์)
- ไฟร์วอลล์จะตรวจสอบเฉพาะการโจมตีเวลามีการดำเนินการเท่านั้น โดยดูจากต้นทางและปลายทาง ของ IP address หรือ Port ซึ่งไฟร์วอลล์จะไม่ส่งสัญญาณเตือนไปยังผู้ดูแลระบบเครือข่าย เกี่ยวกับการดำเนินการที่ผิดปกติหรือเป็นอันตราย
- ไฟร์วอลล์ทั่วไปจะตรวจสอบเฉพาะการจราจรขาเข้า (incomming traffice checks)
- ไฟร์วอลล์มีความสามารถในการควบคุมการดำเนินการของแพคเกจในการเชื่อมต่อ
เช่น การอนุญาตให้เข้าถึง web server พอรต์ 80
- IDS (Intrusion detection system) จะมีความสามารถในการส่งสัญญาณการเตือนภัยการโจมตี (ผ่านทางเมลได้ หรือ web-based monitor) สำหรับการเชื่อมต่อที่น่าสงสัย หรือแพคเกจข้อมูล
- IDS จะตรวจสอบการจราจรทั้งขาเข้าและขาออก
เช่น ตรวจสอบการส่งแพคเกจที่ผ่านไฟว์วอลล์เข้ามา ว่าเป็นการโจมตีหรือไม่ โดยตรวจสอบว่าตรงกับ Signature (pattern รูปแบบการโจมตีทั่วไป) ที่มีหรือไม่
ข้อจำกัดของระบบตรวจจับการโจมตี
- ในการดำเนินการตรวจสอบกรณีมีจำนวนแพคเกจเป็นล้านๆ ในระยะเวลาสั้นๆ ต้องใช้ระบบคอมพิวเตอร์ประสิทธิภาพสูง
- IDS ทั่วไปจะสร้างเพียงสัญญาณเตือน มันไม่สามารถดำเนินการใดๆ เองได้ (ปัจจุบันจึงมี IPS ที่มีความสามารถในการดำเนินการ ซึ่งอุปกรณ์ประเภทนี้จะเรียกว่า IDS/IPS)
ผลิตภัณฑ์ซอฟต์แวร์ที่ได้รับความนิยมในปัจจุบัน
SNORT (ระบบตรวจสอบการโจมตีระบบเครือข่าย) http://www.snort.org
TRIPWIRE (ระบบตรวจสอบการโจมตีโฮสต์) http://www.tripwire.com
และ
AIDE (Advanced Intrusion Detection Environment) based on openSUSE Linux
รูปแบบการป้องกันการบุกรุกจะเป็น Firewall –> IDS/IPS –> NGFW หรือ WAF (Web Application Firewall) การออกแบบการป้องกันการบุกรุกขึ้นอยู่กับการให้บริการของผู้ให้บริการเป็นหลัก
Tags: 
