Intrångsdetekteringssystemen (IDS)
och antivirusverktyg i form av virusväggar närmar sig varandra. Vi
som har observerat detta och som också dagligen arbetar med denna
typ av verktyg tycker inte att detta är märkligt. Verktygen har
mycket gemensamt. Under skalet döljer sig egentligen en vanlig
nätverksanalysator. Flera benämner dessa för "sniffers". Om man
förser nätverksanalysatorn med lite mer intelligens så att den kan
känna igen mönster så är verktyget mycket likt ett enklare verktyg
för IDS eller antivirus. Skillnaden mellan ett verktyg för IDS och
ett verktyg för antivirus är i huvudsak på vilken nivå de opererar
och vilka typer av mönster som de känner igen.
Ett verktyg för IDS känner till hur förvanskade IP-paket ser ut,
hur luriga TCP- och UDP-paket ser ut samt vilka kommandon som kan
knäcka en mail eller web-server. Verktyget går hand-i-hand med
verktyg som används för att utforska ett system för att finna
brister. Benämns ofta för "scanning". Scanning-verktyget testar
alla kända attacker, medan IDS-verktyget kan detektera alla kända
attacker. Underlaget för att generera attacker eller detektera
attacker är det samma. Kända attacker dokumenteras efter ett givet
format som sedan kan användas dessa verktyg.
Antivirusverktygen fungerar i grund och botten på samma sätt. De
har dock en annan historia. De har varit fokuserade på att finna
mönster i traditionella filer. Men, spridningen av virus förändras.
Både typen av virus och medierna som sprider virus förändras i rask
takt. Nätbaserade verktyg för att finna traditionella virus blir
allt vanligare eftersom det är nätet (läs Internet) som är det
media som svarar för störst spridning av traditionella virus.
Förutom att antivirusverktygen blir mer nätbaserade, så har de
självklart förmåga att hantera SMTP, HTTP, FTP med flera protokoll.
All viruskontroll sker i realtid och givetvis "tvättar" verktygen
infekterade filer.
Utvecklingen går, som vanligt, i rask takt. Antivirusverktygen är
en naturlig samarbetspartner till brandväggen och hanterar de
vanligaste protokollen. Verktygen för IDS är också en naturlig
partner till brandväggen för att detektera och spåra intrång. Trots
att verktygen i grunden är så lika, så är det förvånade få verktyg
som klarar både. IDS-verktyg som har antivirusfunktioner gör det
inte lika bra som dagens antivirusverktyg och tvärt om.
Slutsatsen är att IDS-verktygen och antivirusverktygen närmar sig,
men att de inte är så pass integrerade att de kan ersätta varandra.
Ännu...
© 2000 Thomas Nilsson, Certezza AB
