Rodzaje systemów IDS/IPS
Napisał: Patryk Krawaczyński, Damian Zelek
21/07/2007 w Bezpieczeństwo Brak komentarzy. (artykuł nr 25, ilość słów: 3282)
B
ezpieczeństwo każdego komputera znajdującego się w “sieci” staje się sprawą priorytetową. Aby zapewnić należyty poziom bezpieczeństwa naszemu systemowi nie wystarczy już tylko, co jakiś czas ręcznie przeglądać pliki dziennika (tzw. logi systemowe). Trzeba nam czegoś więcej! Tu z pomocą przychodzą nam programy kategorii IDS. Zapewnienie wysokiego poziomu bezpieczeństwa komputera podłączonego do Internetu w dzisiejszych czasach staje się rzeczą trudną. W Internecie przez cały czas rozgrywa się szybki i chaotyczny wyścig pomiędzy administratorem a intruzem. Ten drugi z reguły ma nad Nami przewagę, gdyż atakuje on z zaskoczenia i mało kiedy jesteśmy w stanie przewidzieć jego niepowołane przymiarki do naszego serwera. Jeżeli chcesz, aby Twój serwis lub komputer prywatny był w odpowiedni sposób zabezpieczony przed tym nierównym wyścigiem, powinieneś przyjrzeć się bliżej programom z rodziny IDS.
Systemy IDS (ang. Intrusion Detection Systems) – detekcji intruzów – są to programy – filtry pakietów oraz plików. Wiemy już, że Linux potrafi rejestrować wszystko, od procesu logowania po wychodzenia z systemu, żądania połączeń, awarie sprzętowe, odmowę obsługi i polecenia użytkowników. To bardzo istotna część systemu, ale specjaliści od zabezpieczeń od dawna poszukują rozwiązań jeszcze lepszych. Bo przecież, jeśli dobrze się nad tym zastanowić, pliki dziennika to tylko ślad po czymś, co już zostało dokonane. Tymczasem potrzeba systemu, który wykryje trwające właśnie włamanie. Wykrywanie włamań (ang. Intrusion Detection) to detekcja naruszenia bezpieczeństwa systemu w czasie rzeczywistym (za czas rzeczywisty należy rozumieć czas, w którym trwają czynności prowadzone przez program IDS). Pierwsze systemy IDS powstały już na początku lat 80. Do dziś przeprowadzono ogromną ilość badań w tym kierunku i powstały setki systemów wykrywania włamań (choć większość z nich nie jest dostępna dla użytku publicznego). Istnieją dwa podstawowe typy systemów wykrywania włamań:
1) Systemy oparte na zbiorze zasad – wykorzytują one bazy danych znanych ataków i ich sygnatur. Kiedy pakiety przychodzące spełnią określone kryterium lub zasadę, oznaczane są jako usiłowanie włamania. Wadą tych systemów jest fakt, że muszą zawsze korzystać z jak najbardziej aktualnych baz danych, a także to, że jeśli atak określono zbyt precyzyjnie – to podobne, ale nie identyczne włamanie nie zostanie rozpoznane.
2) Systemy adaptacyjne – tutaj wykorzystane są bardziej zaawansowane techniki, w tym nawet sztuczna inteligencja. Rozpoznawane są nie tylko istniejące ataki na podstawie sygnatur – system taki potrafi także uczyć się nowych ataków. Ich główną wadą jest cena, skomplikowana obsługa i konieczność posiadania dużej wiedzy z zakresu matematyki oraz statystyki.
W systemach wykrywania włamań stosuje się dwa podejścia: profilaktyczne i reakcyjne. W pierwszym, system nasłuchuje (tak jak sniffer), czy w sieci nie dzieje się nic podejrzanego i w razie potrzeby podejmuje odpowiednie działanie. W drugim natomiast system bada pliki rejestru i znów – w razie znalezienia podejrzanych zapisów, odpowiednio reaguje. Różnica może wydawać się niewielka, ale w rzeczywistości jest bardzo istotna. System reakcyjny to po prostu rozbudowany system rejestrowania – alarmuje, gdy atak już nastąpił, nawet jeśli stało się to tylko 3 i pół sekundy temu. Z drugiej strony, system profilaktyczny reaguje już w czasie ataku. W niektórych systemach możliwe jest nawet obserwowanie przebiegu ataku przez obsługującego. Teoretycznie, model reakcyjny można stworzyć poprzez wykorzystanie standardowych narzędzi bezpieczeństwa systemu Linux: skrypt lokalizujące określone zachowania w plikach dziennika oraz skrypt, który dodaje adres atakującego (lub nawet całą sieć) do pliku hosts.deny i tcpd nie pozwoli na więcej połączeń z tego adresu.
Taka strategia ma trochę wad. Jedna z nich wynika z faktu, że nie zawsze adres pod który podszywa się atakujące jest prawdziwy. Intruz może więc przeprowadzać kolejne próby spod innych adresów. Lecz rozwiązania profilaktyczne też nie są idealne. Przede wszystkim bardzo wykorzystują zasoby systemu. Po pierwsze, jeśli atakujący posiada świadomość, że mamy profilaktyczny system wykrywania włamań, może poczynić kilka założeń – na przykład takie, że nasz system IDS podejmie takie samo działanie w przypadku wykrycia takiego samego ataku. A więc “zalewając” host takimi samymi atakami z różnych adresów, atakujący może doprowadzić do nadmiernego wykorzystania zasobów i unieruchomić sam system IDS poprzez atak DoS (ang. Denial of Service). System taki może na przykład, po wykryciu każdego ataku, uruchamiać proces powłoki. Ile takich procesów da się uruchomić, zanim system przestanie być responsywny? Po drugie, w zależności od mocy naszego procesora i ograniczeń pamięci, możemy być zmuszeni do wybrania analizy ruchu sieciowego zamiast analizy zawartości.
Takie podejście jest mniej wymagające – analizowane są nagłówki, a nie treść pakietów. To wyklucza wiele ataków, ale nie wszystkie. Wiele sygnatur ataków ukrywa się w zawartości pakietu i prosta analiza ruchu sieciowego nie wystarczy. Wreszcie, oba systemy mogą generować fałszywe trafienia, co może mieć poważne konsekwencje. Na przykład, wielu administratorów tak konfiguruje systemy wykrywania włamań, aby po wykryciu intruza powiadamiały o tym sygnałem dźwiękowym. Po kilku fałszywych trafieniach sygnały takie zaczynają być ignorowane. A co, jeśli każemy naszemu systemowi wykonywać blokadę systemu lub kontratak? Wracając do ogólnego zarysu systemów IDS – do głównych (priorytetowych) zadań tych systemów należą:
- analiza aktywności systemu i użytkowników,
- wykrywanie zbyt dużych przeciążeń,
- analiza plików dziennika,
- rozpoznawanie standardowych działań włamywacza,
- natychmiastowa reakcja na wykryte zagrożenia,
- tworzenie i uruchamianie pułapek systemowych,
- ocena integralności poszczególnych części systemu wraz z danymi.
Jak już zostało wspomniane zadania systemów IDS zostały skonstruowane przez wieloletnie doświadczenia różnych ludzi zajmujących się bezpieczeństwem. Zauważyli oni, że intruzi włamują się do systemów z wielu powodów, najczęściej w celu uzyskania poufnych danych, lub w przypadku hackerów osiągnięcia uznania w kręgu własnej społeczności. Przy próbie penetracji systemu agresor działa w sposób metodyczny, zazwyczaj metodą kolejnych kroków. Na kroki te składają się:
- rozpoznanie systemu,
- wejście do systemu,
- wykorzystanie słabych punktów systemu,
- wyprowadzenie z niego interesujących informacji.
Ostatni punkt jest najbardziej lekkim przewinieniem intruzów, którzy po jego wykonaniu zacierają ślady i opuszczają odwiedzoną sieć. Wiele włamywaczy podmienia główne strony systemów informatycznych, usuwa krytyczne zasoby, doszczętnie niszczy system. Techniki ataku, będącego efektem takiego rozpoznania, można podzielić na trzy kategorie: sieciowe, ataki na system operacyjny i na aplikacje (więcej informacji na temat ataków możemy dowiedzieć się z artykułu: “Rodzaje i klasyfikacja włamań oraz ataków internetowych“).
Ataki sieciowe – dotyczą infrastruktury komunikacyjnej, a ich celem mogą być urządzenia sieciowe, takie jak routery i przełączniki, a także protokoły poziomu sieci na serwerze (warstwa 3 modelu OSI). Celem takiego ataku jest zazwyczaj uzyskanie uprawnień pozwalających na manipulowanie ustawieniami konfiguracyjnymi, mającymi wpływ na trasowanie ruchu komunikacyjnego. Ataki w warstwie 3 lub niższej – często są to ataki typu DoS lub przechwytywania ruchu – dotyczą modułów oprogramowania sieciowego na serwerze. W tym przypadku celem jest załamanie serwera lub co najmniej znaczne spowolnienie jego pracy, czy przekierowanie jego ruchu sieciowego w inne miejsce.
Ataki na systemy operacyjne – wykorzystują błędy i luki w powszechnie stosowanych systemach operacyjnych. Najczęściej wykorzystywana jest koncepcja super użytkownika (root w systemach *nix, czy administrator w MS Windows). Tak uprzywilejowany użytkownik przechodzi bez przeszkód przez wszystkie środki ochrony wbudowane w system operacyjny – może mieć dostęp do wszystkich plików (łącznie z systemowymi) i urządzeń, i nadawać uprawnienia nowym użytkownikom. Większość technik uzyskiwania uprawnień super użytkownika wykorzystuje eskalację uprawnień oraz tzw. efekt przepełnienia bufora (buffer overflow – b0f). Technika ta pozwala atakującemu na wprowadzenie swojego kodu do innego programu pracującego na komputerze i wykonaniu go w kontekście uprawnień przewidzianych dla tego programu. Zazwyczaj taki podrzucony kod zakłada konto nowego, uprzywilejowanego użytkownika. Umożliwia to potem intruzowi legalne wejście do systemu przez zalogowanie się jako ten nowy użytkownik.
Ataki aplikacyjne – wraz z rozwojem internetu pojawiły się powszechnie stosowane aplikacje, takie jak serwery WWW, e-mail, DNS. Takie aplikacje są idealnym celem, ponieważ – z definicji – nastawione są na ciągłe oczekiwanie na komunikację przychodzącą z internetu, a użytkownicy zewnętrzni mogą uzyskiwać do nich dostęp bez pośrednictwa zapór ogniowych. Na pierwszy ogień idą przeważnie serwery webowe. Do ataku na nie wykorzystywane są odpowiednio przygotowane żądania HTTP, uznawane za legalne z punktu widzenia zapory ogniowej, ale przygotowane do pokonania słabych punktów serwera WWW i uzyskania dostępu do poufnych informacji zgromadzonych w bazach danych lub do wykonania własnego programu na zaatakowanym serwerze webowym (tzw. webshell). Inne sposoby ataków związane są z programami CGI (ang. Common Gateway Inerface). Programy te są podstawowym środkiem do implementacji aplikacji webowych. Serwer webowy po otrzymaniu zlecenia CGI, wywołuje odpowiedni program CGI przekazując do niego otrzymane parametry. Błędy projektowe, popełniane często na etapie tworzenia takich programów, zwłaszcza w kontroli zakresu danych, stwarzają okazję do ataków.
Stosowane w systemach IDS rozwiązania można obecnie podzielić na trzy kategorie:
1) Host IDS (HIDS). Rozwiązania te opierają się na modułach agentów rezydujących na wszystkich monitorowanych hostach. Moduły te analizują logi zdarzeń, kluczowe pliki systemu i inne sprawdzalne zasoby, poszukując nieautoryzowanych zmian lub podejrzanej aktywności. Wszystko, co odbiega od normy, powoduje automatyczne generowanie alarmów lub uaktywnienie pułapek SNMP. Monitorowane są m.in. próby logowania do systemu i odnotowywane używanie niewłaściwego hasła – jeżeli próby takie powtarzają się wielokrotnie w krótkich odstępach, można założyć, że ktoś próbuje dostać się do systemu nielegalnie. Innym sposobem jest monitorowanie stanu plików systemowych i aplikacyjnych. Wykonuje się to metodą “fotografii stanów”, rejestrując na początku stany istotnych plików (np. na tej zasadzie działa program Tripwire i AIDE). Jeżeli napastnikowi (lub niektórym postaciom konia trojańskiego) uda się uzyskać dostęp do systemu i wykonać zmiany, zostanie to zauważone (na ogół jednak nie w czasie rzeczywistym). Większość systemów hostowych to systemy reaktywne – oczekujące na pojawienie się jakichś zdarzeń przed podniesieniem alarmu. Są jednak wśród nich także systemy działające z wyprzedzeniem (proaktywne), monitorujące i przechwytujące odwołania do jądra systemu operacyjnego lub API, w celu zapobiegania atakom, jak również zarejestrowania tych faktów w dzienniku zdarzeń. Działania proaktywne mogą polegać także na monitorowaniu strumieni danych i środowisk specyficznych dla poszczególnych aplikacji i demonów (np. lokalizacji plików i ustawień rejestrów dla serwerów WWW) w celu ich ochrony przed nowymi atakami, dla których nie istnieją jeszcze odpowiednie sygnatury w bazach danych IDS. Rozwiązania takie noszą czasem nazwę systemów zapobiegania włamaniom (IPS – Intrusion Prevention Systems), ponieważ ukierunkowane są na powstrzymywanie ataków, a nie na proste tylko informowania o nich.
Serwer www + system Host IDS / / / Węzeł (router+firewall) --- Serwer SQL + system Host IDS \ \ \ Serwer poczty + system Host IDS
2) Network IDS (NIDS). Rozwiązania te monitorują ruch sieciowy w czasie rzeczywistym, sprawdzając szczegółowo pakiety w celu namierzenia ataków typu DoS, czy też niebezpiecznej zawartości przez nie przenoszonej, zanim osiągną one miejsce przeznaczenia. W swoim działaniu opierają się na porównywaniu pakietów z wzorcami – sygnaturami ataków (ang. attack signatures), przechowywanymi w bazie danych anomalii w ich wykonywaniu (na tej zasadzie działa m.in. program SNORT i Surricata). Bazy danych sygnatur uaktualnianie są przez dostawców pakietów IDS w miarę pojawiania się nowych form ataków. Po wykryciu podejrzanej aktywności monitor sieciowy może zaalarmować obsługę sieci, a także zamknąć natychmiast podejrzane połączenie. Wiele tego typów rozwiązań jest integrowanych z zaporami ogniowymi w celu ustalenia dla nich nowych reguł blokowania ruchu, umożliwiających zatrzymania atakującego już na zaporze ogniowej przy próbie kolejnego ataku. Rozwiązania oparte na metodzie sieciowej funkcjonują w tzw. trybie nasłuchiwania (ang. promiscous mode – tak jak sniffery), polegającym na przeglądaniu każdego pakietu w kontrolowanym segmencie sieci, niezależnie od adresu przeznaczenia pakietu. Z uwagi na duże obciążenie, jakie niesie ze sobą przeglądanie każdego pakietu, rozwiązania te wymagają zazwyczaj dedykowanego hosta (specjalnie do tego przeznaczonego).
Serwer www / / / Węzeł (router+firewall+network IDS) --- Serwer SQL \ \ \ Serwer poczty
3) Network Node IDS (NNIDS). Jest to stosunkowo nowy typ hybrydowego agenta IDS, wolny od niektórych ograniczeń sieciowych IDS. Agent taki pracuje w sposób podobny do sieciowych IDS – pakiety przechwytywane w sieci są porównywane z sygnaturami ataków z bazy danych – interesuje się jednak tylko pakietami adresowanymi do węzła (ang. node), na którym rezyduje (stąd nazwa IDS węzła sieci, czasami też Stack-based IDS). Systemy takie są niekiedy określone jako “hostowe”, jednak termin ten dotyczy systemów skupiających się na monitorowaniu plików logu i analizie zachowań (np. Hostsentry), natomiast sieciowe i węzłowe IDS skupiają się na analizie ruchu TCP – z tą jedynie różnicą, że NIDS pracuje w trybie nasłuchu, podczas gdy NNIDS skupiają się na wybranych pakietach sieci. Fakt, że systemy NNIDS nie zajmują się analizą wszystkich pakietów krążących w sieci, powoduje, iż pracują one znacznie szybciej i wydajniej, co pozwala na instalowanie ich na istniejących serwerach bez obawy ich przeciążenia. W tym przypadku trzeba zainstalować cały szereg agentów – jeden na każdym chronionym serwerze – a każdy z nich musi przekazywać raporty do centralnej konsoli lub serwera logów.
Warto także zauważyć, że systemy oparte na hostach mają przewagę w połączeniach szyfrowanych, takich jak sesje webowe SSL (ang. Secure Socket Layer) czy połączeniach VPN (ang. Virtal Private Network), ponieważ posiadają dostęp do danych niezaszyfrowanych. Systemy sieciowe wykrywania włamań nie mogą deszyfrować danych, muszą więc przepuszczać pakiety zaszyfrowane i, niektóre typy ataków wykorzystują właśnie ten fakt. Dodatkowo, aby system IDS mógł pracować prawidłowo, musi rozłożyć wszystkie docierające dane / procesy na kilka etapów, gdyż zwykle funkcjonują one w odrębnych warstwach stosu sieciowego. Pierwsza badana warstwa to warstwa sieciowa i transportowa. Właśnie przy tych warstwach (chociaż nie tylko) mamy ogromną możliwość zmylenia systemu IDS przez ingerencje w pakiety protokołu TCP/IP. Na przykład stosowanie techniki wstawiania i unikania podczas zmiany sygnatur umożliwia nam zmylenie systemu.
– Wstawienie – technika ta jest używana, jeżeli aktywny system IDS przyjmuje pewne informacje, twierdząc (już z początkowego założenia), że podobnie zrobi także maszyna docelowa. Jeżeli jednak nie zdarzyło by się tak – IDS nie zinterpretuje strumienia danych w taki sam sposób jak maszyna docelowa – to nie będzie mogła ona w odpowiedni sposób Nas zaalarmować (a przecież o to chodzi włamywaczom). Prościej mówiąc: sygnatura systemu IDS nie będzie odpowiadać danym monitorowanym w sieci np. jeżeli IDS szuka w sygnaturach ciągu znaków “Zły-pakiet” (IDS szuka dokładnie takiego ciągu) to zmieniając ciąg na “Nie-zły-pakiet” IDS zatwierdzi przesyłkę jako bezpieczną.
– Unikanie – to technika, którą można określić niczym innym jak przeciwieństwem wstawiania. Występuje ona m.in. wtedy, gdy system docelowy przyjmuje pewne dane, a system IDS ignoruje je. Jeśli system IDS nieprawidłowo zinterpretuje komunikaty ze strony atakującego i nie zostanie zaakceptowany przez maszynę docelową (docelowy system nie zostanie o niczym poinformowany), wtenczas otrzymujemy dowolność komunikacji z “podatnym” serwerem.
Innymi sposobami zmylenia systemów IDS jest już inżynieria sieciowa, czyli modyfikowanie nagłówków TCP/IP. W przypadku nagłówka IP istnieje wiele pól, podczas modyfikacji których można uzyskać złe efekty (trzeba jednak pamiętać, iż modyfikacje tych nagłówków trzeba przeprowadzać bardzo ostrożnie, gdyż muszą one mieć możliwość krążenia po internecie):
- modyfikowanie rozmiaru pakietu może znacznie utrudnić jakiemuś nieprzystosowanemu systemowi rozpoznanie (system nie będzie w stanie znaleźć wyższych warstw pakietu),
- można także dokonać modyfikacji samych sum kontrolnych pakietów IP. System będzie uznawał je za poprawne, jednak one wcale takie nie będą (no chyba, że IDS będzie przeliczał sumy kontrolne każdego pakietu z osobna, wtedy takie obejście nie wyjdzie),
- składanie pofragmentowanych pakietów IP (jeśli IDS składa pakiety w inny sposób niż sam system, wtedy taki host jest podatny na ten atak), w których chodzi o kolejność docierania pakietów (pakiety takie składa się w takiej samej kolejności w jakiej były wysłane), jakie docierają do systemu. Jeśli to zmienimy, system może się pogubić, zgubić parę pakietów i ulec załamaniu).
Podobnie jest w przypadku nagłówków TCP. W pakietach tych (tak samo jak miało to miejsce w nagłówkach IP) istnieje także wiele potencjalnych luk (patrząc poprzez pryzmat włamywacza, nie w sensie komunikacji sieciowej) i pól, w których, przy drobnych zmianach, można uzyskać kompromis włamaniowy. Na przykład, gdy wyślemy pakiet TCP bez znacznika ACK, to system operacyjny mogłby go odrzucić, ale IDS przyjmie go. Inną potencjalną luką w oczach włamywacza może być pole CHECKSUM – kiedy IDS nie oblicza oddzielnie sum kontrolnych każdego segmentu TCP (przeważnie producenci IDS tak właśnie robią, z uwagi na to, iż narzut czasowy takich działań byłby zbyt duży), dlatego można wstawić segmenty o niepoprawnej sumie kontrolnej. A już sama reakcja zależy od systemu operacyjnego i względnie zapory ogniowej jeśli taka została zainstalowana. Należy także wspomnieć, że systemy IDS nie są łatwe do wdrożenia i wymagają dużego zaangażowania. Choć ich konstruktorzy wprowadzają to coraz nowsze rozwiązania przedstawionych wyżej problemów to wymagają one także coraz to wyższej wiedzy z zakresu budowy i zasad działania internetu.
IPS (ang. Intrusion Prevention Systems) – jeszcze do niedawna były to rozwiązania, które masowo były porównywane do “trochę” bardziej rozbudowanych, intuicyjnych i efektywnych systemów IDS. Nic bardziej mylnego. Do głównych zadań systemów IPS należy sama prewencja, nie kładzie się tu nacisku na alarmowanie administratora o mającym właśnie miejsce włamaniu, a szybkim zakończeniu trwającego właśnie ataku. System IDS jest potencjalnie powolny – analizuje pakiety, komunikuje się ze swoimi bazami sygnatur, przekazuje informacje do firewalla, tworzy określone reguły etc. Daje to wystarczająco dużo czasu (niestety, zbyt dużo) potencjalnemu włamywaczowi. W systemach IPS wszystkie te procedury schodzą na dalszy plan; system taki ma za zadanie natychmiast przerwać atak a dopiero w następnej kolejności podjąć odpowiednie procedury formalne (tutaj funkcja informowania o mającym miejsce zajściu). W dobie dzisiejszego szybkiego rozwoju techniki, bardzo często już istniejące systemy IDS przejmują – bądź już przejęły – niektóre funkcje systemów IPS. Dlatego trudno jest rozróżniać poszczególne produkty pod względem ich przynależności. Jednak odnośnie ich funkcjonalności chyba najlepiej mówi nam ich sama nazwa:
– IDS, Intrusion Detection Systems, systemy mające na celu wykrywać potencjalne ataki (a więc nie jako powiadomić nas o określonym zajściu, nawet udanym),
– IPS, Intrusion Prevention Systems, systemy, których głównym zadaniem jest czynna ochrona naszej sieci, niekoniecznie identyfikacja czy chociażby ew. raportowanie.
Dla przykładu, typowym zachowaniem WŁAŚNIE dla systemu IPS jest m. in. przechwytywanie wywołań systemowych, “uodparnianie” stosu, podkładki programowe czy zmiana danych w warstwie aplikacji. Należy pamiętać także o tym, iż dokładność (tutaj trafność) systemu IPS musi być znacząco większa niż ma to miejsce w systemach IDS. Często rozważa się instalowanie programów (lub ich całych pakietów) z rodziny IPS na różnych warstwach jednocześnie, m. in. warstwa łącza danych, warstwa transportu oraz warstwa aplikacji (np. poprzez oddzielny proces serwera internetowego w celu analizowania szyfrowanych strumieni czy chociażby dla ogólnego podniesienia poziomu bezpieczeństwa samego serwera).
Ostatnimi czasy bardzo często zdarza się (niejako przyjęło się), iż systemy IPS przybierają także formę całościowych i kompleksowych rozwiązań mających na celu chronić maszynę w sieci. W takim znaczeniu – znaczeniu kompleksowym – IPS to z reguły Firewall + IDS/IPS [właściwe] + AntyVirus + narzędzia zapewniające prywatność i poufność [asortyment może być rzeczywiście bardzo szeroki]. Tak więc jak widać, rozwiązania typu IPS, które niejako powstały i ewoluowały ze statycznych systemów IDS, poprzez dynamiczne i intuicyjne systemy IDS/IPS, coraz częściej przybierają formę całościowych zestawów oprogramowania [z reguły także intuicyjncyh i dynamicznych], których priorytetem jest zapewnienie bezpieczeństwa naszej sieci. Produkty takie [IPS w znaczeniu kompleksowym] przeważnie sprzedawane są jako All-in-One – cały zestaw narzędzi do kupienia w jednym “pudełku”, kwestia wyboru producenta i marki.
Więcej informacji: Intruder Alert (HIDS), Cisco Secure IDS (NIDS), RealSecure Server Sensor (NNIDS), SNORT (NIDS)