Intrångsdetekteringssystemen (IDS) och antivirusverktyg i form av virusväggar närmar sig varandra. Vi som har observerat detta och som också dagligen arbetar med denna typ av verktyg tycker inte att detta är märkligt. Verktygen har mycket gemensamt. Under skalet döljer sig egentligen en vanlig nätverksanalysator. Flera benämner dessa för “sniffers”. Om man förser nätverksanalysatorn med lite mer intelligens så att den kan känna igen mönster så är verktyget mycket likt ett enklare verktyg för IDS eller antivirus. Skillnaden mellan ett verktyg för IDS och ett verktyg för antivirus är i huvudsak på vilken nivå de opererar och vilka typer av mönster som de känner igen.
Ett verktyg för IDS känner till hur förvanskade IP-paket ser ut, hur luriga TCP- och UDP-paket ser ut samt vilka kommandon som kan knäcka en mail eller web-server. Verktyget går hand-i-hand med verktyg som används för att utforska ett system för att finna brister. Benämns ofta för “scanning”. Scanning-verktyget testar alla kända attacker, medan IDS-verktyget kan detektera alla kända attacker. Underlaget för att generera attacker eller detektera attacker är det samma. Kända attacker dokumenteras efter ett givet format som sedan kan användas dessa verktyg.
Antivirusverktygen fungerar i grund och botten på samma sätt. De har dock en annan historia. De har varit fokuserade på att finna mönster i traditionella filer. Men, spridningen av virus förändras. Både typen av virus och medierna som sprider virus förändras i rask takt. Nätbaserade verktyg för att finna traditionella virus blir allt vanligare eftersom det är nätet (läs Internet) som är det media som svarar för störst spridning av traditionella virus. Förutom att antivirusverktygen blir mer nätbaserade, så har de självklart förmåga att hantera SMTP, HTTP, FTP med flera protokoll. All viruskontroll sker i realtid och givetvis “tvättar” verktygen infekterade filer.
Utvecklingen går, som vanligt, i rask takt. Antivirusverktygen är en naturlig samarbetspartner till brandväggen och hanterar de vanligaste protokollen. Verktygen för IDS är också en naturlig partner till brandväggen för att detektera och spåra intrång. Trots att verktygen i grunden är så lika, så är det förvånade få verktyg som klarar både. IDS-verktyg som har antivirusfunktioner gör det inte lika bra som dagens antivirusverktyg och tvärt om.
Slutsatsen är att IDS-verktygen och antivirusverktygen närmar sig, men att de inte är så pass integrerade att de kan ersätta varandra. Ännu…
© 2000 Thomas Nilsson, Certezza AB
Thomas Nilsson
