Produkt Cisco Secure IDS, w początkowej wersji dostarczany jako sieciowy IS, został ostatnio rozszerzony o komponenty HIDS. Sam produkt jest formą urządzenia wyposażonego w odpowiednie oprogramowanie. Sensory NIDS są instalowane w różnych punktach sieci, chroniąc ją przed atakami, natomiast komponent HIDS chroni serwery przed atakami na system operacyjny i aplikacje. Sensory NIDS instalowane są zazwyczaj przed zaporą ogniową i monitorują komunikację w całej organizacji. Ponadto każdy istotny segment sieci może być również "pokryty" przez osobny sensor. HIDS jest wprowadzany przede wszystkim na serwery stykające się z Internetem, takie jak serwery pocztowe, webowe i DNS. Ponieważ serwery styku z Internetem są połączone z serwerami zaplecza, HIDS jest także wprowadzany na wszystkie główne serwery korporacyjne w obrębie działania zapór ogniowych.
Cisco IDS Network Sensor zapewnia ochronę urządzeń sieciowych i modułów komunikacyjnych na serwerze. Jego podstawowe zadania to:
aktywna reakcja - system zawiera funkcje reakcji wyprzedzających w urządzeniach sensorowych, umożliwiające konfigurowanie systemu do automatycznego unikania lub eliminowania specyficznych połączeń przez zmianę list kontroli dostępu (ACL) na ruterach Cisco;
wykrywanie ataków sieciowych - obejmuje detekcję ataków skierowanych na rutery i przełączniki, wykrywanie ataków w warstwie 3 i niższych skierowanych na moduły komunikacyjne serwerów; wykrywanie skanowania portów;
wykrywanie ataków na aplikacje - system kontroluje protokoły aplikacyjne, takie jak HTTP, DNS, FTP i inne. Ponadto wykrywa ataki obierające za cel luki w programach CGI;
ochrona przed atakami DoS - wykrywanie komunikacji pomiędzy agentami DDoS i hakerami dla znanych narzędzi DdoS, takich jak Trin00 czy TFN (Trible Flood Network);
reasemblacja fragmentacji IP i wykrywanie ataków na IDS - wykrywane są ataki przeprowadzane techniką fragmentacji pakietów, jak również inne triki używane do obchodzenia technologii NIDS.
Cisco IDS Host Sensor zapewnia ochronę systemów operacyjnych serwerów i aplikacji pracujących na serwerach. Sensory hostowe są instalowane na każdym serwerze i ochraniają zarówno system operacyjny, jak i aplikacje. System ten stosuje technikę przechwytywania wywołań systemowych zapewniając w ten sposób wyprzedzający system prewencji.
Podstawowe funkcje to:
zapobieganie atakom na system operacyjny na poziomie wywołań systemowych - zanim zostaną wykonane;
zapobieganie atakom typu "przepełnienie bufora" - sensor hostowy rozpoznaje wykonywanie kodu "podrzuconegoÓ;
kontrola integralności - sensor hostowy przegląda system kontrolując dostęp do modułów wykonywalnych systemu, danych konfiguracyjnych i innych obiektów systemowych;
ochrona serwera webowego - sensor serwerowy zawiera specjalne moduły do ochrony serwerów webowych (IIS, Apache, iPlanet);
zabezpieczenia przed atakami w połączeniach szyfrowanych - systemy NIDS nie mogą deszyfrować zleceń HTTP zaszyfrowanych przez SSL. Haker - wykorzystując tę właściwość - może przejść przez system NIDS atakiem szyfrowanym. Zaszyfrowane zlecenie przechodzi przez NIDS i następnie jest deszyfrowane przez serwer webowy i wykonywane. Natomiast sensor hostowy przechwytuje takie zlecenie natychmiast po jego deszyfrowaniu, ale przed jego wykonaniem.
Cisco IDS Host Sensor 2.0 jest dostępny w dwóch wersjach: Standard Edition i Web Edition - oba zapewniają także ochronę antywirusową.
Cisco IDS Network Sensor 3.0 zawiera m.in. mechanizm uaktualnia sygnatur Active Update pozwalający na automatyczną dystrybucję sygnatur.
