Host-Based IDS và Network-Based IDS (Phần 1)
Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau
giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống
phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong
phần hai ca bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức ca
bạn. Nhng thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ
khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các
điểm mạnh cũng như điểm yếu của hệ thống IDS.
Chức năng ca IDS
Hệ thống IDS được sử dụng để tạo sự bảo mật đối vi các gói vào và ra
trong mạng. IDS thường được sử dụng để phát hin gói mng bằng việc
cung cấp cho bạn mt sự hiểu biết về những gì đang thực sự xảy ra trong
mng. hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số
IDS có khnăng phân biệt sự khác nhau giữa các loại lưu lượng mng trên
cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu
HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hthống
Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ
các mã nguy hiểm có thể làm hi mạng ca bạn. Đây là sự nâng cao về công
nghệ mới nhất trong lĩnh vực tường lửa và bởi IDS có các file mu mà
bạn có thể tin chắc rằng các vấn đề gây li mng gn đây nhất sẽ được gii
quyết đối với mng LAN, WAN, WLAN hay PAN ca bạn. HIDS có thể
hoạt động nếu bạn bật hay tắt một mng LAN hoặc mạng được kết nối như
nó cư trú trên một máy tính nội bộ.
Sản phẩm Loại
IDS Giá thành Thông
tin thêm
INTRUST Event
admin Aelita HIDS $599/máy chủ,
$64/máy trạm
Xem tại
đây
ELM 3.0 TNT HIDS $515 cho máy chủ, Xem tại
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
software máy trạm và tác nhân
TCP/IP
đây
GFI LANguard
S.E.L.M HIDS $ 375 cho 2 máy chủ
và 10 máy trạm
Xem tại
đây
Snort ISS NIDS Gói phn mm miễn
phí
Xem tại
đây
Cisco Secure
IDS NIDS Trên $1000 Xem tại
đây
Dragon
Enterasys NIDS Trên $1000 Xem tại
đây
Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu
trong phần 2.
Các thống kê về IDS
• Trên 90% các mng được kết nối đang sử dụng IDS để phát hiện lỗ hổng
bảo mật máy tính.
• 4/7/02, Vin An ninh máy tính đã báo cáo có đến 80% thiệt hii chính
vượt qua 455 triệu đôla b gây ra bởi sự xâm nhập mã nguy him.
• Hàng triung việc bịnh hưởng do sự xâm nhập.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
• Chỉ có 0,1% các công ty đang chi p một khoản tch hợp đối với IDS
• IDS hu như không được biết đến và được nghĩ như một sản phm tường
lửa hoặc mt thành phần thay thế.
• Nếu sử dụng mt phần mm chống virus thì bạn phi xem xét đến việc bổ
sung thêm một IDS cho chiến lược bảo mật của mình. Hu hết các tổ chức
sử dụng phần mềm chống virus không sử dụng IDS.
IDS là một công c chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc
phần mềm chống virus. Các công cụ đó sẽ không có hiệu qunếu được sử
dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin
cậy và kim tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ
chức của bạn ging như việc mặc quần áo được may đo một cách tỉ mỉ.
Nhiều chuyên gia bảo mật mng biết rằng tường lửa là một thành phn cơ
bản đối vi kế hoạch bảo mật toàn diện. H cũng nhận thy rằng IDS là mt
sản phm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của
công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được
đó là loại IDS nào phù hợp vi tổ chức ca hnhất.
Những kẻ xâm nhập có khnăng tch ứng và sau khi hiu rằng có mt IDS
mng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ
thống IDS mng. Với các hthống cảnho, không có cảnh báo nào có th
ngăn chặn được kẻ xâm nhập đột nhập vào hệ thng của bạn, mt cảnh báo
thường chỉ thông báo cho người sở hu tương ứng về những hành vi đang cố
gắng thực hin xâm nhập vào hthống. Cảnh báo có thể phục vụ như một s
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện
các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (h
thống IDS) có khnăng loại bỏ các gói hng mà nó đã nhận dạng theo giống
như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hin virus.
Tất cả các gói đi qua được IDS đều được phân tích và so sánh vi file mẫu
hoặc file dấu hiu để xác nhận rằng nó không phi là file ca kẻ tấnng
đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi
li sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các
chuyên gia nàythể hành động kịp thời chống li kẻ tấn công. Giống như
mt phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nhật
file mu hoặc file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần
phải cập nhật kp thi.
Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập
thông qua một con đường riêng t các đường khác cũng sẽ được chúng thử
mt cách ln lượt. Chính vy chúng ta phải thường xuyên đọc bản ghi và
thông báo để có thể cập nhật được các vấn đề của mng. Nếu thấy xuất hin
các cố gắng xâm nhập từ một ngun cụ thnào đó thì bạn cần phi để ý đến
hành động này. Xem li hệ thống luật để biết được phi làm những là
đúng luật, nhanh chóng đóng các lhổng đối vi hành động cố ý khá hoại và
sớm gii quyết để tránh b những hu quả phức tạp gây ra bởi kẻ tấnng
đối với tổ chức.
Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mng của bạn. Dùng
mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng
duyệt các trang mng ni bộ không an toàn những thông tin nhạy cảm
thbị ăn trộm theo cách này.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com