IDS: Phân biệt Host-Based IDS và Network-Based IDS (Phần 2)

Host-Based IDS và Network-Based IDS (Phần 2)

Trong phần thứ hai của bài viết này chúng tôi sẽ tập

trung vào HIDS và những lợi ích mang lại của HIDS bên

trong môi trường cộng tác. Bên cạnh đó chúng tôi cũng

đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh

vực CNTT có thể tính toán và quyết định chọn giải pháp

HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng của

họ.

HIDS là gì?

HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host). Điều làm nên sự

khác biệt của HIDS so với NIDS là HIDS có thể được cài đặt trên nhiều kiểu máy khác nhau như

các máy chủ, máy trạm làm việc hoặc máy notebook. Phương pháp này giúp các tổ chức linh

động trong khi NIDS không thích hợp hay vượt ra khỏi khả năng của nó.

Các hoạt động của HIDS

Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống

không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường được sử dụng cho

các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng. HIDS thường được sử dụng

cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt

động trong môi trường UNIX và các hệ điều hành khác.

Chọn NIDS hay HIDS?

Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với

mạng của mỗi người nhất? Câu trả lời ở đây là HIDS cho giải pháp trọn vẹn và NIDS cho giải

pháp LAN. Giống như khi cài đặt phần mềm chống virus, không chỉ thực hiện cài đặt phần mềm

trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách. Không có lý do nào giải

thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau trong một chiến lược IDS

mạnh. NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập và chúng tôi chúng thiên về ý nghĩ này. Rõ

ràng cài đặt nhiều nút phát hiện trên mạng của bạn bằng HIDS an toàn nhiều hơn là chỉ có một

NIDS với một vài nút phát hiện chỉ cho một đoạn mạng. Nếu bạn lo lắng về các máy tính cụ thể

có thể bị tấn công thì bạn hãy sử dụng HIDS, khi đó nó sẽ bảo vệ được máy tính của bạn an toàn

hơn và sẽ tương đương như cài đặt một cảnh báo cho bạn.

IDS hỗ trợ bản ghi chi tiết, nhiều sự kiện được ghi lại hàng ngày, bảo đảm rằng chỉ có dữ liệu

thích đáng mới được chọn và bạn không bị ngập lụt trong những dữ liệu không cần thiết. HIDS

ghi lại các sự kiện một cách tỉ mỉ hơn so với NIDS. Nếu bạn đang so sánh giữa HIDS hay NIDS,

bảo đảm rằng bạn sẽ tìm thấy một hãng có kỹ thuật backup tốt và đó là các file mẫu đưa ra khi có

nhiều lỗ hổng mới được phát hiện giống như ứng dụng chống virus. Nếu bạn có một băng tần

LAN hạn chế thì cũng nên xem xét đến HIDS.

Sơ đồ thể hiện kịch bản HIDS

Bảng dưới đây so sánh các chi tiết kỹ thuật chuẩn và các yêu cầu khi chọn một gói IDS.

Sản phẩm

INTRUST

Event

admin

Aelita

ELM 3.0

TNTsoftware

GFI

LANguard

S.E.L.M

Snort

ISS

Cisco

Secure

IDS

Dragon

Enterasys

NIDS/HIDS HIDS HIDS HIDS NIDS NIDS NIDS

Giao diện

quản lý *** *** *** *** ** ****

Phát hiện

tấn công ** *** *** *** *** ****

Dễ dàng

trong sử

dụng

*** *** **** ** ** ***

Giá cả cho

100 máy

trạm làm

việc và 5

máy chủ

$9400

$10,290.00

Giá lấy từ

website

$ 1620 Giá

lấy từ

website

FREE

Gói

phần

mềm

$7,929.79 $6115.89

Độ dễ dàng

trong cài

đặt và triển

khai

*** ** *** * ** ***

Kiến thức *** **** **** * * **

bảo mật

yêu cầu

(càng nhiều

sao nghĩa

là càng ít

kiến thức

bắt buộc)

Khả năng

phát hiện

kẻ tấn công

*** *** *** **** *** ***

Truyền

thông kênh

an toàn

*** * ** --- --- ---

Độ dễ dàng

trong quản

lý các hoạt

động

** *** *** ** *** ****

Chu kỳ

nâng cấp

sản phẩm

** ** * *** ** ****

Khả năng

tương thích

SNMP

*** **** ** ** *** ***

Khả năng

hỗ trợ báo

cáo

**** **** **** *** *** ****

Hiệu suất *** **** **** **** *** ***

Sự thích

hợp với cơ

sở hạ tầng

có sẵn

*** *** *** ** *** ****

Khả năng

thích hợp

trên nền

Windows

*** *** *** *** *** ***

Khả năng

thích hợp

trên nền

Unix

*** * * **** *** ***

Backup và *** *** **** *** *** ****

khả năng

hỗ trợ

Kiểm tra

bản ghi *** **** **** *** ** **

Phát hiện

xâm phạm *** **** **** *** *** ***

Báo cáo sự

việc **** *** *** *** *** ***

Các tác

nhân

ây là trách

nhiệm quản

trị viên. Ít

tác nhân

nghĩa là

càng ít sao

*** * **** **** **** ****

Kết quả 59 57 62 53 61 62

Các giai đoạn lựa chọn IDS

Khi chọn một IDS, cần xem xét một số vấn đề trong việc lập kế hoạch cho IDS. Dưới đây là một

số xem xét mà bạn nên quan tâm:

1. Giai đoạn ý niệm: Giai đoạn này bạn cần phân biệt được các yêu cầu IDS và định nghĩa được

những gì cần thiết đối với doanh nghiệp và làm thế nào IDS có thể tương xứng với những cần

thiết của doanh nghiệp, giai đoạn này cần phải tính đến toàn bộ tài nguyên quan trọng và đưa ra

một chính sách bảo mật.

2. Giai đoạn đánh giá giải pháp: Giai đoạn này phải được sử dụng khi chọn sản phẩm thích hợp

với những cần thiết của doanh nghiệp. Nhân viên CNTT cũng cần được sử dụng diễn đàn kiểm

tra để so sánh phần mềm IDS và kết hợp với giai đoạn khái niệm được sử dụng như thời điểm

kiểm tra cuối cùng khi chọn giải pháp thích hợp nhất.

3. Giai đoạn triển khai và đưa vào hoạt động: Giai đoạn này được sử dụng để thực thi giải pháp

IDS đã chọn và nó phải chạy êm ái nếu kế hoạch được thực hiện là phù hợp. Đây là lúc tất cả

những vướng mắc phải được giải quyết. Giải pháp phải được hoạt động một cách hiệu quả khi

giai đoạn này hoàn tất.

Website và thông tin từ các hãng

Những nhà lãnh đạo lĩnh vực CNTT đã kiểm tra và cho ra các kết quả có tính cạnh tranh cao đối

với các sản phẩm IDS. Dưới đây là những thông tin vắn tắt về sản phẩm và các liên kết đến

Website. Thông tin chi tiết hơn bạn có thể tìm thấy trên chính website của chính các hãng.

1. Intrust

Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động kinh doanh.

Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt vời. Đưa ra với một giao

diện báo cáo với hơn 1.000 báo cáo khác nhau, giúp kiểm soát được các vấn đề phức tạp. Ngoài

ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động

và nhiều công nghệ khác.

1. Tính năng cảnh báo toàn diện

2. Tính năng báo cáo toàn diện

3. Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng

4. Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ mỉ

5. Lọc dữ liệu cho phép xem lại một cách dễ dàng

6. Kiểm tra thời gian thực

7. Phân tích dữ liệu đã được capture

8. Tuân thủ theo các chuẩn công nghiệp

9. Sự bắt buộc theo một nguyên tắc

Thêm thông tin

2. ELM

Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản phẩm được phân

tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra thời gian thực, khả năng

hoạt động toàn diện và phương pháp báo cáo tỉ mỉ. Cơ sở dữ liệu được bổ sung thêm để bảo đảm

cở sở dữ liệu của phần mềm được an toàn. Điều này có nghĩa là nếu cở sở dữ liệu chính ELM

offline thì ELM Server sẽ tự động tạo một cở sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cở sở

dữ liệu chính online trở lại. Dưới đây là một số mô tả vắn tắt về ELM Enterprise Manager 3.0

1. ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt

2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các bản ghi sự

kiện và bộ đếm hiệu suất.

3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ các báo cáo

HTML và ASCII

Host-Based IDS và Network-Based IDS (Phần 2)

Chủ đề:

Tài liệu liên quan

Tài liêu mới

AI tóm tắt

Giới thiệu tài liệu

Đối tượng sử dụng

Từ khoá chính

Nội dung tóm tắt

Hỗ trợ

Phương thức thanh toán

Theo dõi chúng tôi