Tài liệu Host - Based IDS và Network - Based IDS (Phần 1)

Chức năng của IDS

Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong

mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho

bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy

chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân

biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể

chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc

người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80

không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn.

Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì

IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần

đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn.

HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết

nối như nó cư trú trên một máy tính nội bộ.

pdf 19 trang kimcuc 6960
Bạn đang xem tài liệu "Tài liệu Host - Based IDS và Network - Based IDS (Phần 1)", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Tài liệu Host - Based IDS và Network - Based IDS (Phần 1)

Tài liệu Host - Based IDS và Network - Based IDS (Phần 1)
Simpo PDF Merge and Split Unregistered Version - 
 Host-Based IDS và Network-Based IDS (Phần 1) 
 Nguồn : quantrimang.com 
 Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau 
 giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát 
 hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của 
 bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực 
 tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống 
 này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự 
 khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như 
 điểm yếu của hệ thống IDS. 
 Chức năng của IDS 
 Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong 
 mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho 
 bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy 
 chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân 
 biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể 
 chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc 
 người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 
 không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. 
 Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì 
 IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần 
 đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. 
 HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết 
 nối như nó cư trú trên một máy tính nội bộ. 
 Loại Thông tin 
 Sản phẩm Giá thành 
 IDS thêm 
 INTRUST Event $599/máy chủ, $64/máy Xem tại 
 HIDS
 admin Aelita trạm đây 
 $515 cho máy chủ, máy 
 ELM 3.0 TNT Xem tại 
 HIDS trạm và tác nhân 
 software đây 
 TCP/IP 
 GFI LANguard $ 375 cho 2 máy chủ và Xem tại 
 HIDS
 S.E.L.M 10 máy trạm đây 
 Xem tại 
 Snort ISS NIDS Gói phần mềm miễn phí
 đây 
Simpo PDF Merge and Split Unregistered Version - 
 Cisco Secure Xem tại 
 NIDS Trên $1000 
 IDS đây 
 Dragon Xem tại 
 NIDS Trên $1000 
 Enterasys đây 
 Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong 
 phần 2. 
 Các thống kê về IDS 
 • Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo 
 mật máy tính. 
 • 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt 
 qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. 
 • Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. 
 • Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS 
 • IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa 
 hoặc một thành phần thay thế. 
 • Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung 
 thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng 
 phần mềm chống virus không sử dụng IDS. 
 IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần 
 mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách 
 biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra 
 chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ chức của bạn giống 
 như việc mặc quần áo được may đo một cách tỉ mỉ. 
 Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản 
 đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản 
 phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. 
 Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại 
 IDS nào phù hợp với tổ chức của họ nhất. 
 Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS 
 mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ 
 thống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể 
Simpo PDF Merge and Split Unregistered Version - 
 ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo 
 thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố 
 gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự 
 ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện 
 các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ thống 
 IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống như cách 
 mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện virus. Tất cả các gói 
 đi qua được IDS đều được phân tích và so sánh với file mẫu hoặc file dấu hiệu 
 để xác nhận rằng nó không phải là file của kẻ tấn công đang sử dụng. Nếu gói 
 dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi lại sự kiện đó và thông báo 
 ngay lập tức đến chuyên gia bảo mật để các chuyên gia này có thể hành động 
 kịp thời chống lại kẻ tấn công. Giống như một phần mềm chống virus, sản phẩm 
 chỉ hoạt động tốt nếu được cập nhật file mẫu hoặc file chữ dấu hiệu vì vậy IDS 
 của bạn cũng được khuyên cần phải cập nhật kịp thời. 
 Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập thông 
 qua một con đường riêng thì các đường khác cũng sẽ được chúng thử một cách 
 lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và thông báo để 
 có thể cập nhật được các vấn đề của mạng. Nếu thấy xuất hiện các cố gắng 
 xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến hành động này. 
 Xem lại hệ thống luật để biết được phải làm những gì là đúng luật, nhanh chóng 
 đóng các lỗ hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị 
 những hậu quả phức tạp gây ra bởi kẻ tấn công đối với tổ chức. 
 Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng mật 
 khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng duyệt 
 các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có thể bị ăn 
 trộm theo cách này. 
 Thời gian đáp ứng 
 Tất cả đáp ứng của các công ty bảo mật cần 
 phải mau lẹ, chính xác và hiệu quả. Dữ liệu của 
 bạn và quyền sở hữu trí tuệ là tài sản của công 
 ty và chúng cần phải được bảo vệ tránh những 
 kẻ xâm phạm, đựợc thiết lập cảnh báo phải để 
 thông báo kẻ xâm phạm đang cố gắng tìm cách 
 đột nhập vào hệ thống hoặc chuẩn bị ăn cắp 
 thông tin của bạn. Nhiều chuyên gia bảo mật 
 không đối phó được với tấn công mà chỉ đơn thuần cắt mất con đường tấn công 
 của kẻ xâm nhập. Điều này đơn giản đã nhốt được kẻ xâm nhập và nếu kẻ xâm 
 nhập này được xác định thì xâm nhập này sẽ tạo ra các lỗ hổng có thể bị phát 
 hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy tính trong một 
Simpo PDF Merge and Split Unregistered Version - 
 hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS giá thành hợp lý đối 
 với mỗi máy tính. Có một thuận lợi rất lớn cho điều này đặc biệt khi có người 
 dùng trong tập thể đi từ vị trí này sang vị trí khác hoặc những người dùng mang 
 máy tính sách tay của họ về nhà. Lý do cho vấn đề này sẽ là nếu bạn có một 
 HIDS trên máy tính Host giống như máy tính xách tay thì người dùng sẽ được 
 bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang đi du lịch trên khắp thế giới và 
 đang kết nối đến các mạng điều khiển xa bên ngoài kiểm soát của bạn. Đây là 
 một thuận lợi lớn và dễ dàng để thấy được rằng HIDS sẽ giúp đỡ mặc dù người 
 dùng không còn ở phía sau sự bảo mật của NIDS mạng công ty rộng lớn. Sự 
 đáp ứng sẽ mau lẹ và cần đến ít trợ giúp hơn vì HIDS trên máy tính người dùng 
 và bảo đảm cho người dùng trở thành một IDS có thể tự bảo vệ hệ thống cho 
 đến khi người dùng quay trở lại môi trường mạng công ty. 
 NIDS ( Hệ thống phát hiện xâm phạm mạng) 
 Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên 
 các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng 
 chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các 
 gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như 
 mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách 
 như vậy thì không thể mở rộng cổng và điều đó phải cần đến các bộ cảm biến, 
 “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng 
 cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS 
 dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của 
 bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm 
 thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã 
 được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị 
 switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ 
 mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm 
 phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng 
 cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó 
 có thể đột nhập vào mạng của bạn. 
 Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm 
 nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm 
 chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần 
 mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối 
 như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; 
 NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống 
 virus và phải có các file mẫu hoặc file dấu hiệu để so sánh với gói được truyền 
 tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì 
 khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương 
 pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng 
Simpo PDF Merge and Split Unregistered Version - 
 không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý. 
 Lược đồ trên mô tả hệ thống NIDS; nó cho thấy quá trình làm thế nào 
 NIDS có thể so sánh gói nguy hiểm với danh sách file dấu hiệu được lưu 
 bên trong cơ sở dữ liệu. Sơ đồ cũng áp dụng cho HIDS, trên máy tính mà 
 HIDS được cài đặt. 
 Phân tích so sánh giữa HIDS và NIDS 
 Chức năng HIDS NIDS Các đánh giá 
 Bảo vệ trong Cả hai đều bảo vệ bạn khi trong 
 **** **** 
 mạng LAN mạng LAN 
 Bảo vệ ngoài 
 **** - Chỉ có HIDS 
 mạng LAN 
 Dễ dàng cho Tương đương như nhau xét về 
 **** **** 
 việc quản trị bối cảnh quản trị chung 
 Tính linh hoạt **** ** HIDS là hệ thống linh hoạt hơn 
 HIDS là hệ thống ưu tiết kiệm 
 Giá thành *** * 
 hơn nếu chọn đúng sản phẩm 
 Dễ dàng trong 
 **** **** Cả hai tương đương nhau 
 việc bổ sung 
 Đào tạo ngắn HIDS yêu cầu việc đào tạo ít 
 **** ** 
 hạn cần thiết hơn NIDS 
 Tổng giá thành *** ** HIDS tiêu tốn của bạn ít hơn 
Simpo PDF Merge and Split Unregistered Version - 
 Băng tần cần 
 NIDS sử dụng băng tần LAN 
 yêu cầu trong 0 2 
 rộng, còn HIDS thì không 
 LAN 
 NIDS cần 2 yêu cầu băng tần 
 Network 
 1 2 mạng đối với bất kỳ mạng LAN 
 overhead 
 nào 
 Băng tần cần Cả hai đều cần băng tần 
 yêu cầu ** ** Internet để cập nhật kịp thời 
 (Internet) các file mẫu 
 NIDS yêu cầu phải kích hoạt 
 Các yêu cầu về 
 - **** mở rộng cổng để đảm bảo lưu 
 cổng mở rộng 
 lượng LAN của bạn được quét 
 Chu kỳ nâng 
 HIDS nâng cấp tất cả các client 
 cấp cho các **** - 
 với một file mẫu trung tâm 
 client 
 Khả năng thích 
 NIDS có khả năng thích nghi 
 nghi trong các ** **** 
 trong các nền ứng dụng hơn 
 nền ứng dụng 
 Chế độ quét Chỉ HIDS mới có thể thực hiện 
 **** - 
 thanh ghi cục bộ các kiểu quét này 
 Cả hai hệ thống đề có chức 
 Bản ghi *** *** 
 năng bản ghi 
 Cả hai hệ thống đều có chức 
 Chức năng cảnh 
 *** *** năng cảnh báo cho từng cá 
 báo 
 nhân và quản trị viên 
 Chỉ có HIDS quét các vùng 
 Quét PAN **** - 
 mạng cá nhân của bạn 
 Chỉ các tính năng NIDS mới có 
 Loại bỏ gói tin - **** 
 phương thức này 
 Cần nhiều kiến thức chuyên 
 Kiến thức môn khi cài đặt và sử dụng 
 *** **** 
 chuyên môn NIDS đối với toàn bộ vấn đề 
 bảo mật mạng của bạn 
 Quản lý tập 
 ** *** NIDS có chiếm ưu thế hơn 
 trung 
 Khả năng vô * **** NIDS có hệ số rủi ro nhiều hơn 
Simpo PDF Merge and Split Unregistered Version - 
 hiệu hóa các hệ so với HIDS 
 số rủi ro 
 Rõ ràng khả năng nâng cấp 
 phần mềm là dễ hơn phần 
 Khả năng cập 
 *** *** cứng. HIDS có thể được nâng 
 nhật 
 cấp thông qua script được tập 
 trung 
 Các nút phát HIDS có khả năng phát hiện 
 hiện nhiều đoạn **** ** theo nhiều đoạn mạng toàn 
 mạng LAN diện hơn 
 HIDS (Hệ thống phát hiện xâm phạm máy chủ) 
 HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn 
 nhiều so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác 
 nhau cụ thể như các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn 
 thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện 
 được. Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng 
 không tiềm ẩn mã nguy hiểm. HIDS ưu việt hơn NIDS ở việc thay đổi các máy 
 tính cục bộ. Trong khi đó NIDS tập trung vào cả mạng lớn có các host đó. HIDS 
 cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh mẽ cho thị trường 
 Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động 
 trong nền ứng dụng UNIX và nhiều hệ điều hành khác. 
 Câu hỏi cho NIDS hay HIDS? 
 Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS 
 cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi quản lý một giải 
 pháp HIDS nó yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại 
 yêu cầu nhiều đến sự quan tâm của bạn. 
 Mặc dù vậy cần phải nhấn mạnh ở đây rằng nếu bạn cài đặt phần mềm chống 
 virus không chỉ trên tường lửa của bạn mà nó còn được cài đặt trên tất cả các 
 client. Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng 
 kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận thấy rằng NIDS 
 dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút phát 
 hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS 
 với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến 
 các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ 
 là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh 
 báo an toàn cho bạn. 
Simpo PDF Merge and Split Unregistered Version - 
 IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm 
 chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ 
 liệu không cần thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử 
 dụng một tài khoản để ghi cho tất cả máy trên mạng. Nếu đang xem xét HIDS 
 hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu 
 và kỹ thuật backup khi có lỗ hổng mới. Nếu có một băng tần LAN hạn chế thì 
 bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề thì bạn cũng nên xem xét 
 đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với HIDS. 
 Sơ đồ trên biểu diễn kịch bản NIDS điển hình, trên đó có một tấn công 
 đang cố gắng tạo đường lưu lượng thông qua thiết bị NIDS trên mạng. 
 Thiết bị màu đỏ biểu thị nơi NIDS được cài đặt. 
Simpo PDF Merge and Split Unregistered Version - 
 HIDS là một giải pháp toàn diện hơn và cho thấy sự mạnh mẽ hơn trong 
 các môi trường mạng. Nó không quan tâm đến vị trí các máy tính đặt ở 
 đâu và được bảo vệ mọi lúc. Các máy màu vàng thể hiện nơi HIDS được 
 cài đặt. 
 Kết luận 
 Nếu bạn không nhanh hơn những kẻ tấn công một bước thì kẻ tấn công sẽ 
 nhanh chóng phát hiện ra điểm yếu của bạn và tấn công. NIDS hoặc HIDS hoàn 
 toàn có thể bảo vệ trong trường hợp bạn lỡ mất bước quan trọng này, đó là 
 những gì bạn không hay biết mà kẻ tấn công lại biết rất rõ ràng. Việc tìm ứng 
 dụng phù hợp là một nhiệm vụ không dễ dàng và chúng tôi sẽ cung cấp cho các 
 tài liệu hướng dẫn về chủ đề này để thông qua đó bạn có thể biết được khi nào 
 lựa chọn đúng sản phẩm cho tổ chức của mình. Mạng máy tính ngày nay chứa 
 rất nhiều mối nguy hiểm, có vô số kẻ xấu đang chống lại các chiến lược an ninh 
 bảo mật. Chỉ có một cách để đối phó với chúng là phải biết được chúng đang 
 thử nghiệm các tấn công gì và chống lại được các tấn công đó. Chiến lược là 
 chìa khóa và việc lựa chọn đúng chiến lược sẽ là một cách tốt để bảo đảm rằng 
 mạng của bạn được duy trì an toàn. Thông tin mà chúng tôi đã chia sẻ trong bài 
 này sẽ giúp bạn tạo các quyết định phù hợp khi chọn NIDS hay HIDS cho mạng. 
Simpo PDF Merge and Split Unregistered Version - 
 Host-Based IDS và Network-Based IDS (Phần 2) 
 Nguồn : quantrimang.com 
 Trong phần thứ hai của bài viết này chúng tôi sẽ tập trung vào HIDS và 
 những lợi ích mang lại của HIDS bên trong môi trường cộng tác. Bên cạnh 
 đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh 
 vực CNTT có thể tính toán và quyết định chọn giải pháp HIDS hoặc NIDS 
 sao cho phù hợp với tổ chức mạng của họ. 
 HIDS là gì? 
 HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host). 
 Điều làm nên sự khác biệt của HIDS so với NIDS là HIDS có thể được cài đặt 
 trên nhiều kiểu máy khác nhau như các máy chủ, máy trạm làm việc hoặc máy 
 notebook. Phương pháp này giúp các tổ chức linh động trong khi NIDS không 
 thích hợp hay vượt ra khỏi khả năng của nó. 
 Các hoạt động của HIDS 
 Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host 
 nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. 
 HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó NIDS được 
 dùng cho cả một mạng. HIDS thường được sử dụng cho nền Windows trong thế 
 giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong 
 môi trường UNIX và các hệ điều hành khác. 
 Chọn NIDS hay HIDS? 
 Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế nào để 
 phù hợp với mạng của mỗi người nhất? Câu trả lời ở đây là HIDS cho giải pháp 
 trọn vẹn và NIDS cho giải pháp LAN. Giống như khi cài đặt phần mềm chống 
 virus, không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải 
 cài đặt trên tất cả các máy khách. Không có lý do nào giải thích tại sao cả NIDS 
 và HIDS không được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. 
 NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập và chúng tôi chúng thiên về ý nghĩ 
 này. Rõ ràng cài đặt nhiều nút phát hiện trên mạng của bạn bằng HIDS an toàn 
 nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ cho một đoạn mạng. 
 Nếu bạn lo lắng về các máy tính cụ thể có thể bị tấn công thì bạn hãy sử dụng 
 HIDS, khi đó nó sẽ bảo vệ được máy tính của bạn an toàn hơn và sẽ tương 
 đương như cài đặt một cảnh báo cho bạn. 
 IDS hỗ trợ bản ghi chi tiết, nhiều sự kiện được ghi lại hàng ngày, bảo đảm rằng 
Simpo PDF Merge and Split Unregistered Version - 
 chỉ có dữ liệu thích đáng mới được chọn và bạn không bị ngập lụt trong những 
 dữ liệu không cần thiết. HIDS ghi lại các sự kiện một cách tỉ mỉ hơn so với NIDS. 
 Nếu bạn đang so sánh giữa HIDS hay NIDS, bảo đảm rằng bạn sẽ tìm thấy một 
 hãng có kỹ thuật backup tốt và đó là các file mẫu đưa ra khi có nhiều lỗ hổng 
 mới được phát hiện giống như ứng dụng chống virus. Nếu bạn có một băng tần 
 LAN hạn chế thì cũng nên xem xét đến HIDS. 
 Sơ đồ thể hiện kịch bản HIDS 
 Bảng dưới đây so sánh các chi tiết kỹ thuật chuẩn và các yêu cầu khi chọn một 
 gói IDS. 
 INTRUST 
 GFI Cisco 
 Event ELM 3.0 Snort Dragon 
 Sản phẩm LANguard Secure 
 admin TNTsoftware ISS Enterasys
 S.E.L.M IDS 
 Aelita 
 NIDS/HIDS HIDS HIDS HIDS NIDS NIDS NIDS 
 Giao diện 
 *** *** *** *** ** **** 
 quản lý 
 Phát hiện 
 ** *** *** *** *** **** 
 tấn công 
 Dễ dàng 
 trong sử *** *** **** ** ** *** 
 dụng 
 Giá cả cho $9400 $10,290.00 $ 1620 FREE $7,929.79 $6115.89 
Simpo PDF Merge and Split Unregistered Version - 
 100 máy Giá lấy từ Giá lấy từ Gói 
 trạm làm website website phần 
 việc và 5 mềm
 máy chủ 
 Độ dễ 
 dàng 
 trong cài *** ** *** * ** *** 
 đặt và 
 triển khai 
 Kiến thức 
 bảo mật 
 yêu cầu 
 (càng 
 nhiều sao *** **** **** * * ** 
 nghĩa là 
 càng ít 
 kiến thức 
 bắt buộc) 
 Khả năng 
 phát hiện 
 *** *** *** **** *** *** 
 kẻ tấn 
 công 
 Truyền 
 thông 
 *** * ** --- --- --- 
 kênh an 
 toàn 
 Độ dễ 
 dàng 
 trong 
 ** *** *** ** *** **** 
 quản lý 
 các hoạt 
 động 
 Chu kỳ 
 nâng cấp ** ** * *** ** **** 
 sản phẩm 
 Khả năng 
 tương 
 *** **** ** ** *** *** 
 thích 
 SNMP 
Simpo PDF Merge and Split Unregistered Version - 
 Khả năng 
 hỗ trợ báo **** **** **** *** *** **** 
 cáo 
 Hiệu suất *** **** **** **** *** *** 
 Sự thích 
 hợp với 
 cơ sở hạ *** *** *** ** *** **** 
 tầng có 
 sẵn 
 Khả năng 
 thích hợp 
 *** *** *** *** *** *** 
 trên nền 
 Windows 
 Khả năng 
 thích hợp 
 *** * * **** *** *** 
 trên nền 
 Unix 
 Backup và 
 khả năng *** *** **** *** *** **** 
 hỗ trợ 
 Kiểm tra 
 *** **** **** *** ** ** 
 bản ghi 
 Phát hiện 
 *** **** **** *** *** *** 
 xâm phạm 
 Báo cáo 
 **** *** *** *** *** *** 
 sự việc 
 Các tác 
 nhân 
 Đây là 
 trách 
 nhiệm 
 *** * **** **** **** **** 
 quản trị 
 viên. Ít tác 
 nhân 
 nghĩa là 
 càng ít 
 sao 
Simpo PDF Merge and Split Unregistered Version - 
 Kết quả 59 57 62 53 61 62 
 Các giai đoạn lựa chọn IDS 
 Khi chọn một IDS, cần xem xét một số vấn đề trong việc lập kế hoạch cho IDS. 
 Dưới đây là một số xem xét mà bạn nên quan tâm: 
 1. Giai đoạn ý niệm: Giai đoạn này bạn cần phân biệt được các yêu cầu IDS và 
 định nghĩa được những gì cần thiết đối với doanh nghiệp và làm thế nào IDS có 
 thể tương xứng với những cần thiết của doanh nghiệp, giai đoạn này cần phải 
 tính đến toàn bộ tài nguyên quan trọng và đưa ra một chính sách bảo mật. 
 2. Giai đoạn đánh giá giải pháp: Giai đoạn này phải được sử dụng khi chọn sản 
 phẩm thích hợp với những cần thiết của doanh nghiệp. Nhân viên CNTT cũng 
 cần được sử dụng diễn đàn kiểm tra để so sánh phần mềm IDS và kết hợp với 
 giai đoạn khái niệm được sử dụng như thời điểm kiểm tra cuối cùng khi chọn giải 
 pháp thích hợp nhất. 
 3. Giai đoạn triển khai và đưa vào hoạt động: Giai đoạn này được sử dụng để 
 thực thi giải pháp IDS đã chọn và nó phải chạy êm ái nếu kế hoạch được thực 
 hiện là phù hợp. Đây là lúc tất cả những vướng mắc phải được giải quyết. Giải 
 pháp phải được hoạt động một cách hiệu quả khi giai đoạn này hoàn tất. 
 Website và thông tin từ các hãng 
 Những nhà lãnh đạo lĩnh vực CNTT đã kiểm tra và cho ra các kết quả có tính 
 cạnh tranh cao đối với các sản phẩm IDS. Dưới đây là những thông tin vắn tắt 
 về sản phẩm và các liên kết đến Website. Thông tin chi tiết hơn bạn có thể tìm 
 thấy trên chính website của chính các hãng. 
 1. Intrust 
 Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt 
 động kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh 
 hoạt tuyệt vời. Đưa ra với một giao diện báo cáo với hơn 1.000 báo cáo khác 
 nhau, giúp kiểm soát được các vấn đề phức tạp. Ngoài ra nó cũng hỗ trợ một 
 giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động và 
 nhiều công nghệ khác. 
 1. Tính năng cảnh báo toàn diện 
 2. Tính năng báo cáo toàn diện 
Simpo PDF Merge and Split Unregistered Version - 
 3. Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng 
 4. Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ 
 mỉ 
 5. Lọc dữ liệu cho phép xem lại một cách dễ dàng 
 6. Kiểm tra thời gian thực 
 7. Phân tích dữ liệu đã được capture 
 8. Tuân thủ theo các chuẩn công nghiệp 
 9. Sự bắt buộc theo một nguyên tắc 
 Thêm thông tin 
 2. ELM 
 Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản 
 phẩm được phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc 
 kiểm tra thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo 
 tỉ mỉ. Cơ sở dữ liệu được bổ sung thêm để bảo đảm cơ sở dữ liệu của phần 
 mềm được an toàn. Điều này có nghĩa là nếu cơ sở dữ liệu chính ELM offline thì 
 ELM Server sẽ tự động tạo một cơ sở dữ liệu tạm thời để lưu dữ liệu cho đến khi 
 cơ sở dữ liệu chính online trở lại. Dưới đây là một số mô tả vắn tắt về ELM 
 Enterprise Manager 3.0 
 1. ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt 
 2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các 
 bản ghi sự kiện và bộ đếm hiệu suất. 
 3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ 
 trợ các báo cáo HTML và ASCII 
 4. Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ 
 5. Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML 
 6. Hỗ trợ giao diện kiến thức cơ sở 
Simpo PDF Merge and Split Unregistered Version - 
 7. Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT. 
 8. Hỗ trợ cơ sở dữ liệu SQL Server và Oracle. 
 9. Các truy vấn tương thích WMI cho mục đích so sánh 
 10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhập 
 Thêm thông tin 
 3. GFI LANguard S.E.L.M 
 Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho 
 việc cài đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M. 
 1. Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự 
 kiện 
 2. Quản lý bản ghi sự kiện mạng 
 3. Phát hiện nâng cao các tấn công bên trong 
 4. Giảm TOC 
 5. Không cần đến phần mềm client hoặc các tác nhân 
 6. Không ảnh hưởng đến lưu lượng mạng 
 7. Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng nhỏ 
 8. Bộ kiểm tra file mật 
 9. Kiểm tra bản ghi toàn diện 
 10. Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng (online hoặc 
 offline) 
 Thêm thông tin 
 4. Snort 
 Snort là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động 
 trong môi trường UNIX. Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ 
Simpo PDF Merge and Split Unregistered Version - 
 nền Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản 
 phẩm này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ 
 thời gian và băng tần cần thiết để tải nó. Giải pháp này đã được phát triển bởi 
 nhiều người và nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm 
 cho nó có thể tồn tại được trong bất kỳ tổ chức nào. 
 Dưới đây là những thông tin vắn tắt về sản phẩm này: 
 1. Hỗ trợ cấu hình hiệu suất cao trong phần mềm 
 2. Hỗ trợ tốt cho UNIX 
 3. Hỗ trợ mã nguồn mở linh hoạt 
 4. Hỗ trợ tốt SNMP 
 5. Hỗ trợ mô đun quản lý tập trung 
 6. Hỗ trợ việc cảnh báo và phát hiện xâm phạm 
 7. Có các gói bản ghi 
 8. Phát hiện tấn công toàn diện 
 9. Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện 
 10. Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email 
 Thêm thông tin 
 5. Cisco IDS 
 Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm 
 nhận cũng như danh tiếng truyền thống của nó. 
 Dưới đây là những thông tin vắn tắt về thiết bị này: 
 1. Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai. 
 2. Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco 
 3. Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành 
 động trái phép 
Simpo PDF Merge and Split Unregistered Version - 
 4. Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau
 5. Cho hiệu suất mạng cao 
 6. Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của 
 kẻ xâm nhập 
 7. Quản lý GUI tập trung 
 8. Quản lý từ xa 
 9. Email thông báo sự kiện 
 Thêm thông tin 
 6. Dragon 
 Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và 
 có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó 
 cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là 
 một giải phát IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích 
 hợp. Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả của nó. 
 Dưới đây là những thông tin vắn tắt về Dragon (Phiên bản hoạt động kinh 
 doanh) 
 1. Dragon hỗ trợ cả NIDS và HIDS 
 2. Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX 
 3. Được mô đun hóa và có thể mở rộng 
 4. Kiểm tra quản lý tập trung 
 5. Phân tích và báo cáo toàn diện 
 6. Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh 
 7. Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router. 
 8. Quản lý biên dịch báo cáo 
Simpo PDF Merge and Split Unregistered Version - 
 9. Có chu kỳ cập nhật chữ kỹ hoàn hảo 
 Thêm thông tin 
 Kết luận 
 Khi đưa ra kết luận về các sản phẩm này thì rõ ràng có hai đối thủ chính trong 
 lĩnh vực CNTT đó là Dragon NIDS của Enterasys và LANguard S.E.L.M của GFI 
 Software. Cả hai sản phẩm này đều được đánh giá cao trên thị trường với các 
 khả năng và sự hỗ trợ trực tuyến của nó. Khi xem xét và đánh giá phần mềm 
 chúng ta cần phải đưa ra các kiểm tra, cả hai sản phẩm ở đây đều không xảy ra 
 vấn đề gì và có một sự tích hợp hài hòa với cơ sở hạ tầng mạng Windows. Điều 
 đó cho thấy rõ rằng tại sao các sản phẩm này được đánh giá rất cao trong lĩnh 
 vực CNTT. Mặc dù vậy các sản phẩm khác cũng không quá yếu thế so với hai 
 sản phẩm trên và chúng hoàn toàn có thể bắt kịp hai sản phẩm đó trong một 
 tương lai gần. 

File đính kèm:

  • pdftai_lieu_host_based_ids_va_network_based_ids_phan_1.pdf