Tài liệu Host - Based IDS và Network - Based IDS (Phần 1)
Chức năng của IDS
Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong
mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho
bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy
chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân
biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể
chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc
người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80
không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn.
Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì
IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần
đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn.
HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết
nối như nó cư trú trên một máy tính nội bộ.
Tóm tắt nội dung tài liệu: Tài liệu Host - Based IDS và Network - Based IDS (Phần 1)
Simpo PDF Merge and Split Unregistered Version - Host-Based IDS và Network-Based IDS (Phần 1) Nguồn : quantrimang.com Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS. Chức năng của IDS Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối như nó cư trú trên một máy tính nội bộ. Loại Thông tin Sản phẩm Giá thành IDS thêm INTRUST Event $599/máy chủ, $64/máy Xem tại HIDS admin Aelita trạm đây $515 cho máy chủ, máy ELM 3.0 TNT Xem tại HIDS trạm và tác nhân software đây TCP/IP GFI LANguard $ 375 cho 2 máy chủ và Xem tại HIDS S.E.L.M 10 máy trạm đây Xem tại Snort ISS NIDS Gói phần mềm miễn phí đây Simpo PDF Merge and Split Unregistered Version - Cisco Secure Xem tại NIDS Trên $1000 IDS đây Dragon Xem tại NIDS Trên $1000 Enterasys đây Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2. Các thống kê về IDS • Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. • 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. • Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. • Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS • IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thành phần thay thế. • Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS. IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ. Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại IDS nào phù hợp với tổ chức của họ nhất. Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ thống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể Simpo PDF Merge and Split Unregistered Version - ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ thống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện virus. Tất cả các gói đi qua được IDS đều được phân tích và so sánh với file mẫu hoặc file dấu hiệu để xác nhận rằng nó không phải là file của kẻ tấn công đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi lại sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các chuyên gia này có thể hành động kịp thời chống lại kẻ tấn công. Giống như một phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nhật file mẫu hoặc file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần phải cập nhật kịp thời. Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập thông qua một con đường riêng thì các đường khác cũng sẽ được chúng thử một cách lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và thông báo để có thể cập nhật được các vấn đề của mạng. Nếu thấy xuất hiện các cố gắng xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến hành động này. Xem lại hệ thống luật để biết được phải làm những gì là đúng luật, nhanh chóng đóng các lỗ hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị những hậu quả phức tạp gây ra bởi kẻ tấn công đối với tổ chức. Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng duyệt các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có thể bị ăn trộm theo cách này. Thời gian đáp ứng Tất cả đáp ứng của các công ty bảo mật cần phải mau lẹ, chính xác và hiệu quả. Dữ liệu của bạn và quyền sở hữu trí tuệ là tài sản của công ty và chúng cần phải được bảo vệ tránh những kẻ xâm phạm, đựợc thiết lập cảnh báo phải để thông báo kẻ xâm phạm đang cố gắng tìm cách đột nhập vào hệ thống hoặc chuẩn bị ăn cắp thông tin của bạn. Nhiều chuyên gia bảo mật không đối phó được với tấn công mà chỉ đơn thuần cắt mất con đường tấn công của kẻ xâm nhập. Điều này đơn giản đã nhốt được kẻ xâm nhập và nếu kẻ xâm nhập này được xác định thì xâm nhập này sẽ tạo ra các lỗ hổng có thể bị phát hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy tính trong một Simpo PDF Merge and Split Unregistered Version - hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS giá thành hợp lý đối với mỗi máy tính. Có một thuận lợi rất lớn cho điều này đặc biệt khi có người dùng trong tập thể đi từ vị trí này sang vị trí khác hoặc những người dùng mang máy tính sách tay của họ về nhà. Lý do cho vấn đề này sẽ là nếu bạn có một HIDS trên máy tính Host giống như máy tính xách tay thì người dùng sẽ được bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang đi du lịch trên khắp thế giới và đang kết nối đến các mạng điều khiển xa bên ngoài kiểm soát của bạn. Đây là một thuận lợi lớn và dễ dàng để thấy được rằng HIDS sẽ giúp đỡ mặc dù người dùng không còn ở phía sau sự bảo mật của NIDS mạng công ty rộng lớn. Sự đáp ứng sẽ mau lẹ và cần đến ít trợ giúp hơn vì HIDS trên máy tính người dùng và bảo đảm cho người dùng trở thành một IDS có thể tự bảo vệ hệ thống cho đến khi người dùng quay trở lại môi trường mạng công ty. NIDS ( Hệ thống phát hiện xâm phạm mạng) Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng cổng và điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn. Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng Simpo PDF Merge and Split Unregistered Version - không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý. Lược đồ trên mô tả hệ thống NIDS; nó cho thấy quá trình làm thế nào NIDS có thể so sánh gói nguy hiểm với danh sách file dấu hiệu được lưu bên trong cơ sở dữ liệu. Sơ đồ cũng áp dụng cho HIDS, trên máy tính mà HIDS được cài đặt. Phân tích so sánh giữa HIDS và NIDS Chức năng HIDS NIDS Các đánh giá Bảo vệ trong Cả hai đều bảo vệ bạn khi trong **** **** mạng LAN mạng LAN Bảo vệ ngoài **** - Chỉ có HIDS mạng LAN Dễ dàng cho Tương đương như nhau xét về **** **** việc quản trị bối cảnh quản trị chung Tính linh hoạt **** ** HIDS là hệ thống linh hoạt hơn HIDS là hệ thống ưu tiết kiệm Giá thành *** * hơn nếu chọn đúng sản phẩm Dễ dàng trong **** **** Cả hai tương đương nhau việc bổ sung Đào tạo ngắn HIDS yêu cầu việc đào tạo ít **** ** hạn cần thiết hơn NIDS Tổng giá thành *** ** HIDS tiêu tốn của bạn ít hơn Simpo PDF Merge and Split Unregistered Version - Băng tần cần NIDS sử dụng băng tần LAN yêu cầu trong 0 2 rộng, còn HIDS thì không LAN NIDS cần 2 yêu cầu băng tần Network 1 2 mạng đối với bất kỳ mạng LAN overhead nào Băng tần cần Cả hai đều cần băng tần yêu cầu ** ** Internet để cập nhật kịp thời (Internet) các file mẫu NIDS yêu cầu phải kích hoạt Các yêu cầu về - **** mở rộng cổng để đảm bảo lưu cổng mở rộng lượng LAN của bạn được quét Chu kỳ nâng HIDS nâng cấp tất cả các client cấp cho các **** - với một file mẫu trung tâm client Khả năng thích NIDS có khả năng thích nghi nghi trong các ** **** trong các nền ứng dụng hơn nền ứng dụng Chế độ quét Chỉ HIDS mới có thể thực hiện **** - thanh ghi cục bộ các kiểu quét này Cả hai hệ thống đề có chức Bản ghi *** *** năng bản ghi Cả hai hệ thống đều có chức Chức năng cảnh *** *** năng cảnh báo cho từng cá báo nhân và quản trị viên Chỉ có HIDS quét các vùng Quét PAN **** - mạng cá nhân của bạn Chỉ các tính năng NIDS mới có Loại bỏ gói tin - **** phương thức này Cần nhiều kiến thức chuyên Kiến thức môn khi cài đặt và sử dụng *** **** chuyên môn NIDS đối với toàn bộ vấn đề bảo mật mạng của bạn Quản lý tập ** *** NIDS có chiếm ưu thế hơn trung Khả năng vô * **** NIDS có hệ số rủi ro nhiều hơn Simpo PDF Merge and Split Unregistered Version - hiệu hóa các hệ so với HIDS số rủi ro Rõ ràng khả năng nâng cấp phần mềm là dễ hơn phần Khả năng cập *** *** cứng. HIDS có thể được nâng nhật cấp thông qua script được tập trung Các nút phát HIDS có khả năng phát hiện hiện nhiều đoạn **** ** theo nhiều đoạn mạng toàn mạng LAN diện hơn HIDS (Hệ thống phát hiện xâm phạm máy chủ) HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hiểm. HIDS ưu việt hơn NIDS ở việc thay đổi các máy tính cục bộ. Trong khi đó NIDS tập trung vào cả mạng lớn có các host đó. HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác. Câu hỏi cho NIDS hay HIDS? Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi quản lý một giải pháp HIDS nó yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại yêu cầu nhiều đến sự quan tâm của bạn. Mặc dù vậy cần phải nhấn mạnh ở đây rằng nếu bạn cài đặt phần mềm chống virus không chỉ trên tường lửa của bạn mà nó còn được cài đặt trên tất cả các client. Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn. Simpo PDF Merge and Split Unregistered Version - IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi cho tất cả máy trên mạng. Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới. Nếu có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với HIDS. Sơ đồ trên biểu diễn kịch bản NIDS điển hình, trên đó có một tấn công đang cố gắng tạo đường lưu lượng thông qua thiết bị NIDS trên mạng. Thiết bị màu đỏ biểu thị nơi NIDS được cài đặt. Simpo PDF Merge and Split Unregistered Version - HIDS là một giải pháp toàn diện hơn và cho thấy sự mạnh mẽ hơn trong các môi trường mạng. Nó không quan tâm đến vị trí các máy tính đặt ở đâu và được bảo vệ mọi lúc. Các máy màu vàng thể hiện nơi HIDS được cài đặt. Kết luận Nếu bạn không nhanh hơn những kẻ tấn công một bước thì kẻ tấn công sẽ nhanh chóng phát hiện ra điểm yếu của bạn và tấn công. NIDS hoặc HIDS hoàn toàn có thể bảo vệ trong trường hợp bạn lỡ mất bước quan trọng này, đó là những gì bạn không hay biết mà kẻ tấn công lại biết rất rõ ràng. Việc tìm ứng dụng phù hợp là một nhiệm vụ không dễ dàng và chúng tôi sẽ cung cấp cho các tài liệu hướng dẫn về chủ đề này để thông qua đó bạn có thể biết được khi nào lựa chọn đúng sản phẩm cho tổ chức của mình. Mạng máy tính ngày nay chứa rất nhiều mối nguy hiểm, có vô số kẻ xấu đang chống lại các chiến lược an ninh bảo mật. Chỉ có một cách để đối phó với chúng là phải biết được chúng đang thử nghiệm các tấn công gì và chống lại được các tấn công đó. Chiến lược là chìa khóa và việc lựa chọn đúng chiến lược sẽ là một cách tốt để bảo đảm rằng mạng của bạn được duy trì an toàn. Thông tin mà chúng tôi đã chia sẻ trong bài này sẽ giúp bạn tạo các quyết định phù hợp khi chọn NIDS hay HIDS cho mạng. Simpo PDF Merge and Split Unregistered Version - Host-Based IDS và Network-Based IDS (Phần 2) Nguồn : quantrimang.com Trong phần thứ hai của bài viết này chúng tôi sẽ tập trung vào HIDS và những lợi ích mang lại của HIDS bên trong môi trường cộng tác. Bên cạnh đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh vực CNTT có thể tính toán và quyết định chọn giải pháp HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng của họ. HIDS là gì? HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host). Điều làm nên sự khác biệt của HIDS so với NIDS là HIDS có thể được cài đặt trên nhiều kiểu máy khác nhau như các máy chủ, máy trạm làm việc hoặc máy notebook. Phương pháp này giúp các tổ chức linh động trong khi NIDS không thích hợp hay vượt ra khỏi khả năng của nó. Các hoạt động của HIDS Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng. HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác. Chọn NIDS hay HIDS? Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với mạng của mỗi người nhất? Câu trả lời ở đây là HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN. Giống như khi cài đặt phần mềm chống virus, không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách. Không có lý do nào giải thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập và chúng tôi chúng thiên về ý nghĩ này. Rõ ràng cài đặt nhiều nút phát hiện trên mạng của bạn bằng HIDS an toàn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ cho một đoạn mạng. Nếu bạn lo lắng về các máy tính cụ thể có thể bị tấn công thì bạn hãy sử dụng HIDS, khi đó nó sẽ bảo vệ được máy tính của bạn an toàn hơn và sẽ tương đương như cài đặt một cảnh báo cho bạn. IDS hỗ trợ bản ghi chi tiết, nhiều sự kiện được ghi lại hàng ngày, bảo đảm rằng Simpo PDF Merge and Split Unregistered Version - chỉ có dữ liệu thích đáng mới được chọn và bạn không bị ngập lụt trong những dữ liệu không cần thiết. HIDS ghi lại các sự kiện một cách tỉ mỉ hơn so với NIDS. Nếu bạn đang so sánh giữa HIDS hay NIDS, bảo đảm rằng bạn sẽ tìm thấy một hãng có kỹ thuật backup tốt và đó là các file mẫu đưa ra khi có nhiều lỗ hổng mới được phát hiện giống như ứng dụng chống virus. Nếu bạn có một băng tần LAN hạn chế thì cũng nên xem xét đến HIDS. Sơ đồ thể hiện kịch bản HIDS Bảng dưới đây so sánh các chi tiết kỹ thuật chuẩn và các yêu cầu khi chọn một gói IDS. INTRUST GFI Cisco Event ELM 3.0 Snort Dragon Sản phẩm LANguard Secure admin TNTsoftware ISS Enterasys S.E.L.M IDS Aelita NIDS/HIDS HIDS HIDS HIDS NIDS NIDS NIDS Giao diện *** *** *** *** ** **** quản lý Phát hiện ** *** *** *** *** **** tấn công Dễ dàng trong sử *** *** **** ** ** *** dụng Giá cả cho $9400 $10,290.00 $ 1620 FREE $7,929.79 $6115.89 Simpo PDF Merge and Split Unregistered Version - 100 máy Giá lấy từ Giá lấy từ Gói trạm làm website website phần việc và 5 mềm máy chủ Độ dễ dàng trong cài *** ** *** * ** *** đặt và triển khai Kiến thức bảo mật yêu cầu (càng nhiều sao *** **** **** * * ** nghĩa là càng ít kiến thức bắt buộc) Khả năng phát hiện *** *** *** **** *** *** kẻ tấn công Truyền thông *** * ** --- --- --- kênh an toàn Độ dễ dàng trong ** *** *** ** *** **** quản lý các hoạt động Chu kỳ nâng cấp ** ** * *** ** **** sản phẩm Khả năng tương *** **** ** ** *** *** thích SNMP Simpo PDF Merge and Split Unregistered Version - Khả năng hỗ trợ báo **** **** **** *** *** **** cáo Hiệu suất *** **** **** **** *** *** Sự thích hợp với cơ sở hạ *** *** *** ** *** **** tầng có sẵn Khả năng thích hợp *** *** *** *** *** *** trên nền Windows Khả năng thích hợp *** * * **** *** *** trên nền Unix Backup và khả năng *** *** **** *** *** **** hỗ trợ Kiểm tra *** **** **** *** ** ** bản ghi Phát hiện *** **** **** *** *** *** xâm phạm Báo cáo **** *** *** *** *** *** sự việc Các tác nhân Đây là trách nhiệm *** * **** **** **** **** quản trị viên. Ít tác nhân nghĩa là càng ít sao Simpo PDF Merge and Split Unregistered Version - Kết quả 59 57 62 53 61 62 Các giai đoạn lựa chọn IDS Khi chọn một IDS, cần xem xét một số vấn đề trong việc lập kế hoạch cho IDS. Dưới đây là một số xem xét mà bạn nên quan tâm: 1. Giai đoạn ý niệm: Giai đoạn này bạn cần phân biệt được các yêu cầu IDS và định nghĩa được những gì cần thiết đối với doanh nghiệp và làm thế nào IDS có thể tương xứng với những cần thiết của doanh nghiệp, giai đoạn này cần phải tính đến toàn bộ tài nguyên quan trọng và đưa ra một chính sách bảo mật. 2. Giai đoạn đánh giá giải pháp: Giai đoạn này phải được sử dụng khi chọn sản phẩm thích hợp với những cần thiết của doanh nghiệp. Nhân viên CNTT cũng cần được sử dụng diễn đàn kiểm tra để so sánh phần mềm IDS và kết hợp với giai đoạn khái niệm được sử dụng như thời điểm kiểm tra cuối cùng khi chọn giải pháp thích hợp nhất. 3. Giai đoạn triển khai và đưa vào hoạt động: Giai đoạn này được sử dụng để thực thi giải pháp IDS đã chọn và nó phải chạy êm ái nếu kế hoạch được thực hiện là phù hợp. Đây là lúc tất cả những vướng mắc phải được giải quyết. Giải pháp phải được hoạt động một cách hiệu quả khi giai đoạn này hoàn tất. Website và thông tin từ các hãng Những nhà lãnh đạo lĩnh vực CNTT đã kiểm tra và cho ra các kết quả có tính cạnh tranh cao đối với các sản phẩm IDS. Dưới đây là những thông tin vắn tắt về sản phẩm và các liên kết đến Website. Thông tin chi tiết hơn bạn có thể tìm thấy trên chính website của chính các hãng. 1. Intrust Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động kinh doanh. Với khả năng tương thích với Unix, nó có một khả năng linh hoạt tuyệt vời. Đưa ra với một giao diện báo cáo với hơn 1.000 báo cáo khác nhau, giúp kiểm soát được các vấn đề phức tạp. Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác. 1. Tính năng cảnh báo toàn diện 2. Tính năng báo cáo toàn diện Simpo PDF Merge and Split Unregistered Version - 3. Hợp nhất và thẩm định hiệu suất dữ liệu từ trên các nền tảng 4. Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một cách tỉ mỉ 5. Lọc dữ liệu cho phép xem lại một cách dễ dàng 6. Kiểm tra thời gian thực 7. Phân tích dữ liệu đã được capture 8. Tuân thủ theo các chuẩn công nghiệp 9. Sự bắt buộc theo một nguyên tắc Thêm thông tin 2. ELM Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một sản phẩm được phân tích so sánh dựa trên ELM Enterprise Manager. Nó hỗ trợ việc kiểm tra thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ mỉ. Cơ sở dữ liệu được bổ sung thêm để bảo đảm cơ sở dữ liệu của phần mềm được an toàn. Điều này có nghĩa là nếu cơ sở dữ liệu chính ELM offline thì ELM Server sẽ tự động tạo một cơ sở dữ liệu tạm thời để lưu dữ liệu cho đến khi cơ sở dữ liệu chính online trở lại. Dưới đây là một số mô tả vắn tắt về ELM Enterprise Manager 3.0 1. ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt 2. Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft. NET bằng cách kiểm tra các bản ghi sự kiện và bộ đếm hiệu suất. 3. Hỗ trợ báo cáo wizard với phiên bản mới có thể lập lịch trình, ngoài ra còn hỗ trợ các báo cáo HTML và ASCII 4. Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ 5. Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và XML 6. Hỗ trợ giao diện kiến thức cơ sở Simpo PDF Merge and Split Unregistered Version - 7. Hỗ trợ thông báo có thể thực thi wscripts, cscripts và các file CMD/BAT. 8. Hỗ trợ cơ sở dữ liệu SQL Server và Oracle. 9. Các truy vấn tương thích WMI cho mục đích so sánh 10. Đưa ra hành động sửa lỗi khi phát hiện xâm nhập Thêm thông tin 3. GFI LANguard S.E.L.M Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài đặt. Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M. 1. Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi sự kiện 2. Quản lý bản ghi sự kiện mạng 3. Phát hiện nâng cao các tấn công bên trong 4. Giảm TOC 5. Không cần đến phần mềm client hoặc các tác nhân 6. Không ảnh hưởng đến lưu lượng mạng 7. Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng nhỏ 8. Bộ kiểm tra file mật 9. Kiểm tra bản ghi toàn diện 10. Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng (online hoặc offline) Thêm thông tin 4. Snort Snort là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động trong môi trường UNIX. Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ Simpo PDF Merge and Split Unregistered Version - nền Windows nhưng vẫn còn một số chọn lọc tinh tế. Thứ tốt nhất có trong sản phẩm này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian và băng tần cần thiết để tải nó. Giải pháp này đã được phát triển bởi nhiều người và nó hoạt động rất tốt trên các phần cứng rẻ tiền, điều đó đã làm cho nó có thể tồn tại được trong bất kỳ tổ chức nào. Dưới đây là những thông tin vắn tắt về sản phẩm này: 1. Hỗ trợ cấu hình hiệu suất cao trong phần mềm 2. Hỗ trợ tốt cho UNIX 3. Hỗ trợ mã nguồn mở linh hoạt 4. Hỗ trợ tốt SNMP 5. Hỗ trợ mô đun quản lý tập trung 6. Hỗ trợ việc cảnh báo và phát hiện xâm phạm 7. Có các gói bản ghi 8. Phát hiện tấn công toàn diện 9. Các mô đun đầu ra tinh vi cung cấp khả năng ghi chép toàn diện 10. Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email Thêm thông tin 5. Cisco IDS Giải pháp này là của Cisco, với giải pháp này bạn thấy được chất lượng, cảm nhận cũng như danh tiếng truyền thống của nó. Dưới đây là những thông tin vắn tắt về thiết bị này: 1. Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai. 2. Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của Cisco 3. Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành động trái phép Simpo PDF Merge and Split Unregistered Version - 4. Việc phân tích mẫu dùng để phát hiện được thực hiện ở nhiều mức khác nhau 5. Cho hiệu suất mạng cao 6. Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành vi của kẻ xâm nhập 7. Quản lý GUI tập trung 8. Quản lý từ xa 9. Email thông báo sự kiện Thêm thông tin 6. Dragon Một giải pháp toàn diện cho hoạt động kinh doanh. Sản phẩm này rất đa năng và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh. Nó cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công. Đây là một giải phát IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp. Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả của nó. Dưới đây là những thông tin vắn tắt về Dragon (Phiên bản hoạt động kinh doanh) 1. Dragon hỗ trợ cả NIDS và HIDS 2. Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX 3. Được mô đun hóa và có thể mở rộng 4. Kiểm tra quản lý tập trung 5. Phân tích và báo cáo toàn diện 6. Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh 7. Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router. 8. Quản lý biên dịch báo cáo Simpo PDF Merge and Split Unregistered Version - 9. Có chu kỳ cập nhật chữ kỹ hoàn hảo Thêm thông tin Kết luận Khi đưa ra kết luận về các sản phẩm này thì rõ ràng có hai đối thủ chính trong lĩnh vực CNTT đó là Dragon NIDS của Enterasys và LANguard S.E.L.M của GFI Software. Cả hai sản phẩm này đều được đánh giá cao trên thị trường với các khả năng và sự hỗ trợ trực tuyến của nó. Khi xem xét và đánh giá phần mềm chúng ta cần phải đưa ra các kiểm tra, cả hai sản phẩm ở đây đều không xảy ra vấn đề gì và có một sự tích hợp hài hòa với cơ sở hạ tầng mạng Windows. Điều đó cho thấy rõ rằng tại sao các sản phẩm này được đánh giá rất cao trong lĩnh vực CNTT. Mặc dù vậy các sản phẩm khác cũng không quá yếu thế so với hai sản phẩm trên và chúng hoàn toàn có thể bắt kịp hai sản phẩm đó trong một tương lai gần.
File đính kèm:
- tai_lieu_host_based_ids_va_network_based_ids_phan_1.pdf