Host-Based IDS và Network-Based IDS (Phần 1) Ngu ồ n:quantrimang.com Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS. Chức năng c ủa IDS Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu l ượng mạng trên cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối như nó cư trú trên một máy tính nội bộ. Sản phẩm Loại IDS Giá thành Thông tin thêm INTRUST Event admin Aelita HIDS $599/máy chủ, $64/máy trạm Xem tại đây ELM 3.0 TNT software HIDS $515 cho máy chủ, máy trạm và tác nhân TCP/IP Xem tại đây GFI LANguard S.E.L.M HIDS $ 375 cho 2 máy chủ và 10 máy trạm Xem tại đây Snort ISS NIDS Gói phần mềm miễn phí Xem tại đây Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Cisco Secure IDS NIDS Trên $1000 Xem tại đây Dragon Enterasys NIDS Trên $1000 Xem tại đây Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2. Các thống kê về IDS • Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. • 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. • Hàng triệu công việc bị ảnh hưở ng do sự xâm nhập. • Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS • IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thành phần thay thế. • Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ ch ức sử dụng phần mềm chống virus không sử dụng IDS. IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được s ử dụng cho tổ chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ. Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện t ốt được chiến lược bảo mật của công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại IDS nào phù hợp với tổ chức của họ nhất. Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ thống IDS mạng. Với các hệ thống c ảnh báo, không có cảnh báo nào có thể Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tụ c thực hiện các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ thống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện virus. Tất cả các gói đi qua được IDS đều được phân tích và so sánh với file mẫu hoặc file dấu hiệu để xác nhận rằng nó không phải là file củ a kẻ tấn công đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi lại sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các chuyên gia này có thể hành động kịp thời chống lại kẻ tấn công. Giống như một phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nh ật file mẫu hoặc file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần phải cập nhật kịp thời. Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập thông qua một con đường riêng thì các đường khác cũng sẽ được chúng thử một cách lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và thông báo để có thể cập nhật được các vấn đề c ủa mạng. Nếu thấy xuất hiện các cố gắng xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến hành động này. Xem lại hệ thống luật để biết được phải làm những gì là đúng luật, nhanh chóng đóng các lỗ hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị những hậu quả phức t ạp gây ra bởi kẻ tấn công đối với tổ chức. Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng duyệt các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có thể bị ăn trộm theo cách này. Thời gian đáp ứng Tất cả đáp ứng của các công ty b ảo mật cần phải mau lẹ, chính xác và hiệu quả. Dữ liệu của bạn và quyền sở hữu trí tuệ là tài sản của công ty và chúng cần phải được bảo vệ tránh những kẻ xâm phạm, đựợc thiết lập cảnh báo phải để thông báo kẻ xâm phạm đang cố gắng tìm cách đột nhập vào hệ thống hoặc chuẩn bị ăn cắp thông tin của bạn. Nhiề u chuyên gia bảo mật không đối phó được với tấn công mà chỉ đơn thuần cắt mất con đường tấn công của kẻ xâm nhập. Điều này đơn giản đã nhốt được kẻ xâm nhập và nếu kẻ xâm nhập này được xác định thì xâm nhập này sẽ tạo ra các lỗ hổng có thể bị phát hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy tính trong một Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS giá thành hợp lý đối với mỗi máy tính. Có một thuận lợi rất lớn cho điều này đặc biệt khi có người dùng trong tập thể đi từ vị trí này sang vị trí khác hoặc những người dùng mang máy tính sách tay của họ về nhà. Lý do cho vấn đề này sẽ là nếu bạn có một HIDS trên máy tính Host giống như máy tính xách tay thì người dùng sẽ được bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang đi du lịch trên khắp thế giới và đang kết nối đến các mạng điều khiển xa bên ngoài kiểm soát của bạn. Đây là một thuận lợi lớn và dễ dàng để thấy được rằng HIDS sẽ giúp đỡ mặc dù người dùng không còn ở phía sau sự bảo mật của NIDS mạng công ty rộng lớn. Sự đáp ứng sẽ mau lẹ và cần đến ít trợ giúp hơn vì HIDS trên máy tính người dùng và bảo đảm cho người dùng trở thành một IDS có thể tự bảo vệ hệ thống cho đến khi người dùng quay trở lại môi trường mạng công ty. NIDS ( Hệ thống phát hiện xâm phạm mạng) Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế m ột chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng cổng và điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượ ng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhậ p theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn. Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống virus và phải có các file m ẫu hoặc file dấu hiệu để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý. Lược đồ trên mô tả hệ thống NIDS; nó cho thấy quá trình làm thế nào NIDS có thể so sánh gói nguy hiểm với danh sách file dấu hiệu được lưu bên trong cơ sở dữ liệu. Sơ đồ cũng áp dụng cho HIDS, trên máy tính mà HIDS được cài đặt. Phân tích so sánh giữa HIDS và NIDS Chức năng HIDS NIDS Các đánh giá Bảo vệ trong mạng LAN **** **** Cả hai đều bảo vệ bạn khi trong mạng LAN Bảo vệ ngoài mạng LAN **** - Chỉ có HIDS Dễ dàng cho việc quản trị **** **** Tương đương như nhau xét về bối cảnh quản trị chung Tính linh hoạt **** ** HIDS là hệ thống linh hoạt hơn Giá thành *** * HIDS là hệ thống ưu tiết kiệm hơn nếu chọn đúng sản phẩm Dễ dàng trong việc bổ sung **** **** Cả hai tương đương nhau Đào tạo ngắn hạn cần thiết **** ** HIDS yêu cầu việc đào tạo ít hơn NIDS Tổng giá thành *** ** HIDS tiêu tốn của bạn ít hơn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Băng tần cần yêu cầu trong LAN 0 2 NIDS sử dụng băng tần LAN rộng, còn HIDS thì không Network overhead 1 2 NIDS cần 2 yêu cầu băng tần mạng đối với bất kỳ mạng LAN nào Băng tần cần yêu cầu (Internet) ** ** Cả hai đều cần băng tần Internet để cập nhật kịp thời các file mẫu Các yêu cầu về cổng mở rộng - **** NIDS yêu cầu phải kích hoạt mở rộng cổng để đảm bảo lưu lượng LAN của bạn được quét Chu kỳ nâng cấp cho các client **** - HIDS nâng cấp tất cả các client với một file mẫu trung tâm Khả năng thích nghi trong các nền ứng dụng ** **** NIDS có khả năng thích nghi trong các nền ứng dụng hơn Chế độ quét thanh ghi cục bộ **** - Chỉ HIDS mới có thể thực hiện các kiểu quét này Bản ghi *** *** Cả hai hệ thống đề có chức năng bản ghi Chức năng cảnh báo *** *** Cả hai hệ thống đều có chức năng cảnh báo cho từng cá nhân và quản trị viên Quét PAN **** - Chỉ có HIDS quét các vùng mạng cá nhân của bạn Loại bỏ gói tin - **** Chỉ các tính năng NIDS mới có phương thức này Kiến thức chuyên môn *** **** Cần nhiều kiến thức chuyên môn khi cài đặt và sử dụng NIDS đối với toàn bộ vấn đề bảo mật mạng của bạn Quản lý tập trung ** *** NIDS có chiếm ưu thế hơn Khả năng vô * **** NIDS có hệ số rủi ro nhiều hơn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com hiệu hóa các hệ số rủi ro so với HIDS Khả năng cập nhật *** *** Rõ ràng khả năng nâng cấp phần mềm là dễ hơn phần cứng. HIDS có thể được nâng cấp thông qua script được tập trung Các nút phát hiện nhiều đoạn mạng LAN **** ** HIDS có khả năng phát hiện theo nhiều đoạn mạng toàn diện hơn HIDS (Hệ thống phát hiện xâm phạm máy chủ) HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hi ểm. HIDS ưu việt hơn NIDS ở việc thay đổi các máy tính cục bộ. Trong khi đó NIDS tập trung vào cả mạng lớn có các host đó. HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác. Câu hỏi cho NIDS hay HIDS? Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi quản lý một giải pháp HIDS nó yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại yêu cầu nhiều đến sự quan tâm của bạn. Mặc dù vậy cần phải nhấn mạnh ở đây rằng nếu bạn cài đặt phần mềm chống virus không chỉ trên tường lửa c ủa bạn mà nó còn được cài đặt trên tất cả các client. Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi cho tất cả máy trên mạng. Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắ c chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới. Nếu có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với HIDS. Sơ đồ trên biểu diễn kịch bản NIDS điển hình, trên đó có một tấn công đang cố gắng tạo đường lư u lượng thông qua thiết bị NIDS trên mạng. Thiết bị màu đỏ biểu thị nơi NIDS được cài đặt. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com HIDS là một giải pháp toàn diện hơn và cho thấy sự mạnh mẽ hơn trong các môi trường mạng. Nó không quan tâm đến vị trí các máy tính đặt ở đâu và được bảo vệ mọi lúc. Các máy màu vàng thể hiện nơi HIDS được cài đặt. Kết luận Nếu bạn không nhanh hơn những kẻ tấn công một bước thì kẻ tấn công sẽ nhanh chóng phát hiện ra điểm yếu của bạn và tấn công. NIDS hoặc HIDS hoàn toàn có th ể bảo vệ trong trường hợp bạn lỡ mất bước quan trọng này, đó là những gì bạn không hay biết mà kẻ tấn công lại biết rất rõ ràng. Việc tìm ứng dụng phù hợp là một nhiệm vụ không dễ dàng và chúng tôi sẽ cung cấp cho các tài liệu hướng dẫn về chủ đề này để thông qua đó bạn có thể biết được khi nào lựa chọn đúng sản phẩm cho tổ chức củ a mình. Mạng máy tính ngày nay chứa rất nhiều mối nguy hiểm, có vô số kẻ xấu đang chống lại các chiến lược an ninh bảo mật. Chỉ có một cách để đối phó với chúng là phải biết được chúng đang thử nghiệm các tấn công gì và chống lại được các tấn công đó. Chiến lược là chìa khóa và việc lựa chọn đúng chiến lược sẽ là một cách tốt để bảo đảm rằng mạng của bạn được duy trì an toàn. Thông tin mà chúng tôi đã chia sẻ trong bài này sẽ giúp bạn tạo các quyết định phù hợp khi chọn NIDS hay HIDS cho mạng.  Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Host-Based IDS và Network-Based IDS (Phần 2) Ngu ồ n:quantrimang.com Trong phần thứ hai của bài viết này chúng tôi sẽ tập trung vào HIDS và những lợi ích mang lại của HIDS bên trong môi trường cộng tác. Bên cạnh đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh vực CNTT có thể tính toán và quyết định chọn giải pháp HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng của họ. HIDS là gì? HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host). Điều làm nên sự khác biệt c ủa HIDS so với NIDS là HIDS có thể được cài đặt trên nhiều kiểu máy khác nhau như các máy chủ, máy trạm làm việc hoặc máy notebook. Phương pháp này giúp các tổ chức linh động trong khi NIDS không thích hợp hay vượt ra khỏi khả năng của nó. Các hoạt động của HIDS Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng. HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác. Chọn NIDS hay HIDS? Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với mạng của mỗi người nhất? Câu trả lời ở đây là HIDS cho giải pháp trọn vẹn và NIDS cho gi ải pháp LAN. Giống như khi cài đặt phần mềm chống virus, không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách. Không có lý do nào giải thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập và chúng tôi chúng thiên về ý nghĩ này. Rõ ràng cài đặt nhiều nút phát hiện trên mạng của bạn bằng HIDS an toàn nhiề u hơn là chỉ có một NIDS với một vài nút phát hiện chỉ cho một đoạn mạng. Nếu bạn lo lắng về các máy tính cụ thể có thể bị tấn công thì bạn hãy sử dụng HIDS, khi đó nó sẽ bảo vệ được máy tính của bạn an toàn hơn và sẽ tương đương như cài đặt một cảnh báo cho bạn. IDS hỗ trợ bản ghi chi tiết, nhiều sự kiện được ghi lại hàng ngày, bả o đảm rằng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com [...]... một băng tần LAN hạn chế thì cũng nên xem xét đến HIDS Sơ đồ thể hiện kịch bản HIDS Bảng dưới đây so sánh các chi tiết kỹ thuật chuẩn và các yêu cầu khi chọn một gói IDS INTRUST GFI Event ELM 3.0 Snort Sản phẩm LANguard ISS admin TNTsoftware S.E.L.M Aelita Cisco Secure IDS Dragon Enterasys NIDS/HIDS HIDS HIDS HIDS NIDS NIDS NIDS Giao diện quản lý *** *** *** *** ** **** Phát hiện tấn công ** *** *** ***... được chọn và bạn không bị ngập lụt trong những dữ liệu không cần thiết HIDS ghi lại các sự kiện một cách tỉ mỉ hơn so với NIDS Nếu bạn đang so sánh giữa HIDS hay NIDS, bảo đảm rằng bạn sẽ tìm thấy một hãng có kỹ thuật backup tốt và đó là các file mẫu đưa ra khi có nhiều lỗ hổng mới được phát hiện giống như ứng dụng chống virus Nếu bạn có một băng tần LAN hạn chế thì cũng nên xem xét đến HIDS Sơ đồ... Khi chọn một IDS, cần xem xét một số vấn đề trong việc lập kế hoạch cho IDS Dưới đây là một số xem xét mà bạn nên quan tâm: 1 Giai đoạn ý niệm: Giai đoạn này bạn cần phân biệt được các yêu cầu IDS và định nghĩa được những gì cần thiết đối với doanh nghiệp và làm thế nào IDS có thể tương xứng với những cần thiết của doanh nghiệp, giai đoạn này cần phải tính đến toàn bộ tài nguyên quan trọng và đưa ra một... doanh nghiệp Nhân viên CNTT cũng cần được sử dụng diễn đàn kiểm tra để so sánh phần mềm IDS và kết hợp với giai đoạn khái niệm được sử dụng như thời điểm kiểm tra cuối cùng khi chọn giải pháp thích hợp nhất 3 Giai đoạn triển khai và đưa vào hoạt động: Giai đoạn này được sử dụng để thực thi giải pháp IDS đã chọn và nó phải chạy êm ái nếu kế hoạch được thực hiện là phù hợp Đây là lúc tất cả những vướng... năng và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh Nó cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tấn công Đây là một giải phát IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả của nó Dưới đây là những thông tin vắn tắt về Dragon (Phiên bản hoạt động kinh doanh) 1 Dragon hỗ trợ cả NIDS và. .. hoạt động kinh doanh) 1 Dragon hỗ trợ cả NIDS và HIDS 2 Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX 3 Được mô đun hóa và có thể mở rộng 4 Kiểm tra quản lý tập trung 5 Phân tích và báo cáo toàn diện 6 Khả năng tương thích cao với các chi tiết kỹ thuật trong hoạt động kinh doanh 7 Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall và router 8 Quản lý biên dịch báo cáo Simpo PDF... ràng có hai đối thủ chính trong lĩnh vực CNTT đó là Dragon NIDS của Enterasys và LANguard S.E.L.M của GFI Software Cả hai sản phẩm này đều được đánh giá cao trên thị trường với các khả năng và sự hỗ trợ trực tuyến của nó Khi xem xét và đánh giá phần mềm chúng ta cần phải đưa ra các kiểm tra, cả hai sản phẩm ở đây đều không xảy ra vấn đề gì và có một sự tích hợp hài hòa với cơ sở hạ tầng mạng Windows... mắc phải được giải quyết Giải pháp phải được hoạt động một cách hiệu quả khi giai đoạn này hoàn tất Website và thông tin từ các hãng Những nhà lãnh đạo lĩnh vực CNTT đã kiểm tra và cho ra các kết quả có tính cạnh tranh cao đối với các sản phẩm IDS Dưới đây là những thông tin vắn tắt về sản phẩm và các liên kết đến Website Thông tin chi tiết hơn bạn có thể tìm thấy trên chính website của chính các hãng... wscripts, cscripts và các file CMD/BAT 8 Hỗ trợ cơ sở dữ liệu SQL Server và Oracle 9 Các truy vấn tương thích WMI cho mục đích so sánh 10 Đưa ra hành động sửa lỗi khi phát hiện xâm nhập Thêm thông tin 3 GFI LANguard S.E.L.M Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài đặt Dưới đây là những thông tin vắn tắt về GFI LANguard S.E.L.M 1 Phân tích bảo mật tự động và rộng rãi... là một sản phẩm tuyệt vời và nó đã chiến thắng khi đưa vào hoạt động trong môi trường UNIX Sản phẩm mới nhất được đưa ra gần đây được hỗ trợ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com nền Windows nhưng vẫn còn một số chọn lọc tinh tế Thứ tốt nhất có trong sản phẩm này đó là mã nguồn mở và không tốn kém một chút chi phí nào ngoại trừ thời gian và băng tần cần thiết để tải . HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS. Chức năng c ủa IDS Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS. 3.0 TNTsoftware GFI LANguard S.E.L.M Snort ISS Cisco Secure IDS Dragon Enterasys NIDS/HIDS HIDS HIDS HIDS NIDS NIDS NIDS Giao diện quản lý *** *** *** *** ** **** Phát hiện tấn công. Chọn NIDS hay HIDS? Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với mạng của mỗi người nhất? Câu trả lời ở đây là HIDS cho giải pháp trọn vẹn và NIDS