Host-Based IDS và Network-Based IDS (Phần 1) Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS. Chức năng của IDS Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối như nó cư trú trên một máy tính nội bộ. Sản phẩm Loại IDS Giá thành Thông tin thêm INTRUST Event admin Aelita HIDS $599/máy chủ, $64/máy trạm Xem tại đây ELM 3.0 TNT HIDS $515 cho máy chủ, Xem tại Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com software máy trạm và tác nhân TCP/IP đây GFI LANguard S.E.L.M HIDS $ 375 cho 2 máy chủ và 10 máy trạm Xem tại đây Snort ISS NIDS Gói phần mềm miễn phí Xem tại đây Cisco Secure IDS NIDS Trên $1000 Xem tại đây Dragon Enterasys NIDS Trên $1000 Xem tại đây Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2. Các thống kê về IDS • Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. • 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. • Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com • Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS • IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thành phần thay thế. • Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS. IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ. Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại IDS nào phù hợp với tổ chức của họ nhất. Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ thống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ thống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện virus. Tất cả các gói đi qua được IDS đều được phân tích và so sánh với file mẫu hoặc file dấu hiệu để xác nhận rằng nó không phải là file của kẻ tấn công đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi lại sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các chuyên gia này có thể hành động kịp thời chống lại kẻ tấn công. Giống như một phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nhật file mẫu hoặc file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần phải cập nhật kịp thời. Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập thông qua một con đường riêng thì các đường khác cũng sẽ được chúng thử một cách lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và thông báo để có thể cập nhật được các vấn đề của mạng. Nếu thấy xuất hiện các cố gắng xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến hành động này. Xem lại hệ thống luật để biết được phải làm những gì là đúng luật, nhanh chóng đóng các lỗ hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị những hậu quả phức tạp gây ra bởi kẻ tấn công đối với tổ chức. Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng duyệt các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có thể bị ăn trộm theo cách này. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Thời gian đáp ứng Tất cả đáp ứng của các công ty bảo mật cần phải mau lẹ, chính xác và hiệu quả. Dữ liệu của bạn và quyền sở hữu trí tuệ là tài sản của công ty và chúng cần phải được bảo vệ tránh những kẻ xâm phạm, đựợc thiết lập cảnh báo phải để thông báo kẻ xâm phạm đang cố gắng tìm cách đột nhập vào hệ thống hoặc chuẩn bị ăn cắp thông tin của bạn. Nhiều chuyên gia bảo mật không đối phó được với tấn công mà chỉ đơn thuần cắt mất con đường tấn công của kẻ xâm nhập. Điều này đơn giản đã nhốt được kẻ xâm nhập và nếu kẻ xâm nhập này được xác định thì xâm nhập này sẽ tạo ra các lỗ hổng có thể bị phát hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy tính trong một hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS giá thành hợp lý đối với mỗi máy tính. Có một thuận lợi rất lớn cho điều này đặc biệt khi có người dùng trong tập thể đi từ vị trí này sang vị trí khác hoặc những người dùng mang máy tính sách tay của họ về nhà. Lý do cho vấn đề này sẽ là nếu bạn có một HIDS trên máy tính Host giống như máy tính xách tay thì người dùng sẽ được bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang đi du lịch trên khắp thế giới và đang kết nối đến các mạng điều khiển xa bên ngoài kiểm soát của bạn. Đây là một thuận lợi lớn và dễ dàng để thấy được rằng HIDS sẽ giúp đỡ mặc dù người dùng không còn ở phía sau sự bảo mật của NIDS mạng công ty rộng lớn. Sự đáp ứng sẽ mau lẹ và cần đến ít trợ giúp hơn vì HIDS trên máy tính người dùng và bảo đảm cho người dùng trở thành một IDS có thể tự bảo vệ hệ thống cho đến khi người dùng quay trở lại môi trường mạng công ty. NIDS ( Hệ thống phát hiện xâm phạm mạng) Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng cổng và điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn. Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu để so Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý. Lược đồ trên mô tả hệ thống NIDS; nó cho thấy quá trình làm thế nào NIDS có thể so sánh gói nguy hiểm với danh sách file dấu hiệu được lưu bên trong cơ sở dữ liệu. Sơ đồ cũng áp dụng cho HIDS, trên máy tính mà HIDS được cài đặt. Phân tích so sánh giữa HIDS và NIDS Chức năng HIDS NIDS Các đánh giá Bảo vệ trong mạng LAN **** **** Cả hai đều bảo vệ bạn khi trong mạng LAN Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bảo vệ ngoài mạng LAN **** - Chỉ có HIDS Dễ dàng cho việc quản trị **** **** Tương đương như nhau xét về bối cảnh quản trị chung Tính linh hoạt **** ** HIDS là hệ thống linh hoạt hơn Giá thành *** * HIDS là hệ thống ưu tiết kiệm hơn nếu chọn đúng sản phẩm Dễ dàng trong việc bổ sung **** **** Cả hai tương đương nhau Đào tạo ngắn hạn cần thiết **** ** HIDS yêu cầu việc đào tạo ít hơn NIDS Tổng giá thành *** ** HIDS tiêu tốn của bạn ít hơn Băng tần cần yêu cầu trong LAN 0 2 NIDS sử dụng băng tần LAN rộng, còn HIDS thì không Network overhead 1 2 NIDS cần 2 yêu cầu băng tần mạng đối với bất kỳ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com mạng LAN nào Băng tần cần yêu cầu (Internet) ** ** Cả hai đều cần băng tần Internet để cập nhật kịp thời các file mẫu Các yêu cầu về cổng mở rộng - **** NIDS yêu cầu phải kích hoạt mở rộng cổng để đảm bảo lưu lượng LAN của bạn được quét Chu kỳ nâng cấp cho các client **** - HIDS nâng cấp tất cả các client với một file mẫu trung tâm Khả năng thích nghi trong các nền ứng dụng ** **** NIDS có khả năng thích nghi trong các nền ứng dụng hơn Chế độ quét thanh ghi cục bộ **** - Chỉ HIDS mới có thể thực hiện các kiểu quét này Bản ghi *** *** Cả hai hệ thống đề có chức năng bản ghi Chức năng *** *** Cả hai hệ thống đều có chức Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com [...]... host đó HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác Câu hỏi cho NIDS hay HIDS? Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN Khi quản lý một giải pháp HIDS nó yêu... đến HIDS Sơ đồ thể hiện kịch bản HIDS Bảng dưới đây so sánh các chi tiết kỹ thuật chuẩn và các yêu cầu khi chọn một gói IDS Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com INTRUS Sản phẩm T Event admin Aelita NIDS/HID S Giao diện ELM 3.0 TNTsoftwa re GFI LANguar Snor d t ISS S.E.L.M NID Cisco Dragon Secure Enterasy IDS s NIDS NIDS HIDS HIDS HIDS *** *** *** *** ** **** ** ***... khóa và việc lựa chọn đúng chiến lược sẽ là một cách tốt để bảo đảm rằng mạng của bạn được duy trì an toàn Thông tin mà chúng tôi đã chia sẻ trong bài này sẽ giúp bạn tạo các quyết định phù hợp khi chọn NIDS hay HIDS cho mạng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Host-Based IDS và Network-Based IDS (Phần 2) Trong phần thứ hai của bài viết này chúng tôi sẽ tập trung vào... gói tin mang mã nguy hiểm bên trong HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác Chọn NIDS hay HIDS? Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với... trả lời ở đây là HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN Giống như khi cài đặt phần mềm chống virus, không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách Không có lý do nào giải thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập và chúng tôi chúng... NIDS HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính notebook HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hiểm HIDS ưu việt hơn NIDS ở việc thay đổi các máy tính cục bộ Trong khi đó NIDS tập trung vào... chúng tôi sẽ tập trung vào HIDS và những lợi ích mang lại của HIDS bên trong môi trường cộng tác Bên cạnh đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh vực CNTT có thể tính toán và quyết định chọn giải pháp HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng của họ HIDS là gì? Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com HIDS là hệ thống phát hiện xâm... toàn cho bạn IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi cho tất cả máy trên mạng Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật... quan tâm đến HIDS Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp Giải pháp NIDS thường tốn kém hơn so với HIDS Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Sơ đồ trên biểu diễn kịch bản NIDS điển hình, trên đó có một tấn công đang cố gắng tạo đường lưu lượng thông qua thiết bị NIDS trên mạng Thiết bị màu đỏ biểu thị nơi NIDS được cài đặt HIDS là một giải... hơn và cho thấy sự mạnh mẽ hơn trong các Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com môi trường mạng Nó không quan tâm đến vị trí các máy tính đặt ở đâu và được bảo vệ mọi lúc Các máy màu vàng thể hiện nơi HIDS được cài đặt Kết luận Nếu bạn không nhanh hơn những kẻ tấn công một bước thì kẻ tấn công sẽ nhanh chóng phát hiện ra điểm yếu của bạn và tấn công NIDS hoặc HIDS . HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS. Chức năng của IDS Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS. Host-Based IDS và Network-Based IDS (Phần 1) Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống. dụng UNIX và nhiều hệ điều hành khác. Câu hỏi cho NIDS hay HIDS? Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS cho một giải pháp hoàn tất và NIDS cho giải