Các hệ thống và mạng phải giám sát

Một phần của tài liệu Tìm hiểu và triển khai hệ thống phát hiện xâm nhập ids snort tại các doanh nghiệp vừa và nhỏ (Trang 70)

CHƯƠNG II: HỆ THỐNG SNORT

2.6.2.Các hệ thống và mạng phải giám sát

Thật là không thực tế khi mong đợi xem được tất cả lưu lượng giữa tất cả các hệ thống trên mạng một cách hiệu quả với NIDS. Sự ưu tiên của các hệ thống và các mạng là cần thiết.

Các hệ thống cung cấp các dịch vụ cho Internet là lựa chọn đầu tiên. Những hệ thống này nguy hiểm hơn so với các mạng bên trong. Chúng cũng có thể cung cấp các dịch vụ cho khách hàng hoặc đối tác của bạn, điều cực kì quan trọng đối với mục đích của tổ chức của bạn. Quy tắc đầu tiên là cách li bất kì hệ thống nào cung cấp các dịch vụ cho cộng đồng Internet thành các mạng độc lập mà giới hạn truy cập đến các mạng bên trong. Cách sắp xếp này làm cho lưu lượng mạng dễ kiểm soát hơn.

Cũng có một nhóm các server cung cấp các dịch vụ cho những người làm việc : print server, file server, mail server và cơ sở dữ liệu... Tác động của các cảnh báo nhầm gia tăng khi theo dõi lưu lượng mạng LAN bên trong. Việc trao đổi bình thường giữa các hệ thống Window này có thể tạo ra một khối lượng lớn các cảnh báo này. Hệ thống có giá trị nhất chính là cơ sở dữ liệu. Bạn có thể bổ sung cho cái thiếu của NIDS bằng các nhà quản trị mạng, bao gồm việc thực hiện tốt khi xây dựng hệ thống, sử dụng các phần mềm chống virus, và kiểm tra các log hệ thống. Điều này không có nghĩa là chúng ta sẽ bỏ qua các máy trạm, laptop, và các thành phần khác của mạng bên trong. Người ta đề nghị rằng lưu lượng giữa những hệ thống này và Internet nên được kiểm soát bằng NIDS. Nếu bạn có một kết nối WAN đến các đối tác, chi nhánh, một bộ cảm biến trên các kết nối này là cần thiết.

Vị trí chính xác của bộ cảm biến được xác định dễ hơn bằng cách tìm kiếm những chỗ nghẽn cổ chai – kết nối giữa các mạng này là điểm rất tốt. Điểm giữa mạng của bạn và Internet là một sự lựa chọn dễ dàng. Như đã đề cập ở trên, các kết nối WAN là các điểm quan trọng. Hãy nhớ đặt các server bên trong vào các mạng riêng biệt để lưu lượng giữa các mạng chứa người sử dụng và các server có thể được kiểm soát.

Bạn muốn đặt bộ cảm biến bên phía Internet của firewall (bên ngoài) hay là phía bên trong. Nếu bạn đặt bên ngoài, bộ cảm biến thấy tất cả các tấn công vào mạng. Nếu là bên trong, ta có thể sử dụng bộ cảm biến cho nhiều mục đích hơn, vì chỉ có những lưu lượng nào được firewall cho phép mới được giám sát.

Một phần của tài liệu Tìm hiểu và triển khai hệ thống phát hiện xâm nhập ids snort tại các doanh nghiệp vừa và nhỏ (Trang 70)

(86 trang)