Thông thường có nhiều cách để triển khai một hệ thống IDS/IPS, tuy nhiên thường được dùng nhiều để triển khai trong một hệ thống mạng là 02 cách thức triển khai như sau:
56
Hình 3.9. Mô hình triển khai theo kiểu thẳng hàng.
Người ta đặt một sensor thẳng hàng sao cho nó có thể giám sát được các lưu lượng mạng đi qua nó như trong trường hợp của firewall. Thực tế là một số Sensor thẳng hàng được sử dụng như một loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng. Sensor thẳng hàng có thể được triển khai ở những vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật, firewall mục đích để giảm tải cho các thiết bị này.
Tuy nhiên vị trí này sẽ làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn, với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IDS/IPS phải hoạt động theo thời gian thực. Tốc độ hoạt động của hệ thống là một yếu tố rất quan trọng. Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức.
57
Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 01 bản sao của các lưu lượng trên mạng. Thường được triển khai giám sát các vị trí quan trọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ như Server farm hoặc DMZ. Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cách như Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer.
Hình 3.10. Mô hình triển khai kiểu thụ động.
Khả năng thu thập thông tin bao gồm nhận dạng các host, hệ điều hành, các ứng dụng, đặc điểm mạng. Khả năng ghi log file. Khả năng nhận diện những hoạt động thăm dò, vi phạm chính sách hoặc các dịch vụ ứng dụng không mong đợi. Khả năng ngăn chặn của kiểu thụ động là ngắt phiên TCP hiện tại
Cần lưu ý khi triển khai hệ thống IDS/IPS là phải triển khai các Sensor ở dạng ẩn (Stealth mode). Trong dạng này, các giao diện của Sensor không được gán địa chỉ IP (trừ giao diện quản lý) để tránh việc khởi tạo kết nối từ các host khác nhằm ẩn Sensor khỏi sự phát hiện của kẻ tấn công.
58
Điểm yếu của hệ thống NIDS/IPS chính là việc nó rất dễ bị ảnh hưởng bởi nhiều loại tấn công liên quan đến khối lượng lưu lượng mạng lớn ( large volume of network traffic ) và kiến trúc Single-point of Failure khi triển khai Sensor kiểu thẳng hàng.