C .hức năng của IDS
3. Hạn chế của Network-Based IDSs:
SO SÁNH HOST-BASED IDS VÀ NETWORK-BASED IDS
Network-based IDS thường sử dụng phương pháp phát hiện là anomaly-based và phân tích dữ liệu trong thời gian thực. Network-based IDS không có tác động tới mạng hay host, nên không thể bảo vệ một hệ xác định khỏi tấn công có thể thấy ở cấp mạng. Nó cũng chỉ có thể quản lý tải truyền thông hiện hữu với workstation, cấu hình lại network routing có thể là cần thiết với môi trường chuyển mạch.
Host-based IDS thì có thể sử dụng cả hai phương pháp tấn công là misuse-based và anomaly-based. HIDS phù hợp với việc giám sát và thu thập vết kiểm toán của hệ thống ở thời gian thực cũng như định kỳ, do đó phân phối được sự tận dụng CPU và mạng đồng thời cung cấp một phương thức mềm dẻo cho quá trình quản trị bảo mật. Do nó hoạt động trên host nên HIDS không thể chống được kiểu tấn công vào mạng như syn flood, nhưng có thể giảm bớt công việc cho NIDS đặc biệt với các cuộc tấn công vào hệ thống console của network-based IDS và trên môi trường chuyển mạch.
Về khả năng thực thi chính sách bảo mật của nhà quản trị, Host-based IDS cũng được thiết kế để thực thi các chính sách một cách dễ dàng, trong khi network-based IDS cần phải được cập nhật các chính sách offline và có thể gây ảnh hưởng về mặt an ninh mạng trong thời gian ngừng hoạt động.
Nói chung network-based IDS thích hợp với việc xác định giao dịch phức tạp trên mạng và xác định các vi phạm bảo mật. Việc thực thi NIDS là lợi thế lớn khi nó có thể lọc các cảnh báo giống như HIDS được điều khiển từ trung tâm, điều này tiện cho việc quản lý và phản ứng với các cuộc tấn công.
Như đã nói trên, một tổ chức sử dụng IDS để tăng cường cho chiến thuật bảo mật thông tin hiện hành, hệ thống đó sẽ được tập trung vào HIDS. Cho dù NIDS cũng có giá trị riêng và cần kết hợp chặt chẽ thành giải pháp IDS hợp lý, nó cũng không phù hợp để phát triển tuân theo kỹ thuật phát triển của sự truyền dữ liệu. Hầu hết các NIDS đều không hoạt động tốt trong mạng chuyển mạch, mạng tốc độ cao trên 100Mbps, và ở mạng có mã hóa. Hơn nữa, khoảng 80 – 85% các vụ vi phạm bảo mật có nguồn gốc từ ngay trong tổ chức. Do đó, hệ thống phát hiện xâm nhập trái phép có thể dựa phần lớn vào HIDS, nhưng nên luôn sử dụng NIDS để đảm bảo an toàn. Nói chung một môi trường thực sự an toàn cần thực hiện cả HIDS và NIDS nhằm cung cấp khả năng bảo
mật cao nhất bằng cách vừa quản lý tải truyền thông mạng và việc khai thác trực tiếp một host trên mạng.
Một ví dụ sử dụng kết hợp NIDS và HIDS.
Như ở hình trên ta thấy chính sách bảo mật bao gồm một Firewall nhằm hạn chế bớt các kết nối nguy hiểm với mạng bên ngoài. Network-based IDS được đặt trước đường ra mạng ngoài nhằm phân tích dữ liệu vào ra hệ thống. Phía bên trong Host-based IDS được cài đặt trên các máy cần bảo vệ và phân tích mọi tương tác trên máy đó. Manager Console là nơi nhận các cảnh báo từ NIDS và HIDS khi chúng phát hiện ra có xâm nhập trái phép.
Ta có thể giải thích về những giới hạn của mỗi loại IDS bằng ví dụ dưới đây, đồng thời nói đến lợi ích của việc kết hợp cả hai giải pháp. Giả sử một hacker muốn xâm nhập vào hệ thống. Một IDS ứng dụng có thể phát hiện được hacker đó định ghi đè root directory của web server bằng một tập file nào đó. Nhưng nó không thể phát hiện được nếu kẻ tấn công xóa một thư mục quan trọng của hệ điều hành như /etc trên UNIX server. Trong khi đó một IDS của hệ điều hành có thể phát hiện được hacker định xóa thư mục quan trọng của hệ điều hành nhưng không thể phát hiện được nếu hacker đó định thực hiện một tấn công dạng mạng như LAND (trong đó một gói tin IP đã được sửa đổi làm cho server rơi vào trạng thái lặp vô hạn, chiếm hết tài nguyên protocol stack và không thể phục vụ được). Còn một network-based IDS với bộ dấu hiệu tĩnh có thể phát hiện được nếu hacker thực hiện cuộc tấn công trên mạng dạng DoS attack như LAND, nhưng nó không thể phát hiện được nếu kẻ tấn công thực hiện đánh cắp thông
tin credit card thông qua ứng dụng cơ sở dữ liệu. Việc kết hợp host-based và network- based IDS có thể phát hiện được tất cả các kiểu tấn công trên.