Thiết bị phát hiện xâm nhập hệ thống là một dạng thiết bị công nghệ cao được cấu hình để giám sát các điểm truy cập mạng, những hành động phá hoại và các đợt xâm nhập bất hợp pháp. Firewall và một số thiết bị bảo vệ mạng khác không đủ những tính năng thông minh để có thể dự đoán được những mối nguy hiểm, nhận dạng những dấu hiệu tấn công, đọc và hiểu các thông báo của các thiết bị khác. Những hạn chế của các thiết bị này được giải quyết bằng thiết bị phát hiện xâm nhập hệ thống (Instrusion Direction System).
Ngày nay IDS đã trở thành một thiết bị quan trọng trong việc triển khai bảo vệ hệ thống bởi những tính năng vượt trội của nó so với các thiết bị khác. IDS có thể hiểu được nội dung các thông báo (log files) được gửi đi từ các thiết bị trên mạng khác như router, switch, firewall, server để từ đó đưa ra phương hướng giải quyết nhắm đảm bảo an toàn thông tin cho mạng. Hơn thế nữa, IDS còn có một cơ sở dữ liệu lưu trữ thông tin về các dạng tấn công, vì thế nó có khả năng so sánh, đối chiếu tình hình traffic hiện tại của mạng để phát hiện ra những dấu hiệu xấu đối với mạng có thể xảy ra do đó có thể hạn chế đến mức tối đa sự ảnh hưởng của nó tới mạng đó.
Ngoài những tính năng như giám sát và phát hiện, IDS còn có khả năng làm lệch hướng các đợt tấn công mà nó phát hiện, thậm chí còn có khả năng ngăn chặn các đợt tấn công đó.
Cũng giống như firewall, IDS có thể hoạt động dưới dạng phần mềm hay là sự kết hợp giữa phần cứng và phần mềm.
Có 3 loại IDS hoạt động chủ yếu: +Network-based IDSs
+Host-based IDSs
4.1. Network-based IDSs
Đây là thiết bị giám sát backbone của mạng, có khả năng giám sát toàn bộ mạng. Khả năng của nó là có thể giám sát mạng trên một diện rộng, tại những vị trí quan trọng của mạng, hay là trước các thiết bị chủ chốt của mạng. Nó hoạt động một cách thụ động và đảm bảo sao cho không có sự cản trở traffic xảy ra trên mạng.
Hình 3.2.6: Vị trí hoạt động của NIDSs
NIDSs cũng có một số hạn chế. Nó không giám sát được các chuyển mạch tốc độ cao một cách có hiệu quả. Ngoài ra nó không phân tích được các gói tin đã bị mã hoá và gửi thông báo tường thuật tình trạng mạng đến người quản trị.
4.2. Host-based IDSs
Host-based IDSs hoạt động trên các host nhằm bảo vệ, giám sát hoạt động của những file hệ thống nhằm phát hiện ra dấu hiệu của sự tấn công. Vì đặc điểm hoạt động nên HIDSs có khả năng giám sát, phát hiện tình trạng mạng ở mức chi tiết hơn rất nhiều so với NIDSs. Nó có thể xác định được
những quá trình hay hoạt động của những người sử dụng mạng có dấu hiệu gây nguy hiểm cho mạng.
Ngoài ra HIDSs còn có khả năng tập trung các thông báo tình trạng của mạng được gửi từ các thiết bị khác để tạo cho mình một cơ sở dữ liệu riêng để có thể cấu hình hay quản lý trên từng host một. HIDSs có khả năng phát hiện những tấn công mà NIDSs không phát hiện được và có độ chính xác khá cao. Ngoài ra, nó cũng hoạt động được đối với các gói tin bị mã hoá và hoạt động khá tốt trong các nơi sử dụng chuyển mạch tốc độ cao.
4.3. Application-based IDSs
Đây là dạng IDS chỉ có chức năng quản lý giám sát các ứng dụng đặc biệt. Nó thường hoạt động để dự trữ ứng ứng dụng quan trọng như cơ sở dữ liệu về việc quản lý hệ thống mạng hay nội dung của công tác quản lý hệ thống, đặc biệt là các hệ thống tính cước.
AIDSs có thể nhận dạng được các dạng dữ liệu đã bị mã hoá trên đường truyền, sử dụng trên các server làm chức năng mã hoá và giải mã.
Nhìn chung để phát huy một cách tốt nhất những tính năng ưu việt của IDS trong công tác bảo vệ dữ liệu trên các hệ thống mạng nên kết hợp cả ba kiểu trên. Việc kết hợp này mang rất nhiều ý nghĩa trong công tác triển khai bảo đảm an toàn cho hệ thống. Bởi mỗi dạng IDS có những điểm mạnh và điểm yếu riêng của mình và chính sự kết hợp triển khai các IDS với nhau sẽ làm chúng phát huy những tính năng nổi bật và khắc phục cho nhau những điểm yếu còn tồn tại. Chính vì những yếu tố đó mà khi xây dựng một hệ thống ta luôn phải quan tâm đến việc sẽ sử dụng thiết bị gì cho mục đích gì để đảm bảo độ an toàn cao nhất. Tuỳ từng loại IDS khác nhau mà ta có thể phối kết hợp với các loại thiết bị khác nhau (firewall, server…).
PHẦN 4: XÂY DỰNG HỆ THỐNG MÔ PHỎNG CHƯƠNG 1: TỔNG QUAN MẠNG MÔ PHỎNG