Detection System)
Sử sụng hệ thống phát hiện xâm nhập mạng (NIDS) đƣợc thiết kế để cảnh báo cho nhà quản trị khi có những luồng traffic độc hại hay không hợp pháp đƣợc phát hiện. Luồng độc hai có thể là virus worm hay các đoạn mã xấu, còn những luồng traffic không hợp pháp khi nó sai lệch với chính sách bảo mật đã đặt ra. NIDS có thể dò tìm trong mạng rộng lớn chỉ với vài nút hoặc vài thiết bị và áp đặt lên trên mạng đó. NIDS đƣợc tìm thấy trong hầu hết các thiết bị môi trƣờng mạng hiện nay. Trong môi trƣờng VoIP, NIDS cung cấp thêm một lớp phòng thủ.
NIDS phát hiện các hành động đáng ngờ bằng ba cách.
Thứ nhất, cộng đồng bảo mật chứa một cơ sở dữ liệu vô cùng lớn về cách tấn công chữ ký riêng biệt. Những chữ ký này đƣợc lập trình trên bộ cảm biến NIDS, mà đƣợc cập nhật một cách thƣờng xuyên căn bản.
Thứ hai, bộ cảm biến NIDS chứa đựng một bộ tiền xử lý mà có thể theo dõi các hành vi bất thƣờng trên mạng. Mặc dù nó không nhƣ kiểu tấn công chữ ký, những bất thƣờng này cũng ảnh hƣởng
lớn đến sự phát hiện của port scan, sự thăm dò phân phối mạng, hình thức tràn bộ đệm mới, tấn công DoS.
Thứ ba, tất cả các trang thiết bị NIDS có thể ứng dụng và phát hiện sự sai lệch với các chính sách bảo mật. Sự sai lệch chính sách này bao gồm sự dò tìm dịch vụ mạng không hợp pháp, những ứng dụng chạy trên những port khác thƣờng, nhƣ hoạt động của virus Trojan.
Đa số các NIDS cấu hình client-to-server. Nhiều thiết bị cảm biến thông thƣờng sẽ báo cáo đến một hay vài bộ điều khiển quản lý. Bộ cảm biến có thể chỉ định các thiết bị, có thể chạy ứng dụng trên host đang chạy ứng dụng khác, hoặc có thể chạy độc lập trong hệ thống riêng ảo.
Hình 4.11. Minh họa nguyên lý cơ bản đƣợc dùng trong trạm quản lý NIDS Yêu cầu phần cứng của bộ điều khiển quản lý phải chính xác hơn các bộ cảm biến, bởi vì bộ điều khiển quản lý (Manage Control) chịu trách nhiệm về tƣơng quan dữ liệu từ nhiều cảm biến nhƣ là lƣu trữ, báo động và trực quan hóa. Thƣờng Manage Control bao gồm một bộ cảm biến tổng hợp.
NIDS đƣợc đặt ở những nơi có thể theo dõi hiệu quả nhất lƣu lƣợng mạng. Điều này không có nghĩa là phải đặt NIDS tại nơi có thể theo dõi hết tất cả các lƣu lƣợng mạng. Bên dƣới là ví dụ về mô hình mạng. Mạng này gồm một kết nối Internet, một DMZ (Delimitarized zone- vùng ranh giới) và 3 VLAN nội bộ, cấu hình cho thoại user, workstation,và server.
Hình 4.12. Định vị NIDS
Trong hình trên, một NIDS đƣợc đặt bên ngoài bên cạnh firewall để theo dõi các lƣu lƣợng Internet vào ra. NIDS còn đƣợc chỉ định đặt tại switch vùng Voice VLAN và Server VLAN. Ngoài ra còn có một NIDS bổ sung đặt tại vùng DMZ.