2. Lựa chọn giải pháp cho hệ thống giám sát
2.4. Giải pháp cho phát hiện và chống xâm nhập trái phép
Ngay cả khi Firewall được thiết kế để cho phép các dữ liệu tin cậy đi qua, từ chối các dịch vụ có thể gây nên lỗ hổng bảo mật, và ngăn chặn mạng bên trong khỏi các tấn công từ bên ngoài, một tấn công mới có thể thâm nhập vào Firewall tại bất kỳ thời điểm nào.
Phát hiện xâm nhập là tiến trình giám sát các sự kiện xảy ra trong một hệ thống máy hoặc mạng và phân tích chúng đối với các dấu hiệu của sự xâm nhập, được định nghĩa như các cố gắng làm hại đến sự bí mật, tính toàn vẹn và sự sẵn sàng, hoặc để bỏ qua cơ chế bảo mật của một máy tính hay mạng. Sự xâm phạm được gây ra bởi các tấn công truy nhập vào các hệ thống từ Internet, các user được cho phép của các hệ thống cố gắng đạt được các quyền khác mà họ không được cho phép, và các user được cho phép lạm dụng quyền hạn họ được trao.
Khi các tấn công mạng ngày càng tăng về số lượng và tính khốc liệt, các hệ thống phát hiện xâm nhập IDS đã trở thành một nhân tố cần thiết để thiết lập một cơ sở hạ tầng bảo mật. Nó cho phép các tổ chức bảo vệ các hệ thống của họ khỏi các đe doạ gây bởi các nhu cầu kết nối mạng ngày càng tăng và sự tín nhiệm đối với các hệ thống thông tin trên mạng.
Phát hiện và chống xâm nhập trái phép cần được xây dựng dựa trên các nguyên tắc chủ đạo như sau:
Phát hiện, cảnh báo/đáp lại đối với những người lạm dụng hay những kẻ tấn công hệ thống.
Phát hiện các tấn công và các sự vi phạm bảo mật mà không được ngăn chặn bởi các công cụ bảo mật khác.
Phát hiện và xử lý các tiền đề phục vụ cho các tấn công (thông thường là các hoạt động thăm dò mạng và các hoạt động thăm dò “doorknob rattling” khác.
Lập tài liệu mối đe doạ hiện tại đối với hệ thống phòng ngừa rủi ro.
Kiểm soát chất lượng đối với thiết kế và quản trị bảo mật, đặc biệt đối với đơn vị có yêu cầu bảo mật an toàn thông tin.
SV: HỒ TRUNG DŨNG 52
Cung cấp các thông tin có ích về các xâm phạm phải đối mặt, cho phép cải thiện sự chẩn đoán, khôi phục và hiệu chỉnh các nhân tố liên quan.
Cho phép theo dõi và cảnh báo thông tin về mức độ tấn công và dự báo… Sự kết hợp IDSs với firewall cho phép thiết lập sự bảo vệ có chiều sâu đối với các tấn công ngày càng tăng về số lượng cũng như tính phức tạp.
Hệ thống Phát hiện và chống xâm nhập trái phép có nhiệm vụ rà quét các gói tin trên mạng, phát hiện các truy nhập trái phép, các dấu hiệu tấn công vào hệ thống từ đó cảnh báo cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn cống trước khi nó xảy ra. Một hệ thống phát hiện các truy nhập trái phép thường phát hiện tất cả các luồng dữ liệu có hại từ mạng vào hệ thống mà các Firewall không thể phát hiện được. Thông thường các cuộc tấn công trên mạng là các cuộc tấn công từ chối dịch vụ, phá hoại các dữ liệu trên các ứng dụng, các cuộc tấn công vào máy trạm như thay đổi quyền trên máy, đăng nhập bất hợp pháp và truy nhập vào các tệp tin nhạy cảm hoặc là các loại Virus, Trojan ….