CHƯƠNG 2 HỆ THỐNG CẢNH BÁO XÂM NHẬP ID S SNORT
2.2. PHÂN LOẠI IDS
2.2.1. Network-base IDS – NIDS
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt
trên toàn mạng. Những bộ dị này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu
hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện
đặt ở tồn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để
giám sát tồn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt
được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo
lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.
Hình 2.4. Mơ hình Network based IDS - NIDS
Ưu điểm
- Quản lý được cả một network segment (gồm nhiều host). - “Trong suốt” với người sử dụng lẫn kể tấn cơng.
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng. - Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mơ hình OSI). - Đôc lập với OS.
Nhược điểm
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH,
IPSec,…).
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại.
- Khơng cho biết việc tấn cơng có thành cơng hay khơng.
- Một trong những hạn chế là giới hạn băng thơng. Những bộ dị mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng
như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dị cũng
vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dị. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.