Network-base IDS – NIDS

Một phần của tài liệu Xây dựng hệ thống cảnh báo chống xâm nhập IDS SNORT bảo vệ web server trường đại học kinh tế (Trang 40 - 42)

CHƯƠNG 2 HỆ THỐNG CẢNH BÁO XÂM NHẬP ID S SNORT

2.2. PHÂN LOẠI IDS

2.2.1. Network-base IDS – NIDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt

trên toàn mạng. Những bộ dị này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu

hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện

đặt ở tồn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.

Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để

giám sát tồn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt

được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo

lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.

Hình 2.4. Mơ hình Network based IDS - NIDS

Ưu điểm

- Quản lý được cả một network segment (gồm nhiều host). - “Trong suốt” với người sử dụng lẫn kể tấn cơng.

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng. - Tránh DOS ảnh hưởng tới một host nào đó.

- Có khả năng xác định lỗi ở tầng Network (trong mơ hình OSI). - Đôc lập với OS.

Nhược điểm

- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH,

IPSec,…).

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động

được phát ra, hệ thống có thể đã bị tổn hại.

- Khơng cho biết việc tấn cơng có thành cơng hay khơng.

- Một trong những hạn chế là giới hạn băng thơng. Những bộ dị mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng

như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dị cũng

vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dị. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.

Một phần của tài liệu Xây dựng hệ thống cảnh báo chống xâm nhập IDS SNORT bảo vệ web server trường đại học kinh tế (Trang 40 - 42)

Tải bản đầy đủ (PDF)

(86 trang)