13
Ưu điểm:
■ Ít báo sai và đặc biệt là rất hiệu quả đối với các hình thức xâm nhập đã được biết đến.
■ Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật tấn công. Từ đó người quản trị hệ thống có thể nhanh chóng đưa ra các biện pháp xử lý kịp thời.
Nhược điểm:
■ Để hiệu quả trong việc phát hiện xâm nhập thì phương pháp này phải thường xuyên cập nhật dấu hiệu của các hình thức xâm nhập mới.
■ Các dấu hiệu dùng để phát hiện nếu không được thiết kế chặt chẽ thì có thể sẽ không thể phát hiện ra các cuộc tấn công “biến thể”.
1.4. Đặt IDS trong hệ thống mạng
Vấn đề cần quan tâm khi sử dụng IDS đó là đ ặt nó ở đâu trong hệ thống mạng sao cho các cảm biến được đ ặt có thể nhìn thấy tất cả các lưu lượng di chuyển trên hệ thống mạng.
Để biết nên đặt các cảm biến ở đâu có thể trả lời một vài câu hỏi như sau: Các tài nguyên cần bảo vệ là gì?
Hệ thố ng mạng được thiết kế như thế nào, đồ hình mạng thiết kế theo kiểu bus, vòng hay kiểu sao hay kiểu kết hợp…?
Muốn đ ặt cảm biến trước tường lửa (lọc trước) hay sau tường lửa (không lọc)?
Hệ thống mạng sử dụng thiết bị gì hub, switch?
Router định tuyến đặt như thế nào trong hệ thống mạng?
Tóm lại, nên đ ặt cảm biến ở nơi nào mà nó có thể thấy được lượng traffic càng nhiều càng tốt. Đó có thể là vị trí kết nối giữa các segment với nhau.
Một điểm lưu ý là các IDS trong mô hình dưới được gắn vào các hub để đảm bảo không bỏ sót bất cứ lưu lượng mạng nào. Tuy nhiên có thể gắn các IDS này vào
14
“port giám sát” trên switch (span port, port monitoring), khi dữ liệu đi qua switch nó sẽ gửi một bản sao tới các IDS.