CHƢƠNG 2 : MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG
4. Thiết bị phát hiện xâm nhập hệ thống
Thiết bị phát hiện xâm nhập hệ thống là một dạng thiết bị công nghệ cao đƣợc cấu hình để giám sát các điểm truy cập mạng, những hành động phá hoại và các đợt xâm nhập bất hợp pháp. Firewall và một số thiết bị bảo vệ mạng khác khơng đủ những tính năng thơng minh để có thể dự đoán đƣợc những mối nguy hiểm, nhận dạng những dấu hiệu tấn công, đọc và hiểu các thông báo của các thiết bị khác. Những hạn chế của các thiết bị này đƣợc giải quyết bằng thiết bị phát hiện xâm nhập hệ thống (Instrusion Direction System).
Ngày nay IDS đã trở thành một thiết bị quan trọng trong việc triển khai bảo vệ hệ thống bởi những tính năng vƣợt trội của nó so với các thiết bị khác. IDS có thể hiểu đƣợc nội dung các thông báo (log files) đƣợc gửi đi từ các thiết bị trên mạng khác nhƣ router, switch, firewall, server để từ đó đƣa ra phƣơng hƣớng giải quyết nhắm đảm bảo an tồn thơng tin cho mạng. Hơn thế nữa, IDS cịn có một cơ sở dữ liệu lƣu trữ thông tin về các dạng tấn cơng, vì thế nó có khả năng so sánh, đối chiếu tình hình traffic hiện tại của mạng để phát hiện ra những dấu hiệu xấu đối với mạng có thể xảy ra do đó có thể hạn chế đến mức tối đa sự ảnh hƣởng của nó tới mạng đó.
Ngồi những tính năng nhƣ giám sát và phát hiện, IDS cịn có khả năng làm lệch hƣớng các đợt tấn cơng mà nó phát hiện, thậm chí cịn có khả năng ngăn chặn các đợt tấn cơng đó.
Cũng giống nhƣ firewall, IDS có thể hoạt động dƣới dạng phần mềm hay là sự kết hợp giữa phần cứng và phần mềm.
Có 3 loại IDS hoạt động chủ yếu: +Network-based IDSs
+Host-based IDSs
4.1. Network-based IDSs
Đây là thiết bị giám sát backbone của mạng, có khả năng giám sát tồn bộ mạng. Khả năng của nó là có thể giám sát mạng trên một diện rộng, tại những vị trí quan trọng của mạng, hay là trƣớc các thiết bị chủ chốt của mạng. Nó hoạt động một cách thụ động và đảm bảo sao cho khơng có sự cản trở traffic xảy ra trên mạng.
Hình 3.2.6: Vị trí hoạt động của NIDSs
NIDSs cũng có một số hạn chế. Nó khơng giám sát đƣợc các chuyển mạch tốc độ cao một cách có hiệu quả. Ngồi ra nó khơng phân tích đƣợc các gói tin đã bị mã hố và gửi thơng báo tƣờng thuật tình trạng mạng đến ngƣời quản trị.
4.2. Host-based IDSs
Host-based IDSs hoạt động trên các host nhằm bảo vệ, giám sát hoạt động của những file hệ thống nhằm phát hiện ra dấu hiệu của sự tấn cơng. Vì đặc điểm hoạt động nên HIDSs có khả năng giám sát, phát hiện tình trạng
những quá trình hay hoạt động của những ngƣời sử dụng mạng có dấu hiệu gây nguy hiểm cho mạng.
Ngồi ra HIDSs cịn có khả năng tập trung các thơng báo tình trạng của mạng đƣợc gửi từ các thiết bị khác để tạo cho mình một cơ sở dữ liệu riêng để có thể cấu hình hay quản lý trên từng host một. HIDSs có khả năng phát hiện những tấn cơng mà NIDSs khơng phát hiện đƣợc và có độ chính xác khá cao. Ngồi ra, nó cũng hoạt động đƣợc đối với các gói tin bị mã hố và hoạt động khá tốt trong các nơi sử dụng chuyển mạch tốc độ cao.
4.3. Application-based IDSs
Đây là dạng IDS chỉ có chức năng quản lý giám sát các ứng dụng đặc biệt. Nó thƣờng hoạt động để dự trữ ứng ứng dụng quan trọng nhƣ cơ sở dữ liệu về việc quản lý hệ thống mạng hay nội dung của công tác quản lý hệ thống, đặc biệt là các hệ thống tính cƣớc.
AIDSs có thể nhận dạng đƣợc các dạng dữ liệu đã bị mã hoá trên đƣờng truyền, sử dụng trên các server làm chức năng mã hố và giải mã.
Nhìn chung để phát huy một cách tốt nhất những tính năng ƣu việt của IDS trong công tác bảo vệ dữ liệu trên các hệ thống mạng nên kết hợp cả ba kiểu trên. Việc kết hợp này mang rất nhiều ý nghĩa trong công tác triển khai bảo đảm an toàn cho hệ thống. Bởi mỗi dạng IDS có những điểm mạnh và điểm yếu riêng của mình và chính sự kết hợp triển khai các IDS với nhau sẽ làm chúng phát huy những tính năng nổi bật và khắc phục cho nhau những điểm yếu còn tồn tại. Chính vì những yếu tố đó mà khi xây dựng một hệ thống ta luôn phải quan tâm đến việc sẽ sử dụng thiết bị gì cho mục đích gì để đảm bảo độ an tồn cao nhất. Tuỳ từng loại IDS khác nhau mà ta có thể phối kết hợp với các loại thiết bị khác nhau (firewall, server…).