PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
6. Hệ Thống IDS Và IPS
6.1 IDS (Hệ thống phát hiện xâm nhập)
6.1.2 Phân loại IDS
Chức năng cơ bản của IDS là phát hiện người xâm nhập, IDS có các dạng chính như: - Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)
- Hệ thống phát hiện xâm nhập dựa trên mạng (Network IDS) - Hệ thống lai (Hybrid IDS – Distributed IDS)
Mỗi dạng của IDS đều có những ưu điểm và khuyết điểm riêng - Hệ Thống Phát hiện xâm nhập dựa trên host (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo
dõi OS, ghi nhận các sự kiện và những thông điệp báo lỗi trên hệ thống máy chủ.
Hình 2. IDS dựa trên host.
Ưu Điểm Nhược Điểm
- HIDS sẽ phân tích trước khi mã
hóa và sau khi giải mã.
- Cho phép xác định liệu một cuộc
tấn công đã thành công hay chưa.
(NIDS có thể phát hiện các cuộc tấn
cơng, nhưng nó đã khơng có cách nào xác định liệu các cuộc tấn công đã
thành công.)
- Không yêu cầu phần cứng IDS chuyên dụng.
- Yêu cầu một đại lý trên mỗi máy chủ mà muốn để bảo vệ.
- Yêu cầu một đại lý có thể hỗ trợ nhiều hệ điều hành.
- Phát hiện xâm nhập dựa vào mạng (NIDS)
NIDS liên quan đến việc đặt một IDS dành riêng trên một đoạn mạng rõ
ràng mà theo dõi lưu lượng truy cập thông qua phân đoạn này. Một NIDS có thể được đặt trên các phân đoạn quan trọng trên toàn mạng để cung cấp bảo vệ cho tồn bộ mạng.
Hình 3. IDS dựa vào mạng.
Trong hình trên, tất cả lưu lượng truy cập từ Internet là thông qua router,
giao thông được phản ánh cho một cổng giám sát trên một IDS. NIDS thông thường bao gồm một cổng giám sát cắm vào các đoạn mạng mà ta muốn theo
dõi. Cổng giám sát dễ dàng bị quá tải và sẽ có một số luồng giao thơng bị bỏ sót mà có thể chứa các cuộc tấn cơng chống lại mạng. Vì vậy, ta cần phải đặt IDS cẩn thận, hợp lý để bảo đảm cổng giám sát sẽ không bị quá tải.
Ưu Điểm Nhược Điểm
- Một NIDS duy nhất có thể bảo vệ phần lớn mạng trong hệ thống.
- Phát hiện tấn công dựa trên mạng, chẳng hạn như port scan hoặc ping rà soát.
- Yêu cầu cài đặt trên một đoạn
mạng mà việc giám sát các cổng không bị quá tải.
- Yêu cầu phải giám sát các phần khác nhau của mạng sử dụng nhiều thiết bị IDS.
- Yêu cầu phải tập hợp các giao thông bị phân mảnh (giao thông IP
được chia thành nhiều mảnh IP).
- Đòi hỏi CPU đáng kể và nhiều tài
nguyên bộ nhớ để có thể phân tích lưu
lượng truy cập theo dõi trong thời gian
thực.
- Không thể phát hiện các cuộc tấn cơng có trong thơng tin liên lạc mã hóa.
- Phát hiện xâm nhập IDS lai (Distributed (Hybrid) IDS)
Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế. Trong hệ thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung tâm quản trị.
Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các hệ IDS lai cịn có thể kết hợp được hai cơ chế là dựa trên dấu hiệu và cơ chế phát hiện bất thường.