c) Lọc giao thức
I.2. Phân loại IDS
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):
I.2.1. NIDS :
Được ñặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát tồn bộ lưu lượng vào ra.
Có thể là một thiết bị phần cứng riêng biệt ñược thiết lập sẵn hay phần mềm cài ñặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng ñược sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt ñộng ở mức cao.
NIDS :
------Ví trí : mạng bên trong --NIDS---mạng bên ngoài ------Loại : hardware (phần cứng) hoặc software (phần mềm) ------Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng.
ht.destiny@gmail.com - ĐVT- ĐHKTCN - Thái Nguyên Sưu tầm Vĩnh Phúc 2009 32 Một số sản phẩm NIDS : -Cisco IDS http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html -Dragon® IDS/IPS http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection- protection.aspx I.2.2. HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS khơng thể thực hiện ñược. Lưu lượng ñã gửi tới máy tính HIDS ñược phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS ñược thiết kế hoạt ñộng chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt ñộng trong nền ứng dụng UNIX và nhiều hệ điều hành khác.
HIDS :
------Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS. ------Loại : software (phần mềm)
------Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS ------Ưu ñiểm :
----------------+ Cài ñặt trên nhiều dạng máy tính : xách tay, PC,máy chủ ... ----------------+ Phân tích lưu lượng mạng rồi mới forward.
------Nhược ñiểm : Đa số chạy trên hệ ñiều hành Window . Tuy nhiên cũng đã có 1 số chạy được trên Unix và những hệ ñiều hành khác.
Đ Đ
Một số sản phẩm HIDS : -Snort(Miễn phí_ open source) Liên hệ: http://www.snort.org/ -GFI EventsManager 7
ht.destiny@gmail.com - ĐVT- ĐHKTCN - Thái Nguyên Sưu tầm
Vĩnh Phúc 2009 34
-ELM 5.0 TNT software:
Liên hệ: http://www.tntsoftware.com/default.aspx