NIDS & Firewall

Một phần của tài liệu Xây dựng hệ thống phát hiện xâm nhập trên mạng (NISD - Network intrusion dectetion system) (Trang 42 - 43)

Mặc dự cũn cú những hạn chế, firewall là yếu tố cần thiết cho bất cứ hệ thống an ninh mạng nào. Firewall ngăn chặn cỏc dạng tấn cụng cố định và điều khiển kiểu của luồng tải (Web, FTP, Telnet hoặc IRC) truyền giữa hệ thống mạng bờn trong của bạn và Internet. Tuy nhiờn, cú những dạng tấn cụng mà firewall sẽ khụng ngăn chặn hoặc phỏt hiện ra như tấn cụng trờn cổng 80 của web server. Firewall bảo vệ việc truyền thụng giữa cỏc hệ thống mạng mà khụng cung cấp cỏc bảo vệ hoặc rất ớt cho cỏc tấn cụng trong mạng cục bộ. Nếu tuyến phũng thủ ngoài vành đai mạng bị chọc thủng hoặc nếu việc lạm dụng là ở bờn trong tổ chức của bạn thỡ firewall sẽ khụng đưa ra cỏc hỗ trợ, NIDS sẽ bắt giữ, phõn tớch, nhận dạng và phản ứng lại với cỏc kiểu tấn cụng đú.

Khi đó cú firewall, vẫn cần phải cú NIDS:

Thụng thường, mọi người đều nghĩ rằng cỏc firewall nhận dạng cỏc tấn cụng và ngăn chặn chỳng. Điều này khụng đỳng.

Firewall đơn giản là một thiết bị thực hiện tắt (dừng) mọi thứ, sau đú bật lại chỉ một vài mục (item) được chọn là hoàn thiện (khụng lỗi). Trong một thế giới hoàn hảo thỡ cỏc hệ thống đó sẵn sàng “locked-down” và an toàn, firewall là khụng cần thiết. Tuy nhiờn, trong thực tế, cỏc lỗ hổng an toàn được phỏt hiện ngẫu nhiờn do đú chỳng ta vẫn cần phải cú firewall.

Vỡ vậy, khi cài đặt một firewall, điều đầu tiờn mà nú thực hiện là dừng tất cả cỏc truyền thụng. Nhà quản trị firewall sau đú sẽ hết sức cẩn thận thờm vào cỏc luật (“rules”) cho phộp cỏc kiểu đặc biệt của luồng tải đi qua firewall. Vớ dụ, một firewall điển hỡnh cho phộp truy cập vào Internet sẽ dừng tất cả cỏc luồng bú dữ liệu UDP và ICMP, dừng cỏc kết nối TCP đi vào, nhưng lại cho phộp cỏc kết nối TCP đi ra (cú nghĩa là nú sẽ dừng cỏc kết nối từ hacker bờn ngoài Internet nhưng vẫn cho phộp những người dựng bờn trong kết nối trực tiếp ra bờn ngoài).

Núi chung, firewall khụng phải là một hệ thống bảo vệ động như người dựng vẫn nghĩ, mà ngược lại đú chớnh là IDS. IDS thực hiện việc nhận dạng cỏc tấn cụng vào hệ thống mạng mà firewall khụng thể nhỡn thấy.

Vớ dụ như, vào thỏng 4 năm 1999, rất nhiều nơi bị tấn cụng qua lỗi (bug) ColdFusion. Tất cả cỏc nơi này đều cú firewall nhưng firewall chỉ hạn chế truy cập vào Web server tại cổng 80, và đú chớnh là Web server bị tấn cụng, vỡ thế firewall trong trường hợp này khụng cũn cú tỏc dụng bảo vệ nữa. Mặt khỏc, một IDS sẽ phỏt hiện ra tấn cụng bởi vỡ nú so khớp chữ ký được cấu hỡnh trờn hệ thống.

Một vấn đề khỏc của firewall là chỳng chỉ nằm trờn đường biờn trong hệ thống mạng của bạn, mà 80% cỏc thiệt hại về tài chớnh do hacker xuất phỏt từ bờn trong

mạng. Firewall trờn đường biờn sẽ khụng thể nhỡn thấy những gỡ xảy ra bờn trong, chỳng chỉ nhận biết được luồng tải giữa bờn trong hệ thống và Internet.

Một số lớ do cho việc thờm IDS vào firewall là : + Kiểm tra hai chiều cỏc firewall bị cấu hỡnh sai.

+ Bắt giữ cỏc tấn cụng mà firewall cho phộp đi qua một cỏch hợp lệ. + Bắt giữ cỏc tấn cụng thất bại.

+ Bắt giữ việc tấn cụng ở bờn trong.

Nếu đó cú một NIDS, firewall là vẫn cần thiết:

Bởi vỡ cú một lượng lớn cỏc “script-kiddies” (đoạn mó con), là cỏc chương trỡnh tự động chạy trờn mạng (như SATAN) để tỡm kiếm cỏc lỗ hổng. Nếu khụng cú firewall, cỏc chương trỡnh tự động này sẽ phỏt hiện và lợi dụng cỏc lỗ hổng đú.

Một phần của tài liệu Xây dựng hệ thống phát hiện xâm nhập trên mạng (NISD - Network intrusion dectetion system) (Trang 42 - 43)

Tải bản đầy đủ (DOC)

(45 trang)
w