Host-Based IDS và Network-Based IDS (Phần 2)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.23 MB, 16 trang )
Host-Based IDS và Network-Based IDS (Phần 2)
Trong phần thứ hai của bài viết này chúng tôi sẽ tập trung vào HIDS và
những lợi ích mang lại của HIDS bên trong môi trường cộng tác. Bên
cạnh đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo
trong lĩnh vực CNTT có thể tính toán và quyết định chọn giải pháp
HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng của họ.
HIDS là gì?
HIDS là hệ thống phát hiện xâm phạm được cài đặt trên các máy tính (host).
Điều làm nên sự khác biệt của HIDS so với NIDS là HIDS có thể được cài
đặt trên nhiều kiểu máy khác nhau như các máy chủ, máy trạm làm việc
hoặc máy notebook. Phương pháp này giúp các tổ chức linh động trong khi
NIDS không thích hợp hay vượt ra khỏi khả năng của nó.
Các hoạt động của HIDS
Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua
host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên
trong. HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó
NIDS được dùng cho cả một mạng. HIDS thường được sử dụng cho nền
Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có
thể hoạt động trong môi trường UNIX và các hệ điều hành khác.
Chọn NIDS hay HIDS?
Nhiều chuyên gia bảo mật quan tâm đến NIDS và HIDS, nhưng chọn thế
nào để phù hợp với mạng của mỗi người nhất? Câu trả lời ở đây là HIDS
cho giải pháp trọn vẹn và NIDS cho giải pháp LAN. Giống như khi cài đặt
phần mềm chống virus, không chỉ thực hiện cài đặt phần mềm trên các máy
chủ chính mà còn phải cài đặt trên tất cả các máy khách. Không có lý do nào
giải thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau
trong một chiến lược IDS mạnh. NIDS dễ bị vô hiệu hóa đối với kẻ xâm
nhập và chúng tôi chúng thiên về ý nghĩ này. Rõ ràng cài đặt nhiều nút phát
hiện trên mạng của bạn bằng HIDS an toàn nhiều hơn là chỉ có một NIDS
với một vài nút phát hiện chỉ cho một đoạn mạng. Nếu bạn lo lắng về các
máy tính cụ thể có thể bị tấn công thì bạn hãy sử dụng HIDS, khi đó nó sẽ
bảo vệ được máy tính của bạn an toàn hơn và sẽ tương đương như cài đặt
một cảnh báo cho bạn.
IDS hỗ trợ bản ghi chi tiết, nhiều sự kiện được ghi lại hàng ngày, bảo đảm
rằng chỉ có dữ liệu thích đáng mới được chọn và bạn không bị ngập lụt trong
những dữ liệu không cần thiết. HIDS ghi lại các sự kiện một cách tỉ mỉ hơn
so với NIDS. Nếu bạn đang so sánh giữa HIDS hay NIDS, bảo đảm rằng bạn
sẽ tìm thấy một hãng có kỹ thuật backup tốt và đó là các file mẫu đưa ra khi
có nhiều lỗ hổng mới được phát hiện giống như ứng dụng chống virus. Nếu
bạn có một băng tần LAN hạn chế thì cũng nên xem xét đến HIDS.
Sơ đồ thể hiện kịch bản HIDS
Bảng dưới đây so sánh các chi tiết kỹ thuật chuẩn và các yêu cầu khi chọn
một gói IDS.
Sản phẩm
INTRUS
T Event
admin
Aelita
ELM 3.0
TNTsoftwa
re
GFI
LANguar
d
S.E.L.M
Snor
t ISS
Cisco
Secure
IDS
Dragon
Enterasy
s
NIDS/HID
S
HIDS HIDS HIDS
NID
S
NIDS NIDS
Giao diện
quản lý
*** *** *** ***
** ****
Phát hiện
tấn công
** *** *** *** *** ****
Dễ dàng
trong sử
dụng
*** *** **** ** ** ***
Giá cả cho
100 máy
trạm làm
việc và 5
máy chủ
$9400
$10,290.00
Giá lấy từ
website
$ 1620
Giá lấy từ
website
FRE
E
Gói
phần
mềm
$7,929.7
9
$6115.89
Độ dễ
dàng
trong cài
*** ** *** * ** ***
đặt và
triển khai
Kiến thức
bảo mật
yêu cầu
(càng
nhiều sao
nghĩa là
càng ít
kiến thức
bắt buộc)
*** **** **** * * **
Khả năng
phát hiện
kẻ tấn
công
*** *** *** ****
*** ***
Truyền
thông
kênh an
toàn
*** * ** --- --- ---
Độ dễ
dàng
trong
quản lý
** *** *** ** *** ****
các hoạt
động
Chu kỳ
nâng cấp
sản phẩm
** ** * *** ** ****
Khả năng
tương
thích
SNMP
*** **** ** ** *** ***
Khả năng
hỗ trợ báo
cáo
**** **** **** *** *** ****
Hiệu suất
*** **** **** **** *** ***
Sự thích
hợp với cơ
sở hạ tầng
có sẵn
*** *** *** ** *** ****
Khả năng
thích hợp
trên nền
Windows
*** *** *** *** *** ***
