Host-Based IDS và Network-Based IDS (Phần 1)

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau
giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống
phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong
phần hai của bài này để hỗ trợ lựa chọn IDS
thích hợp cho tổ chức của
bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ
khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu
biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các
điểm mạnh cũng như điểm yếu của hệ thống IDS.

Chức năng của IDS

Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra
trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc
cung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trong
mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số
IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên
cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu
HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thống
Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ
các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công
nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà
bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giải
quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thể
hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối như
nó cư trú trên một máy tính nội bộ.
Sản phẩm
Loại
IDS

Giá thành
Thông
tin thêm
INTRUST Event
admin Aelita
HIDS
$599/máy chủ,
$64/máy trạm
Xem tại
đây
ELM 3.0 TNT
HIDS
$515 cho máy chủ, Xem tại
software
máy trạm và tác nhân
TCP/IP
đây
GFI LANguard
S.E.L.M
HIDS
$ 375 cho 2 máy chủ
và 10 máy trạm
Xem tại
đây
Snort ISS
NIDS
Gói phần mềm miễn
phí
Xem tại
đây

Cisco Secure
IDS
NIDS Trên $1000
Xem tại
đây
Dragon
Enterasys
NIDS Trên $1000
Xem tại
đây
Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu
trong phần 2.
Các thống kê về IDS

• Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng
bảo mật máy tính.

• 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính
vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.

• Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.

• Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS

• IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường
lửa hoặc một thành phần thay thế.

• Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ
sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức
sử dụng phần mềm chống virus không sử dụng IDS.


IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc
phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử
dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin
cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ
chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ.

Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ
bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một
sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của
công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được
đó là loại IDS nào phù hợp với tổ chức của họ nhất.

Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS
mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ
thống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể
ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo
thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố
gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự
ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện
các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ
thống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống
như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện virus.
Tất cả các gói đi qua được IDS đều được phân tích và so sánh với file mẫu
hoặc file dấu hiệu để xác nhận rằng nó không phải là file của kẻ tấn công
đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi
lại sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các
chuyên gia này có thể hành động kịp thời chống lại kẻ tấn công. Giống như
một phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nhật
file mẫu hoặc file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần

phải cập nhật kịp thời.

Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập
thông qua một con đường riêng thì các đường khác cũng sẽ được chúng thử
một cách lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và
thông báo để có thể cập nhật được các vấn đề của mạng. Nếu thấy xuất hiện
các cố gắng xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến
hành động này. Xem lại hệ thống luật để biết được phải làm những gì là
đúng luật, nhanh chóng đóng các lỗ hổng đối với hành động cố ý khá hoại và
sớm giải quyết để tránh bị những hậu quả phức tạp gây ra bởi kẻ tấn công
đối với tổ chức.

Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng
mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng
duyệt các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có
thể bị ăn trộm theo cách này.

Thời gian đáp ứng

Tất cả đáp ứng của các công ty bảo mật cần phải mau lẹ, chính xác và hiệu
quả. Dữ liệu của bạn và quyền sở hữu trí tuệ là tài sản của công ty và chúng
cần phải được bảo vệ tránh những kẻ xâm phạm, đựợc thiết lập cảnh báo
phải để thông báo kẻ xâm phạm đang cố gắng tìm cách đột nhập vào hệ
thống hoặc chuẩn bị ăn cắp thông tin của bạn. Nhiều chuyên gia bảo mật
không đối phó được với tấn công mà chỉ đơn thuần cắt mất con đường tấn
công của kẻ xâm nhập. Điều này đơn giản đã nhốt được kẻ xâm nhập và nếu
kẻ xâm nhập này được xác định thì xâm nhập này sẽ tạo ra các lỗ hổng có
thể bị phát hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy
tính trong một hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS
giá thành hợp lý đối với mỗi máy tính. Có một thuận lợi rất lớn cho điều này

đặc biệt khi có người dùng trong tập thể đi từ vị trí này sang vị trí khác hoặc
những người dùng mang máy tính sách tay của họ về nhà. Lý do cho vấn đề
này sẽ là nếu bạn có một HIDS trên máy tính Host giống như máy tính xách
tay thì người dùng sẽ được bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang
đi du lịch trên khắp thế giới và đang kết nối đến các mạng điều khiển xa bên
ngoài kiểm soát của bạn. Đây là một thuận lợi lớn và dễ dàng để thấy được
rằng HIDS sẽ giúp đỡ mặc dù người dùng không còn ở phía sau sự bảo mật
của NIDS mạng công ty rộng lớn. Sự đáp ứng sẽ mau lẹ và cần đến ít trợ
giúp hơn vì HIDS trên máy tính người dùng và bảo đảm cho người dùng trở
thành một IDS có thể tự bảo vệ hệ thống cho đến khi người dùng quay trở lại
môi trường mạng công ty.

NIDS ( Hệ thống phát hiện xâm phạm mạng)