Tìm hiểu vê IDS và IDS trong mạng không dây
I. IDS(Intrusion Detection Systems)
I.1. Khái niệm về IDS
IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập)
là một thống giám sát lưu thông mạng, các hoạt động khả nghi
và cảnh báo cho hệ thống, nhà quản trị
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông
bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa
chỉ IP nguồn đó truy cập hệ thống mạ
ng,…..
IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong
công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt
về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để
phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo
đạc chuẩn của hệ th
ống) để tìm ra các dấu hiệu khác thường.
Trích:
Ta có thể hiểu tóm tắt về IDS như sau :
+ Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ
--------Giám sát : lưu lượng mạng + các hoạt động khả nghi.
--------Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
-------- Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà
có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
+ Chức năng mở rộng :
------- Phân biệt : "thù trong giặc ngoài"
------- Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ
vào sự so sánh thông lượng mạng hiện tại với baseline
I.2. Phân loại IDS
Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):
I.2.1. NIDS :
Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng
vào ra.
Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy
tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng
nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.
Trích:
NIDS :
------Ví trí : mạng bên trong --NIDS---mạng bên ngoài
------Loại : hardware (phần cứng) hoặc software (phần mềm)
------Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng.
------Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt
động ờ mức cao.
Một số sản phẩm NIDS :
-Cisco IDS
-Dragon® IDS/IPS
I.2.2. HIDS
Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS.
Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong
hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các
máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong
các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được
phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động
chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng
dụng UNIX và nhiều hệ điều hành khác.
Trích:
HIDS :
------Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS.
------Loại : software (phần mềm)
------Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS
------Ưu điểm :
----------------+ Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ ...
----------------+ Phân tích lưu lượng mạng rồi mới forward.
------Nhược điểm : Đa số chạy trên hệ điều hành Window . Tuy nhiên cũng đã có 1
số chạy được trên Unix và những hệ điề
u hành khác.
Một số sản phẩm HIDS :
-Snort(Miễn phí_ open source)
-GFI EventsManager 7
-ELM 5.0 TNT software:
I.3. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập:
Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác
nhau cũng được sử dụng cho dữ liệu đối với một IDS.
-Hệ thống Expert (Expert systems)
Trích:
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa t
ừ trước
để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được
kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy
ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T).
-Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection):
Trích:
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những