Host-Based IDS Network-Based IDS (Phần 1) Trong viết giới thiệu cho bạn khác NIDS (Hệ thống phát xâm nhập mạng) HIDS (Hệ thống phát xâm nhập máy chủ) Đồng thời đưa so sánh phần hai để hỗ trợ lựa chọn IDS thích hợp cho tổ chức bạn Những thực tế quan trọng xem xét giới thiệu để hỗ trợ chọn hệ thống Bài viết cung cấp cho bạn hiểu biết khác HIDS NIDS giới thiệu điểm mạnh điểm yếu hệ thống IDS Chức IDS Hệ thống IDS sử dụng để tạo bảo mật gói vào mạng IDS thường sử dụng để phát gói mạng việc cung cấp cho bạn hiểu biết thực xảy mạng Có hai tùy chọn bổ sung IDS HIDS NIDS Một số IDS có khả phân biệt khác loại lưu lượng mạng cổng cho bạn xem yêu cầu có phải yêu cầu HTTP cổng 80 hay không người dùng sử dụng hệ thống Instant Message ưu tiên cổng 80 khơng IDS có khả loại bỏ mã nguy hiểm làm hại mạng bạn Đây nâng cao công nghệ lĩnh vực tường lửa IDS có file mẫu mà bạn tin vấn đề gây lỗi mạng gần giải mạng LAN, WAN, WLAN hay PAN bạn HIDS hoạt động bạn bật hay tắt mạng LAN mạng kết nối cư trú máy tính nội Sản phẩm INTRUST Event admin Aelita ELM 3.0 TNT Loại IDS HIDS Giá thành Thông tin thêm $599/máy chủ, Xem $64/máy trạm HIDS $515 cho máy chủ, Xem máy trạm tác nhân software TCP/IP GFI LANguard S.E.L.M Snort ISS Cisco Secure IDS Dragon HIDS NIDS $ 375 cho máy chủ 10 máy trạm Gói phần mềm miễn phí NIDS Trên $1000 NIDS Trên $1000 Enterasys Xem Xem Xem Xem Bảng giới thiệu sơ qua sản phẩm, so sánh chi tiết giới thiệu phần Các thống kê IDS • Trên 90% mạng kết nối sử dụng IDS để phát lỗ hổng bảo mật máy tính • 4/7/02, Viện An ninh máy tính báo cáo có đến 80% thiệt hại tài vượt qua 455 triệu đơla bị gây xâm nhập mã nguy hiểm • Hàng triệu cơng việc bị ảnh hưởng xâm nhập • Chỉ có 0,1% cơng ty chi phí khoản thích hợp IDS • IDS đến nghĩ sản phẩm tường lửa thành phần thay • Nếu sử dụng phần mềm chống virus bạn phải xem xét đến việc bổ sung thêm IDS cho chiến lược bảo mật Hầu hết tổ chức sử dụng phần mềm chống virus không sử dụng IDS IDS công cụ chủ yếu đóng góp vào bảo mật tường lửa phần mềm chống virus Các công cụ khơng có hiệu sử dụng tách biệt Chính cần kết hợp công nghệ tin cậy kiểm tra chặt chẽ, bảo đảm ứng dụng IDS sử dụng cho tổ chức bạn giống việc mặc quần áo may đo cách tỉ mỉ Nhiều chuyên gia bảo mật mạng biết tường lửa thành phần kế hoạch bảo mật toàn diện Họ nhận thấy IDS sản phẩm bổ sung hữu hiệu để thực tốt chiến lược bảo mật công ty Nhưng mà chun gia bảo mật khơng nhận thấy loại IDS phù hợp với tổ chức họ Những kẻ xâm nhập có khả thích ứng sau hiểu có IDS mạng chúng sớm tìm kiếm đường khác để băng qua hệ thống IDS mạng Với hệ thống cảnh báo, khơng có cảnh báo ngăn chặn kẻ xâm nhập đột nhập vào hệ thống bạn, cảnh báo thường thông báo cho người sở hữu tương ứng hành vi cố gắng thực xâm nhập vào hệ thống Cảnh báo phục vụ ngăn chặn số trường hợp kẻ xâm nhập tiếp tục thực hành vi bất chấp có cảnh báo xuất Một số cảnh báo (hệ thống IDS) có khả loại bỏ gói hỏng mà nhận dạng theo giống cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát virus Tất gói qua IDS phân tích so sánh với file mẫu file dấu hiệu để xác nhận khơng phải file kẻ cơng sử dụng Nếu gói liệu bị loại bỏ IDS cấu hình để ghi lại kiện thơng báo đến chuyên gia bảo mật để chuyên gia hành động kịp thời chống lại kẻ công Giống phần mềm chống virus, sản phẩm hoạt động tốt cập nhật file mẫu file chữ dấu hiệu IDS bạn khuyên cần phải cập nhật kịp thời Hầu hết kẻ xâm nhập kiên trì chúng khơng thể truy cập thơng qua đường riêng đường khác chúng thử cách Chính phải thường xuyên đọc ghi thơng báo để cập nhật vấn đề mạng Nếu thấy xuất cố gắng xâm nhập từ nguồn cụ thể bạn cần phải để ý đến hành động Xem lại hệ thống luật để biết phải làm luật, nhanh chóng đóng lỗ hổng hành động cố ý hoại sớm giải để tránh bị hậu phức tạp gây kẻ công tổ chức Một ngun lý mã hóa tồn kho liệu mạng bạn Dùng mật để bảo vệ tất thông tin nhạy cảm không cho phép người dùng duyệt trang mạng nội khơng an tồn thơng tin nhạy cảm bị ăn trộm theo cách Thời gian đáp ứng Tất đáp ứng công ty bảo mật cần phải mau lẹ, xác hiệu Dữ liệu bạn quyền sở hữu trí tuệ tài sản công ty chúng cần phải bảo vệ tránh kẻ xâm phạm, đựợc thiết lập cảnh báo phải để thông báo kẻ xâm phạm cố gắng tìm cách đột nhập vào hệ thống chuẩn bị ăn cắp thông tin bạn Nhiều chun gia bảo mật khơng đối phó với công mà đơn cắt đường công kẻ xâm nhập Điều đơn giản nhốt kẻ xâm nhập kẻ xâm nhập xác định xâm nhập tạo lỗ hổng bị phát Lưu ý rằng, mạng bạn rộng gồm có nhiều máy tính hệ thống kết khối, bạn nên phải chọn HIDS giá thành hợp lý máy tính Có thuận lợi lớn cho điều đặc biệt có người dùng tập thể từ vị trí sang vị trí khác người dùng mang máy tính sách tay họ nhà Lý cho vấn đề bạn có HIDS máy tính Host giống máy tính xách tay người dùng bảo vệ lúc nào, chí du lịch khắp giới kết nối đến mạng điều khiển xa bên ngồi kiểm sốt bạn Đây thuận lợi lớn dễ dàng để thấy HIDS giúp đỡ người dùng khơng cịn phía sau bảo mật NIDS mạng công ty rộng lớn Sự đáp ứng mau lẹ cần đến trợ giúp HIDS máy tính người dùng bảo đảm cho người dùng trở thành IDS tự bảo vệ hệ thống người dùng quay trở lại môi trường mạng công ty NIDS ( Hệ thống phát xâm phạm mạng) Việc sử dụng NIDS đặt vấn đề lớn mạng xây dựng dựa switch không cho phép mở rộng cổng Bằng thiết kế chức chuyển mạch dựa nguyên lý truy cập trực tiếp tốc độ cao, truyền tải gói cách trực tiếp đến người nhận mà khơng phải tồn mạng giống mạng xây dựng dựa vào Hub Một số mạng bảo mật hoạt động theo cách khơng thể mở rộng cổng điều phải cần đến cảm biến, “các báo hiệu kiểm tra” cài đặt đoạn mà mở rộng cổng Đây điểm mà HIDS có ưu so với NIDS NIDS dựa tảng mạng HIDS dựa tảng máy chủ Nếu mạng bạn khơng có profile chặt chẽ bạn hồn tồn mở rộng cổng làm thành tất lưu lượng truyền tải switch đến cổng mở rộng Lưu ý, việc kích hoạt mở rộng cổng khơng có sẵn thiết bị switch biểu thị khác nhà sản xuất Việc kích hoạt chế độ mở rộng cổng gặp phải rủi ro cổng mở rộng bị kẻ xâm phạm xâm nhập theo đường Chỉ số hành động nhỏ việc mở rộng cổng bị kẻ cơng thu thập thơng tin cần thiết, từ đột nhập vào mạng bạn Một NIDS phải mơ tả thiết bị chuẩn có khả phát xâm nhập mạng NIDS gói phần mềm bạn cài đặt máy trạm chuyên dụng, máy trạm kết nối đến mạng thiết bị có phần mềm nhúng thiết bị kết nối vào mạng Sau kết nối vậy, NIDS quét tất lưu lượng truyền tải đoạn mạng đó; NIDS hoạt động nhiều cách giống ứng dụng chống virus phải có file mẫu file dấu hiệu để so sánh với gói truyền tải IDS hoạt động theo phương pháp phù hợp để tăng thơng lượng gói, kiểm tra, gói gây chậm mạng Sau sử dụng phương pháp tường lửa kiểm tra gói cách cho qua gói mà cho khơng nguy hiểm Q trình thực lọc tiền xử lý Lược đồ mơ tả hệ thống NIDS; cho thấy q trình làm NIDS so sánh gói nguy hiểm với danh sách file dấu hiệu lưu bên sở liệu Sơ đồ áp dụng cho HIDS, máy tính mà HIDS cài đặt Phân tích so sánh HIDS NIDS Chức Bảo vệ mạng LAN HIDS NIDS Các đánh giá **** **** Cả hai bảo vệ bạn mạng LAN Bảo vệ mạng LAN Dễ dàng cho việc quản trị Tính linh hoạt **** - **** **** **** ** Chỉ có HIDS Tương đương xét bối cảnh quản trị chung HIDS hệ thống linh hoạt HIDS hệ thống ưu tiết Giá thành *** * kiệm chọn sản phẩm Dễ dàng việc bổ sung Đào tạo ngắn hạn cần thiết **** **** Cả hai tương đương **** ** Tổng giá thành *** ** Băng tần cần yêu cầu overhead NIDS HIDS tiêu tốn bạn NIDS sử dụng băng tần LAN Network HIDS yêu cầu việc đào tạo LAN rộng, cịn HIDS khơng NIDS cần yêu cầu băng tần mạng mạng LAN Băng tần cần yêu cầu Cả hai cần băng tần ** ** (Internet) Internet để cập nhật kịp thời file mẫu NIDS yêu cầu phải kích hoạt Các yêu cầu cổng mở rộng - **** mở rộng cổng để đảm bảo lưu lượng LAN bạn quét Chu kỳ nâng cấp cho HIDS nâng cấp tất **** - client với file mẫu trung client tâm Khả thích NIDS có khả thích nghi ** **** nghi ứng dụng ứng dụng Chế độ quét ghi cục **** - Bản ghi *** *** Chức *** *** Chỉ HIDS thực kiểu quét Cả hai hệ thống đề có chức ghi Cả hai hệ thống có chức cảnh báo cảnh báo cho cá nhân quản trị viên Quét PAN **** - Loại bỏ gói tin - **** Chỉ có HIDS quét vùng mạng cá nhân bạn Chỉ tính NIDS có phương thức Cần nhiều kiến thức chuyên Kiến thức chuyên môn *** **** môn cài đặt sử dụng NIDS toàn vấn đề bảo mật mạng bạn Quản lý tập trung ** *** Khả vơ hiệu hóa hệ * **** số rủi ro NIDS có chiếm ưu NIDS có hệ số rủi ro nhiều so với HIDS Rõ ràng khả nâng cấp Khả cập nhật phần mềm dễ phần *** *** cứng HIDS nâng cấp thơng qua script tập trung Các nút phát HIDS có khả phát hiện nhiều đoạn **** ** theo nhiều đoạn mạng toàn mạng LAN diện HIDS (Hệ thống phát xâm phạm máy chủ) HIDS cài đặt cục máy tính làm cho trở nên linh hoạt nhiều so với NIDS HIDS cài đặt nhiều dạng máy tính khác cụ thể máy chủ, máy trạm, máy tính notebook HIDS cho phép bạn thực cách linh hoạt đoạn mạng mà NIDS thực Lưu lượng gửi tới host phân tích chuyển qua host chúng khơng tiềm ẩn mã nguy hiểm HIDS ưu việt NIDS việc thay đổi máy tính cục Trong NIDS tập trung vào mạng lớn có host HIDS cụ thể ứng dụng phục vụ mạnh mẽ cho thị trường Windows giới máy tính, có sản phẩm hoạt động ứng dụng UNIX nhiều hệ điều hành khác Câu hỏi cho NIDS hay HIDS? Có lẽ bạn nghĩ xem cần NIDS hay HIDS? Câu trả lời HIDS cho giải pháp hoàn tất NIDS cho giải pháp LAN Khi quản lý giải pháp HIDS u cầu kiến thức chuyên sâu, NIDS lại yêu cầu nhiều đến quan tâm bạn Mặc dù cần phải nhấn mạnh bạn cài đặt phần mềm chống virus không tường lửa bạn mà cịn cài đặt tất client Đây lý NIDS HIDS sử dụng kết hợp thành chiến lược IDS mạnh Hồn tồn nhận thấy NIDS dễ dàng bị vô hiệu hóa bối cảnh kẻ cơng Nên cài đặt nhiều nút phát mạng doanh nghiệp bạn HIDS với việc có NIDS với vài nút phát mà quét đoạn Nếu bạn quan tâm đến máy tính cụ thể, sợ kẻ cơng cơng nên sử dụng HIDS, định an toàn tương đương việc cài đặt cảnh báo an toàn cho bạn IDS hỗ trợ ghi cách chi tiết, nhiều kiện ghi hàng ngày, bảo đảm có liệu thích hợp chọn lọc bạn khơng bị ngập liệu khơng cần thiết HIDS có nhiều ưu điểm vấn đề NIDS sử dụng tài khoản để ghi cho tất máy mạng Nếu xem xét HIDS NIDS bạn phải chắn có hãng chuyên đưa file mẫu kỹ thuật backup có lỗ hổng Nếu có băng tần LAN hạn chế bạn nên quan tâm đến HIDS Nếu giá vấn đề bạn nên xem xét đến giải pháp Giải pháp NIDS thường tốn so với HIDS Sơ đồ biểu diễn kịch NIDS điển hình, có công cố gắng tạo đường lưu lượng thông qua thiết bị NIDS mạng Thiết bị màu đỏ biểu thị nơi NIDS cài đặt HIDS giải pháp toàn diện cho thấy mạnh mẽ mơi trường mạng Nó khơng quan tâm đến vị trí máy tính đặt đâu bảo vệ lúc Các máy màu vàng thể nơi HIDS cài đặt Kết luận Nếu bạn khơng nhanh kẻ cơng bước kẻ cơng nhanh chóng phát điểm yếu bạn cơng NIDS HIDS hồn tồn bảo vệ trường hợp bạn lỡ bước quan trọng này, bạn không hay biết mà kẻ công lại biết rõ ràng Việc tìm ứng dụng phù hợp nhiệm vụ không dễ dàng cung cấp cho tài liệu hướng dẫn chủ đề để thơng qua bạn biết lựa chọn sản phẩm cho tổ chức Mạng máy tính ngày chứa nhiều mối nguy hiểm, có vơ số kẻ xấu chống lại chiến lược an ninh bảo mật Chỉ có cách để đối phó với chúng phải biết chúng thử nghiệm cơng chống lại cơng Chiến lược chìa khóa việc lựa chọn chiến lược cách tốt để bảo đảm mạng bạn trì an tồn Thơng tin mà chia sẻ giúp bạn tạo định phù hợp chọn NIDS hay HIDS cho mạng  ... Câu hỏi cho NIDS hay HIDS? Có lẽ bạn nghĩ xem cần NIDS hay HIDS? Câu trả lời HIDS cho giải pháp hoàn tất NIDS cho giải pháp LAN Khi quản lý giải pháp HIDS u cầu kiến thức chuyên sâu, NIDS lại yêu...biết khác HIDS NIDS giới thiệu điểm mạnh điểm yếu hệ thống IDS Chức IDS Hệ thống IDS sử dụng để tạo bảo mật gói vào mạng IDS thường sử dụng để phát gói mạng việc... hệ thống NIDS; cho thấy q trình làm NIDS so sánh gói nguy hiểm với danh sách file dấu hiệu lưu bên sở liệu Sơ đồ áp dụng cho HIDS, máy tính mà HIDS cài đặt Phân tích so sánh HIDS NIDS Chức Bảo