Host-Based IDS and Network-Based IDS

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa...
Nội dung trích xuất từ tài liệu:
Host-Based IDS and Network-Based IDS Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Host-Based IDS và Network-Based IDS (Phần 1) Nguồn : quantrimang.com  Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS. Chức năng của IDS Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối như nó cư trú trên một máy tính nội bộ. Loại Thông tin Sản phẩm Giá thành IDS thêm $599/máy chủ, $64/máy Xem tại INTRUST Event HIDS trạm đây admin Aelita $515 cho máy chủ, máy Xem tại ELM 3.0 TNT HIDS trạm và tác nhân đây software TCP/IP $ 375 cho 2 máy chủ và Xem tại GFI LANguard HIDS 10 máy trạm đây S.E.L.M Xem tại NIDS Gói phần mềm miễn phí Snort ISS đây Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Xem tại Cisco Secure NIDS Trên $1000 đây IDS Xem tại Dragon NIDS Trên $1000 đây Enterasys Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2. Các thống kê về IDS • Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính. • 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm. • Hàng triệu công việc bị ảnh hưởng do sự xâm nhập. • Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS • IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thành phần thay thế. • Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS. IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ. Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại IDS nào phù hợp với tổ chức của họ nhất. Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ thống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ thống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện viru ...