Host-Based IDS and Network-Based IDS (Part 1)

Host-Based IDS và Network-Based IDS (Phần 1)Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểubiết hơn nữa...
Nội dung trích xuất từ tài liệu:
Host-Based IDS and Network-Based IDS (Part 1) Host-Based IDS và Network-Based IDS (Phần 1)Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhaugiữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thốngphát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trongphần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức củabạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợkhi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểubiết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu cácđiểm mạnh cũng như điểm yếu của hệ thống IDS.Chức năng của IDSHệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ratrong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việccung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trongmạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một sốIDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trêncùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầuHTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thốngInstant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏcác mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về côngnghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu màbạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giảiquyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thểhoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối nhưnó cư trú trên một máy tính nội bộ. Loại Thông Sản phẩm Giá thành IDS tin thêm INTRUST Event $599/máy chủ, Xem tại HIDS admin Aelita $64/máy trạm đây ELM 3.0 TNT HIDS $515 cho máy chủ, Xem tại software máy trạm và tác nhân đây TCP/IP GFI LANguard $ 375 cho 2 máy chủ Xem tại HIDS S.E.L.M và 10 máy trạm đây Gói phần mềm miễn Xem tại Snort ISS NIDS phí đây Cisco Secure Xem tại NIDS Trên $1000 IDS đây Dragon Xem tại NIDS Trên $1000 Enterasys đây Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2.Các thống kê về IDS• Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổngbảo mật máy tính.• 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chínhvượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.• Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.• Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS• IDS hầu như không được biết đến và được nghĩ như một sản phẩm tườnglửa hoặc một thành phần thay thế.• Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổsung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chứcsử dụng phần mềm chống virus không sử dụng IDS.IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặcphần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sửdụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tincậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổchức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ.Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơbản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là mộtsản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật củacông ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy đượcđó là loại IDS nào phù hợp với tổ chức của họ nhất.Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDSmạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệthống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thểngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báothường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cốgắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sựngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiệncác hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệthống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giốngnh ...