Host-Based IDS và Network-Based IDS (Phần 1)

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa...
Nội dung trích xuất từ tài liệu:
Host-Based IDS và Network-Based IDS (Phần 1) Host-Based IDS và Network-Based IDS (Phần 1) Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS.Chức năng của IDSHệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thườngđược sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gìđang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS.Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng mộtcổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay khônghoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDScó khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về côngnghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằngcác vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hayPAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kếtnối như nó cư trú trên một máy tính nội bộ. Loại Thông tin Sản phẩm Giá thành IDS thêm INTRUST Event $599/máy chủ, $64/máy Xem tại HIDS admin Aelita trạm đây ELM 3.0 TNT $515 cho máy chủ, máy Xem tại HIDS software trạm và tác nhân TCP/IP đây GFI LANguard $ 375 cho 2 máy chủ và 10 Xem tại HIDS S.E.L.M máy trạm đây Xem tại Snort ISS NIDS Gói phần mềm miễn phí đây Xem tại Cisco Secure IDS NIDS Trên $1000 đây Xem tại Dragon Enterasys NIDS Trên $1000 đâyBảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2.Các thống kê về IDS• Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính.• 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệuđôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.• Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.• Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS• IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thànhphần thay thế.• Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDScho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sửdụng IDS.IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chốngvirus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúngta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sửdụng cho tổ chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ.Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạchbảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiệntốt được chiến lược bảo mật của công ty. Nhưng những gì mà các chuyên gia bảo mật khôngnhận thấy được đó là loại IDS nào phù hợp ...