Host-Based IDS và Network-Based IDS (Phần 1)

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về
sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập
mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ).
Đồng thời đưa ra một so sánh trong phần hai của bài này
để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn.
Những thực tế quan trọng và xem xét sẽ được giới thiệu
để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp
cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa
HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng
như điểm yếu của hệ thống IDS.

Chức năng của IDS

Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường
được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gì
đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS.
Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một
cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không
hoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDS
có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công
nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằng
các vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay
PAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết
nối như nó cư trú trên một máy tính nội bộ.
Sản phẩm
Loại
IDS
Giá thành
Thông tin

Cisco Secure IDS
NIDS Trên $1000
Xem tại
đây

Dragon Enterasys
NIDS Trên $1000
Xem tại
đây

Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2.
Các thống kê về IDS

• Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính.

• 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu
đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.

• Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.

• Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS

• IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thành
phần thay thế.

• Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS
cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử
dụng IDS.

IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống

Nếu thấy xuất hiện các cố gắng xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến
hành động này. Xem lại hệ thống luật để biết được ph
ải làm những gì là đúng luật, nhanh chóng
đóng các lỗ hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị những hậu quả
phức tạp gây ra bởi kẻ tấn công đối với tổ chức.

Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng mật khẩu để bảo vệ tất
cả thông tin nhạy cảm và không cho phép người dùng duyệt các trang mạng nội bộ không an
toàn vì những thông tin nhạy cảm có thể bị ăn trộm theo cách này.

Thời gian đáp ứng

Tất cả đáp ứng của các công ty bảo mật cần phải mau lẹ, chính xác và hiệu quả. Dữ liệu của bạn
và quyền sở hữu trí tuệ là tài sản của công ty và chúng cần phải được bảo vệ tránh những kẻ xâm
phạm, đựợc thiết lập cả
nh báo phải để thông báo kẻ xâm phạm đang cố gắng tìm cách đột nhập
vào hệ thống hoặc chuẩn bị ăn cắp thông tin của bạn. Nhiều chuyên gia bảo mật không đối phó
được với tấn công mà chỉ đơn thuần cắt mất con đường tấn công của kẻ xâm nhập. Điều này đơn
giản đã nhốt được kẻ xâm nhập và nếu kẻ xâm nhập này được xác định thì xâm nhập này sẽ tạo
ra các lỗ hổng có thể bị phát hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy
tính trong một hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS giá thành hợp lý đối
với mỗi máy tính. Có một thuận lợi rất lớn cho điều này đặc biệt khi có người dùng trong tập thể
đi từ vị trí này sang vị trí khác hoặc những người dùng mang máy tính sách tay của họ về nhà.
Lý do cho vấn đề này sẽ là nếu bạn có một HIDS trên máy tính Host giống như máy tính xách
tay thì người dùng sẽ được bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang đi du lịch trên khắp
thế giới và đang kết nối đến các mạng điều khiển xa bên ngoài kiểm soát của bạn. Đây là một
thuận lợi lớn và dễ dàng để thấy được rằng HIDS sẽ giúp đỡ mặc dù người dùng không còn ở
phía sau sự bảo mật của NIDS mạng công ty rộng lớn. Sự đáp ứng sẽ mau lẹ và cần đến ít trợ
giúp hơn vì HIDS trên máy tính người dùng và bảo đảm cho người dùng trở thành một IDS có
thể tự bảo vệ hệ thống cho đến khi người dùng quay trở lại môi trường mạng công ty.

mà nó cho rằng không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý.
Lược đồ trên mô tả hệ thống NIDS; nó cho thấy quá trình làm thế nào NIDS có
thể so sánh gói nguy hiểm với danh sách file dấu hiệu được lưu bên trong cơ sở
dữ liệu. Sơ đồ cũng áp dụng cho HIDS, trên máy tính mà HIDS được cài đặt.
Phân tích so sánh giữa HIDS và NIDS
Chức năng HIDS NIDS Các đánh giá
Bảo vệ trong
mạng LAN
**** ****
Cả hai đều bảo vệ bạn khi trong
mạng LAN
Bảo vệ ngoài
mạng LAN
**** - Chỉ có HIDS
Dễ dàng cho việc
quản trị
**** ****
Tương đương như nhau xét về bối
cảnh quản trị chung
Tính linh hoạt **** ** HIDS là hệ thống linh hoạt hơn
Giá thành *** * HIDS là hệ thống ưu tiết kiệm hơn
nếu chọn đúng sản phẩm
Dễ dàng trong
việc bổ sung
**** **** Cả hai tương đương nhau
Đào tạo ngắn hạn
cần thiết
**** **
HIDS yêu cầu việc đào tạo ít hơn
NIDS

** ****
NIDS có khả năng thích nghi trong
các nền ứng dụng hơn
Chế độ quét
thanh ghi cục bộ
**** -
Chỉ HIDS mới có thể thực hiện các
kiểu quét này
Bản ghi *** ***
Cả hai hệ thống đề có chức năng
bản ghi
Chức năng cảnh
báo
*** ***
Cả hai hệ thống đều có chức năng
cảnh báo cho từng cá nhân và quản
trị viên
Quét PAN **** -
Chỉ có HIDS quét các vùng mạng cá
nhân của bạn
Loại bỏ gói tin - ****
Chỉ các tính năng NIDS mới có
phương thức này
Kiến thức chuyên
môn
*** ****
Cần nhiều kiến thức chuyên môn khi
cài đặt và sử dụng NIDS đối với
toàn bộ vấn đề bảo mật mạng của
bạn