IDS trong bảo mật hệ thống mạng
Nguồn :
forum.t3h.vn

Trong bài viết này tôi trình bày với các bạn sự khác nhau giữa các dạng Intrusion
Detection, các khái niệm về các dạng đó, hiểu cách triển khai và cấu hình mỗi
dạng Intrusion Detection System. Intrusion Detection có khả năng phát hiện các
nguy cơ bảo mật xảy ra trong cả hệ thống mạng hay trong một hệ thống cụ thể.

Thông tin trọng yếu
Intrusion Detection là thiết bị bảo mật vô cùng quan trọng. Intrusion Detection
Systems (IDS) là giải pháp bảo mật được bổ sung cho Firewalls (hình dưới đây thể
hiện điều đó). Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động
trong hệ thống mạng và có khả năng vượt qua được Firewall.
Hầu hết các vấn đề liên quan tới IDS đó là cấu hình sai, đó là việc thiết lập các
thống số bị lỗi. Đó là những giao tiếp hợp lệ nhưng lại bị thiết bị IDS cảnh báo là
các giao tiếp đó là các đoạn mã nguy hiểm …
Có hai dạng chính của IDS đó là: Network Based và Host Based

Network Based
Một Network-Based IDS (hình dưới đây) sẽ kiểm tra các giao tiếp trên mạng với
thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin,
và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm
hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy
trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào
băng thông (bandwidth-based) của tấn công Denied of Service (DoS).

Host Based
Một Host-Based IDS hiển thị dưới hình dưới chỉ làm nhiệm vụ giám sát và ghi lại
log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và
ghi lại toàn bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và

các bugs, flaws hoặc các tính năng ẩn, và quét ports. Nhưng nó không có khả năng
phát hiện các tấn công dựa trên các email chứa các đoạn mã nguy hiểm.
Các thành phần của IDS hoạt động để giám sát mạng

IDS instructing TCP reset tất cả các kết nối.

IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại các tấn công vào
máy chủ Web cài IIS.

Honey Pots
Một honey-pot được thể hiện trong hình dưới là một môi trường giả lập được thiết
kế để dụ dỗ và đánh lừa các kẻ tấn công và những kẻ gây dối từ hệ thống mạng
bên trong. Honey-pot thường được phát triển như một lớp đệm của hệ thống mạng
với những người dùng bình thường, phân chia thành các vùng như: Internet, DMZ,
Internal.
Honey-pot hoạt động như một hệ thống mạng thật, với các thông số về dữ liệu và
tài nguyên nhưng thật ra nó lại được thiết kế để đánh lừa các kẻ tấn công. Những
kẻ tấn công sẽ scan và phát hiện những lỗ hổng bảo mật tại honey-pot nhưng đó
chỉ là môi trường ảo còn mạng thật vẫn được ngụy trang rất kỹ. Trong một hệ
thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với thiết lập và
nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công sẽ rất khó
khăn trong việc xác định mạng nào là mạng thật.
Việc tạo ra honey-pot nhằm cung cấp một lớp bảo vệ thông minh cho mạng của
bạn chống lại các kẻ tấn công nguy hiểm. Ngoài ra nó còn tạo một môi trường
giúp các nhà quản trị thực tập các bài test bảo mật nhưng vẫn không ảnh hưởng tới
hệ thống thật.
Một mạng honey pot đánh lừa những kẻ tấn công một cách thông minh.

Incident Response.
Khi một vấn đề bảo mật được phát hiện, incident response sẽ phải được thiết lập.