1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Tìm Hiểu Nhu Cầu Bảo Mật Mạng (Trong Thương Mại Điện Tử)

35 387 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 35
Dung lượng 212,5 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Việc sử dụng những phương pháp kiểm tra, những tổ chức có thể thu được một tầm nhìn chưa từng xảy ra thành cả dòng dữ liệu mạng và sự bố trí bảo mật mạng.Kiểm tra sự bảo mật Thông qua nh

Trang 1

Phần 1: Tìm hiểu nhu cầu bảo mật mạng (trong thương mại điện tử)

1 Tại sao phải bảo mật mạng ?

Nhiều nhà nghiên cứu ước tính có khoảng hơn 100 triệu host, với hơn 350 triệu người sử dụng liên quan Nhiều công ty lệ thuộc nặng nề vào ngành thương mại điện tử cho việc kinh doanh của họ.Việc hợp nhất internet vào trong tổ chức kinh doanh được đánh giá là

có hiệu quả.Những người sử dụng ở nhà thường xuyên tận dụng sự truy cập tốc độ cao

ma khá rẽ tới cho nhà của họ thông qua những cáp modem và những đường dây đang kí thuê bao điện thoại kĩ thuật số( DSLs) Điểm cốt yếu là những gì mà Internet mang lại mang tính công cộng hơn trước kia và vẫn phát triển rộng lơn mà không có thể không có điểm kết thúc

Trải qua nhiều năm trước đây,việc kinh doanh trên mạng, hay thương mại điện tử đã được cải thiện một cách mạnh mẽ về cả chất lượng của những công ty và cả sự tăng về thu nhập.Những ứng dụng thương mại điện tử như thương nghiệp điện tử, sự quản lí dây chuyền cung cấp, và điều khiển khả năng truy cập của những công ty vào tiến trình hợp

lí, sự điều hành giá thấp hơn, và làm tăng sự hài lòng của khách hàng

Vì vậy những ứng dụng đòi hỏi những mạng có nhiệm vụ then chốt như cung cấp âm thanh, hình ảnh, và dữ liệu công cộng, và những mạng này phải được thích nghi để hỗ trợcho việc tăng số người sử dụng và nhu cầu cho dung lượng và sự thực thi lớn hơn Tuy nhiên đối với những mạng có nhiều ứng dụng và có nhiều người sử dụng hơn nữa, chúng trở nên dễ bị tổn hại cho quá nhiều mối đe dọa từ việc bảo mật Để chống lại các mối đe dọa này va đảm bảo rằng sự giao dịch thương mại điện tử không bị tổn hại, kĩ thuật bảo mật phải đóng một vai trò quan trọng trong hệ thống mạng ngày nay

Tìm hiểu một mạng “kín” trong quá khứ

Một mạng khép kín đơn giản bao gồm một mạng được thiết kế và thực thi trong một môi trường hợp nhất, và cung cấp sự kết nối chỉ để biết những thành viên và những vị trí của

nó mà không kết nối tới mạng công cộng Những mạng được thiết kế theo cách này trong quá khứ và để đảm bảo an toàn một cách hợp lí bởi vì nó không có kết nối với bên ngoài

Một mạng tiêu biểu ngày nay:

Những mạng ngày nay được thiết kế với khả năng kết nối với Internet và mạng công cộng, và đó là một yêu cầu chính yếu Hầu hết các mạng ngày nay có một vài điểm truy cập tới những mạng khác kể cả mạng công cộng lẫn mạng cá nhân, vì vậy việc bảo mật cho những mạng này trở thành một nhiệm vụ quan trọng một cách tất yếu

Những mối đe dọa ngày càng tăng và dễ dàng sử dụng chúng :

Với việc phát triển một một số lớn các mạng đã kéo theo việc tăng những mối đe dọa

Trang 2

việc bảo mật từ 20 năm trước đây Không chỉ những hacker khám phá ra nhiều chỗ yếu,

mà những công cụ được sử dụng và trình độ kĩ thuật đòi hỏi để hack trở nên quá đơn giản Có những ứng dụng có sẵn mà yêu cầu một ít hay không có kiến thức cho tới công

cụ hacking Cũng có những ứng dụng vốn có cho việc xử lí sự cố một mạng mà khi được

sử dụng không đúng cách có thể dẫn tới nhiều mối đe dọa

Bảo mật mạng là cấp thiết :

Sự bảo mật đã di chuyển tới mặt trước của sự quản lí và thực thi mạng Đó là sự cần thiết cho sự tồn tại của nhiều việc kinh doanh để cho phép mở ra việc truy cập tài nguyên mạng, và đảm bảo rằng dữ liệu và những tài nguyên được an toàn như có thể

Nhu cầu của việc bảo mật mạng trở nên quan trọng hơn bởi vì những lí do sau đây:

- Yêu cầu cho thương mại điện tử Sự quan trọng của thương mại và nhu cầu cho những

dữ liệu cá nhân để đi qua những mạng công cộng đã làm tăng nhu cầu cho sự bảo mật mạng

- Yêu cầu cho việc truyền thông và thực hiện việc kinh doanh một cách an toàn trong những môi trường không an toàn một cách tiềm tàng Môi trường kinh doanh ngày nay đòi hỏi sự truyền thông với nhiều mạng công cộng và những hệ thống mà làm tăng nhu cầu cho nhiều sự bảo mật mạng có thể xảy ra khi những loại truyền thông được yêu cầu

- Kết quả là những mạng đòi hỏi những sự phát triển và thi hành của một chính sách bảo mật mạng diện rộng Sự thiết lập một chính sách bảo mật sẽ là những bước đầu tiên trong

sự di chuyển một mạng tới một thiết bị an toàn

2 Bảo mật mạng trong thương mại điện tử :

Bảo mật phải là một thành phần chủ yếu của bất kì chiến lược của thương mại điện tử Như những người quản lí hoạt động kinh doanh mạng mở ra những mạng của họ cho nhiều ứng ụng và nhiều người sử dụng, họ cũng bộc bộc lộ tới sự mạo hiểm cao hơn Kết quả đã là một sự gia tăng trong yêu cầu bảo mật kinh doanh

Internet đã thay đổi sự trông mông cơ bản của khả năng xây dựng những mối quan hệ vớikhách hàng của các công ty, nhà cung cấp, những thành viên, và nhân viên Việc chạy đua giữa những công ty để trở nên nhanh hơn và cạnh tranh hơn, thương mại điện tử thì đang cung cấp sự sinh ra những ứng dụng mới thú vị cho thương nghiệp điện tử, sự quản

lí chuỗi cung cấp, sự quan tâm khách hàng, sự lạc quan về lực lượng lao động, và những ứng dụng việc học qua mạng mà những tiến trình cải thiện, tăng tốc số lần thay đổi hoàn toàn , giá thấp hơn, và tăng sự hài lòng của người sử dụng

Thương mại điện tử yêu cầu những mạng có nhiệm vụ then chốt mà xem xét những cử triliên tục tăng quanh năm và đòi hỏi cho công suất và sự thực thi lớn hơn Những mạng này cũng cần cho việc điều khiển tiếng nói, âm thanh, và dữ liệu cộng cộng như sự hội tụ mạng thành một môi trường đa phục vụ

Trang 3

3 Những chính sách bảo mật của chính phủ Mỹ :

Sự phân chia pháp lí của những tổ chức và những lỗ thủng trong sự cẩn mật dữ liệu và tính liêm chính cũng có thể là vô cùng quí giá cho việc tổ chức Chính phủ Mỹ cũng ban hành và đang phát triển những sự sắp đặt để điều khiển những thông tin điện tử cá nhân Những sự sắp đặt tồn tại và phụ thuộc trong qui định chung mà sự tổ chức nếu vi phạm

có thể đương đầu một dãy các hình phạt Những điều sau đây là một số ví dụ:

- Hoạt động Gramm-Leach Bliley( GLB) – Bao gồm một vài sự sắp đặt chính cho sự thành lập bộ tài chính Sự thành lập này có thể chống một dãy hình phạt từ sự hoàn thànhcủa bảo hiểm FDIC để tăng mức hình phạt tiền tệ lên 1 tỉ đô la

- Hoạt động cải cách bảo mật thông tin của chính phủ (HIPPA) của năm 2000 – Nhiều cơ quan phải trải qua sự tự đánh giá hàng năm và những đánh giá độc lập của những thực tiễn và chính sách bảo mật của họ, mà được yêu cầu cho việc xem xét kết quả

- Hoạt động bảo hiểm sức khỏe có tính khả chuyển và có trách nhiệm giải trình (HIPPA) của năm 1996 (Bộ luật nhà nước 104-191) – Khía cạnh “ Sự đơn giản hóa việc quản trị ” của bộ luật đó yêu cầu Bộ phục vụ sức khỏe và con người của Mỹ (DHHS) để phát triển những chuẩn và sự đòi hỏi cho việc duy trì và sự chuyển giao thông tin nhận dạng những bệnh nhân riêng biệt Những chuẩn này được thiết kế cho những việc sau đây :

o Cải thiện tính hiệu quả và chất lượng của hệ thống chăm sóc sức khỏe bằng sự tiêu chuẩn hóa việc trao đổi dữ liệu điện tử cho sự chuyển giao tài chính và sự quản trị đã được định rõ

o Bảo vệ cho sự bảo mật và sự cẩn mật của thông tin sức khỏe

Dù một hacker bên ngoài là một thủ phạm của một vụ tấn công, việc lưu trữ thông tin mà thông tin này có thể được tìm thấy là tiềm năng của sự cẩu thả bởi phiên tòa nếu thông tinkhông được an toàn một cách thích đáng Hơn nữa những công ty mà trải qua những sự rạn nứt trong tính nguyên vẹn của dữ liệu có thể được yêu cầu để bênh vực chống lại sự kiện cáo bắt đầu bởi những khách hàng mà bác bỏ bị ảnh hưởng bởi những điều không đúng hay sự tấn công dữ liệu và tìm kiếm tiền tệ hay sự hủy hại ác liệt

4 Chính sách bảo mật mạng

Một chính sách bảo mật mạng có thể là đơn giản như một chính sách sử dụng có thể chấpnhận cho những tài nguyên mạng hay nó có thể là một vài trăm trang trong chiều dài và chi tiết mỗi yếu tố của sự kết nối và những chính sách liên hợp

Trang 4

Tại sao ta phải tạo chính sách bảo mật?

- Để tạo một ranh giới của tình hình bảo mật hiện tại của bạn

- Để thiết lập một khung sự thi hành bảo mật

- Vạch rõ những cách đối xử cho phép hoặc không cho phép

- Để giúp cho việc định rõ những công cụ và thủ tục cần thiết

- Để giao tiếp sự tương đồng và vạch rõ những vai trò

- Chỉ ra cách để giữ những cái vốn có của bảo mật

Những chính sách bảo mật cung cấp nhiều lợi ích và là giá trị cho thời gian và sự nỗ lực cần để phát triển chúng Việc phát triển một chính sách bảo mật :

- Cung cấp một tiến trình để kiểm toán sự bảo mật mạng đang tồn tại

- Cung cấp một khung bảo mật chung cho sự thi hành bảo mật mạng

- Vạch ra những cách đối xử cho phép hoặc không cho phép

- Giúp cho việc định rõ những công cụ và thủ tục cần thiết cho một tổ chức

- Làm cho sự thi hành và sự ép buộc bảo mật toàn cục có thể xảy ra Sự bảo mật máy tínhbây giờ là một vấn đề thuộc diện rộng và những tình trạng máy tính được trông đợi để làm cho phù hợp với chính sách bảo mật mạng

- Tạo ra một tiêu chuẩn cho những hoạt động dựa trên luật pháp nếu cần thiết

Chính sách bảo mật mạng nên chứa những gì?

- Lời phát biểu của người có thẩm quyền và phạm vi – Mục này chỉ rõ ai là người bảo đảm chính sách bảo mật mạng và những khu vực nào chính sách bao phủ

- Chính sách sử dụng có thể chấp nhận được – Mục này chỉ ra những gì công ty sẽ và sẽ không cho phép thu thập cơ sở hạ tầng thông tin của nó

- Chính sách sự nhận dạng và sự xác nhận là đúng – Mục này chỉ ra những kĩ thuật nào, thiết bị nào, hay sự kết nối nào của hai công ty sẽ sử dụng để bảo đảm rằng chỉ một cá thểriêng lẻ được ủy quyền để truy cập dữ liệu của nó

- Chính sách truy cập Internet – Mục này chỉ ra những gì mà công ty coi việc truy cập Internet đúng nội quy và thích hợp

- Chính sách truy cập khu trường sở Mục này chỉ ra cách những người ử dụng trên khu trường sở sẽ sử dụng cơ ở hạ tầng dữ liệu của công ty đó

- Điều khiển chính sách truy cập – Mục này chỉ rõ cách điều khiển những người sử dụng

sẽ truy cập cơ sở hạ tầng dữ liệu của công ty đó

- Cách trình bày thủ tục vốn có – Mục này chỉ rõ cách công ty sẽ tạo một đội trả lời vốn

có và những cách trình bày nó sẽ sử dụng trong suốt và sau ngay khi xảy ra

Phần 2: Tìm hiểu về chu trình bảo mật mạng

Tác giả: Lê Tài Nguyên

1 Chu trình bảo mật mạng là gì?

Cisco quan trọng nhất là việc bảo mật mạng, và cốt lõi của nó là dùng cho những cơ sở

hạ tầng nghiêm trọng mà những quốc gia được phát triển này và khác phụ thuộc vào

Trang 5

Mục này tổng kết lại cái nhìn về bảo mật mạng, và nó là một tiến trình liên tục.

Sau khi thiết lập những chính sách thích hợp, một công ty hoặc tổ chức phải có phương pháp nhận ra sự bảo mật như một phần của những sự điều hành mạng thông thường Điềunày có thể đơn giản như việc cấu hình những router ngăn cản những dịch vụ hay địa chỉ trái phép, hay phức tạp như việc cài đặt bức tường lửa, hệ thống phát hiện xâm nhập (IDS), những máy chủ có quyền tập trung, và những mạng máy tính cá nhân ảo được mã hóa

Sau khi phát triển một chính sách bảo mật, bảo đảm mạng của bạn sử dụng một sự đa dạng của những sản phẩm điểm (firewall, intrusion,…) Tuy nhiên trước khi bạn có thể bảo vệ mang máy tính của bạn, bạn cần phải kết hợp những sự hiểu biết của bạn về người

sử dụng, những tài sản cần sự bảo vệ và những cấu trúc liên kết mạng

Những giải pháp sau đây được dùng cho việc bảo mật một mạng :

- Sự chứng thực - Sự thừa nhận mỗi cá nhân sử dụng, và sự ánh xạ sự nhận dạng của

họ, vị trí, và thời gian cho chính sách; và sự cho phép của những dịch vụ mạng và những

gì họ có thể làm trên mạng

- Sự mã hóa - Một phương pháp đảm bảo cho sự cẩn mật, tính nguyên vẹn, tính chất

xác thục của sự truyền thông dữ liệu qua một mạng Giải pháp của Cisco kết hợp nhiều chuẩn, bao gồm chuẩn mã hóa dữ liệu (DES)

- Đắp vá những cỗ yếu dễ bị tấn công - Việc đắp vá và nhận dạng “những lỗ thủng”

bảo mật có thể xảy ra sẽ dàn xếp được một mạng

-Giám sát việc bảo mật

- Tìm ra những sự vi phạm cho chính sách bảo mật.

- Giải quyết sự kiểm định và sự phát hiệm xâm nhập thời gian thực của hệ thống.

- Thông qua những sự thi hành của việc bảo mật trong bước 1.

Để đảm bảo rằng một mạng yêu cầu được an toàn, điều quan trọng là phải kiểm tra tình

Trang 6

trạng sẵng sàng bảo mật máy quét những chỗ yếu dễ bị tấn công của mạng nhận ra khu vực có tình trạng yếu kém, và IDS có thể kiểm tra và đáp lại sự kiện bảo mật như chúng xảy ra Việc sử dụng những phương pháp kiểm tra, những tổ chức có thể thu được một tầm nhìn chưa từng xảy ra thành cả dòng dữ liệu mạng và sự bố trí bảo mật mạng.

Kiểm tra sự bảo mật

Thông qua những sự có hiệu lực của chính sách mạng bằng việc kiểm định hệ thống và việc quét những chỗ yếu dễ bị tấn công

Việc kiểm tra sự bảo mật cũng quan trọng như việc xem xét bảo mật Nếu không có sự kiểm tra giải pháp bảo mật ở nơi đó, nó không thể nào biết được những mối đe dọa nào đang và sắp tấn công Cộng đồng hacker là một môi trường luôn luôn thay đổi Bạn có thể thực thi việc kiểm tra này bằng chính bạn hay bằng một nguồn từ bên ngoài nó như lànhóm Đánh Giá Tình Hình Bảo Mật Cisco (SPA)

Nhóm Đánh Giá Tình Hình Bảo Mật Cisco (SPA) là một sự đánh giá tính dễ bị tấn công của mạng đặc biệt cung cấp một sự hiểu biết sâu sắc nhanh nhạy vào bên trong tình hình bảo mật của một mạng khách hàng Được chuyển giao bởi những kĩ sư bảo mật mạng Cisco chuyên nghiệp cao (NSEs), SPA Cisco bao gồm một số những nhà phân tích hình hột, sẵn dùng của những mạng nhà cung cấp dịch vụ pâhn tán, co dãn từ hình phối cảnh của một “hacker ”bên ngoài

Cải thiện bảo mật

- Sử dụng thông tin từ giai đoạn giám sát và kiểm tra để làm cải thiện tính bảo mật

- Điều chỉnh chính sách bảo mật như những sự mạo hiểm và những chỗ yếu của bảo mật được nhận dạng.

Hành động giám sát và kiểm tra này cung cấp dữ liệu cần thiết để cải thiện sự bảo mật mạng Những kĩ sư và những nhà quản trị mạng nên sử dụng thông tin từ giai đoạn giám sát và kiểm tra để tạo cho sự cải thiện thành sự thi hành bảo mật tốt như việc Điều chỉnh chính sách bảo mật như những sự mạo hiểm và những chỗ yếu của bảo mật được nhận dạng

2 Những loại nguy hiểm tấn công mạng

Mục này cung cấp một cái nhìn về sự đa dạng của những ảnh hưởng và những sự tấn công mạng

Nếu không có sự bảo mật thích hợp, bất kì phần nào của bất kì mạng nào có thể bị ảnh hưởng của những vụ tấn công hay những hoạt động trái phép mang tính xâm phạm

Trang 7

Những router, switch, và host tất cả có thể bị xâm phạm bởi những hacker chuyên

nghiệp, những người tấn công công ty, hay ngay cả những nhân viên quốc tế thật vậy, theo nhiều sự nghiên cứu, nhiều hơn phân nửa những người tấn công mạng trên thế giới được trả lương một cách bí mật

Học viện bảo mật máy tính (CSI) ở San Francisco ước tính rằng khoảng 60 tới 80 phần trăm sự lạm dụng mạng đến từ bên trong những công trình mà sự lạm dụng đã năm được nơi đó Để định rõ cách tốt nhất cho việc bảo vệ chống lại những sự tấn công, những nhà quản lí IT nên hiểu nhiều loại tấn công mà có thể được dử dụng và những mối nguy hiểm

ma những laọi tấn công này có thể gây ra cho cấu trúc hạ tầng thương mại điện tử

-3 Những mối đe dọa sự bảo mật mạng

Có bốn loại chung có thể tấn công mạng:

- Mối đe dọa không có cấu trúc – unstructured threats

- Mối đe dọa có cấu trúc – structured threats

- Mối đe dọa bên ngoài – external threats

- Mối đe dọa bên trong – internal threats

Bốn loại cụ thể như sau:

- Mối đe dọa không có cấu trúc – unstructured threats – những mối đe dọa đầu tiên

này bao gồm những hacker hiếm khi sử dụng những công cụ chung khác nhau, như là những tập lệnh vỏ bọc hiểm độc, những tội phạm máy tính ăn cắp password, những người

đề xuất số thẻ tín dụng, và những người đe dọa trình quay số Mặc dù những hacker trongloại này có thể có những mục đích hiểm độc, nhiều sự hấp dẫn hơn trong những sự thay đổi trí óc của những sự bảo vệ sự ăn cắp máy tính hơn việc tạo sự tàn phá

- Mối đe dọa có cấu trúc – structured threats – Những mối đe dọa này được taọ ra bởi

những hacker mà được thúc đẩy cao hơn và thạo một cách kĩ thuật.Thỉnh thoảng, tội phạm có tổ chức, những đối thủ công nghiệp, hay những tổ chức thu thập tình trạng bảo trợ thông minh thuê như những hacker

- Mối đe dọa bên ngoài – external threats – Những mối đe dọa này bao gồm những mối

đe dọa cấu trúc và không cấu trúc được tổ chức từ một nguồn bên ngoài Những mối đe dọa này có thể có những mục đích hiểm độc và phá hoại, hay một cách đơn giản là nhữnglỗi mà tạo ra một mối đe dọa

- Mối đe dọa bên trong – internal threats – Những mối đe dọa này tiêu biểu là những

nhân viên hiện tại hay cũ bất bình Mặc dù những mối đe dọa bên trong có thể dường nhưnhiều điềm xấu hơn những mối đe dọa từ những nguồn bên ngoài, thước đo bảo mật thì sẵn có để dùng cho việc làm giảm bớt những nguy hiểm từ những mối đe dọa bên ngoài

Trang 8

và trả lời khi bị tấn công

-4 Những loại tấn công đặc biệt

Tất cả những điều sau đây có thể được sử dụng để làm hại hệ thống của bạn:

- Những sniffer packet – packet sniffer

- Điểm yếu của địa chỉ IP – Ip weakness

- Những tấn công vào password – Password attack

- Sự phủ nhận dịch vụ hay Sự phủ nhận được phân tán của dịch vụ DoS or DDoS

- Những cuộc tấn công trung gian – Man-in-the-middle attack

- Những cuộc tấnm công vào lớp ứng dụng – application layer attack

- Khai thác sự tín nhiệm – trust exploitation

- Sự tái điều khiển cổng – port redirection

- Virus

- Con ngựa thành Troa – Trojan horse

- Lỗi điều hành – operator error

- Sự chảy tràn bảng CAM – CAM table flooding

- Bước truyền VLAN – VLAN hopping

- Sự nhiễm độc ARP/MAC—ARP/MAC poisoning

- Sự giả mạo ARP – ARP spoofing

- Tấn công VLAN cá nhân – private VLAN attack

- Multicast brute-force failover

- Sự thiếu DHCP

-

-5 Ví dụ về Packet Sniffer

Packet sniffer là một ứng dụng phần mềm ma sử dụng một mạch giao tiếp mạng trong chế độ pha tạp ( một chế độ ở nơi mà một mạch giao tiếp mạng gửi tất cả những gói nhậnđược từ mạng vật lí tới nột ứng dụng cho việc xử lí) để bắt giữ tất cả các gói mạng mà được gửi thông qua một mạng LAN Đây là một số đặc điểm của packet sniffer :

- Những packet sniffer khai thác thông tin thông qua những đoạn text rõ ràng.Những giaothức mà thông qua thông tin một cách rõ ràng bao gồm:

Trang 9

Một giao thức mạng chỉ định cách những gói dữ liệu thì được nhận dạng và đánh nhãn,

mà làm cho một mạng có thê chứng thực nơi mà một gói dữ liệu được dự định cho nó Bởi vì sự chỉ rõ cho những giao thức mạng, như là TCP/IP, được công bố một cách rộng rãi, một tác nhân thứ 3 có thể dễ dàng hiểu được những gói dữ liệu mạng và phát triển một packet sniffer ( ngày nay mối đe dọa thật sự xảy ra do bởi số lượng lớn từ những packet sniffer freeware và shareware có sẵn, mà không yêu cầu người sử dụng hiểu bất cứđiều gì về giao thức cơ bản)

-Packet Sniffer

Một packet sniffer có thể cung cấp cho những người sử dụng chúng với thông tin có ý nghĩa và thường bị hỏng, như tên tài khoản và mật khẩu của người sử dụng Nếu bạn sử dụng những cơ sở dữ liệu được mạng hóa, một packet sniffer có thể cung cấp một người tấn công với thông tin mà được truy vấn từ cơ sở dữ liệu, cũng như những mật khẩu và tên tài khoản người sử dụng dùng để truy cập vào cơ sở dữ liệu Một vấn đề nghiêm trọngvới việc tìm được mật khẩu và tài khoản truy nhập đó là những người sử dụng dùng lại những mật khẩu và tên truy nhập của họ thông qua những ứng dụng đa tác vụ

Thêm vào đó, nhiều nhà quản trị mạng sử dụng những packet sniffer để chẩn đoán và sửanhững vấn đề liên quan mạng Bởi vì trong tiến trình của sự thông thường và cần thiết của chúng làm nhiệm vụ quản trị những mạng này ( như những cái đó trong một bộ phận tiền lương)làm việc trong suốt những giờ nhân viên bình thường, chúng có thể khảo sát một cách có tiềm năng thông tin dễ bị tổn hại được phân bố thông qua mạng

Nhiều người sử dụng thuê một mật khẩu đơn lẻ truy cập vào tất cả các ứng dụng và tài khoản Bởi vì những kẻ tấn công biết và sử dụng những đặc diểm của con người ( tấn công những phương pháp được biết chung như những vụ tấn công điền hành thông thường), như việc sử dụng một mật khẩu đơn lẻ cho nhiều tài khoản đa người dùng, chúng thường thành công trong việc giành được quyền truy cập thông tin dễ bị tấn công. -

Có hai loại chính của packet sniffer :

• Mục đích chung

o Giành được tất cả các gói dữ liệu

o Bao gồm một vài hệ điều hành

o Những phiên bản freeware và shareware có sẵn

• Được thiết kế cho mục đích tấn công

Giành được 300 đến 400 byte đầu tiên

Tiêu biểu giành được những mục đang nhập ( Giao thức truyền bằng file ( FTP), rlogin

và telnet)

Sự di chuyển packet sniffer

Trang 10

Những kĩ thuật và công nghệ sau đây có thể được sử dụng để di chuyển những packet sniffer :

- Sự xác thực – Việc sử dụng sự xác thực chắc chắn là một sự lựa chọn đầu tiên cho sự

phòng thủ chống lại những packet sniffer Sự xác thực chắc chắn có thể được định rõ mộtcách rộng rãi như một phương pháp xác thực người sử dụng mà không thể dễ dàng bị phá

vỡ Một ví dụ chung của sự xác thực chắc chắn là mật khẩu một lần (OTPs)

- Mậ mã – sự hoàn trả những packet sniffer không thích hợp, mà là phương pháp có hiệu

quả nhất cho việc chống lại packet sniffer – ngay cả nhiều ảnh hưởng hơn việc ngăn ngừahay phát hiện những packet sniffer Nếu một kênh truyền thông là sự an toàn về mật mã, thì dữ liệu chỉ là một đoạn text không có giá trị đối với packet sniffer ( bề ngoài chúng khi là những chuỗi bit) và không là thông điệp gốc sự phát triển mật mã mức độ mạng Cisco thì dựa trên IPSee, nó là một phương pháp chuẩn cho những dịch vụ mạng để truyềthông với việc sử dụng IP một cách riêng biệt những giao thức mã hóa khác cho sự quản

lí mạng bao gồm giao thức bảo vệ tiện ích (SSH) và lớp bảo vệ lỗ hỏng ( SSL)

Phần 3: Hệ thống phát hiện xâm nhập

1 Hệ thống phát hiện xâm nhập là gì?

Khi bạn đặt một đồng hồ báo động trên những cánh cửa và trên những cửa sổ trong nhà của bạn, giống như việc bạn đang cài đặt một hệ thống phát hiện xâm nhập (IDS) trong nhà bạn vậy Hệ thống phát hiện xâm nhập( IDSs) được dùng để bảo vệ mạng máy tính của bạn điều hành trong một ki6ẻu đơn giản Một IDS là một phần mềm và phần cứng hmột cách hợp lí để mà nhận ra những mối nguy hại có thể tấn công chống lại mạng của bạn Chúng phát hiện những hoạt động xâm phạm mà xâm nhập vào mạng của bạn Bạn

có thể xác định những hoạt động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call, và những khu vực khác mà phát ra những dấu hiệu chống lại mạng của bạn

Trước sự triển khai một IDS, bạn phải hiểu những lợi ích mà một IDS cung cấp Bên cạnh việc phát hiện những cuộc tấn công, hầu hết hệ thống phát hiện xâm nhập cũng cungcấp vài loại cách đối phó lại những tấn công, như việc thiết lập những kết nối TCP.Việc phát hiện những cuộc tấn công chống lại mạng của bạn( được đề cập trong chương

1, “ Nhu cầu bảo mật mạng”), tuy nhiên trước hết nó là khung thành của sự phát hiện xâm nhập Những hoạt động xâm nhập có thể bị phát hiện trong nhiều cách khác nhau Vìvậy, mọi người có thể thiết kế những loại IDSs khác nhau để giải quyết những vấn đề phát hiện xâm nhập

Những loại hoạt động giám sát phụ thuộc vào những hệ thống IDS mà bạn sử dụng Mỗi loại IDS khác nhau có những điểm mạnh và những điểm yếu của nó Tuy nhiên, bạn có thể đánh giá mỗi IDS bằng việc xem những điều sau đây:

Trang 11

• Khởi sự(Trigger)

• Giám sát vị trí(Monitoring location)

• Những đặc trưng ghép( Hybrid characteristic)

IDS Trigger-Trigger của hệ thống IDS

Mục đích của bất kì một IDS cũng là phát hiện khi có một kẻ xâm nhập tấn công mạng của bạn Tuy nhiên,không chỉ mỗi IDS sử dụng cùng một triggering mechanism để tạo ra một chuông báo động Hệ thống IDS hiện tại sử dụng 2 triggering mechanism chính:

• Phát hiện một cách không bình thường( Anomaly detection)

• Phát hiện sử dụng không đúng( misuse detection)

Những Trigger mechanism

Những trigger mechanism đề cập tới những hoạt động mà IDS muốn tạo ra một chuông báo Trigger mechanism cho một chuông báo động trong nhà có thể là một sự vỡ ra của cửa sổ Một IDS của mạng có thể sinh ra một chuông báo nếu một hệ thống chắc chắn gọinhững thực thi Bất kì việc gì mà có thể phát tín hiệu như một sự xâm nhập có thể là một trigger mechanism

Anomaly detection-Sự phát hiện không bình thường

Anomaly detection thỉnh thoảng cũng đề cập tới như hệ thống phát hiện based IDS) Với sự phát hiện này, bạn phải xây dựng những hiện trạng ( profile) cho những cá nhân sử dụng riêng Trong tình huống khác, những profile này kết hợp chặt chẽ với một thói quen người dùng cơ bản, những dịch vụ mà anh ta sử dụng một cách thường xuyên,… Những profile này xác định rõ một vạch ranh giới cho những hoat động mà người dùng thông thường làm một cách thường lệ để thực thi công việc của họ

Việc xây dựng và cập nhật những proie này miêu tả một phần ý nghĩa của mạng yêu cầu

để triển khai một IDS anomaly-based Chất lượng của những profile này liên hệ trực tiếp tới cách IDS của bạn thành công ở việc phát hiện những hiểm họa tấn công mạng của bạn Mọi người có kinh nghiệm với những đường đi( traffic) thông thường cho những người dùng khác nhau trên những mốc thời gian và khi đó tạo ra những qui luật mà làm mẫu những thói quen này

Trang 12

Anomaly Detection với mạng thần kinh.

Anomaly Detection cuối cùng sử dụng gần giống như mạng thần kinh Những mạng thần kinh là một hình thức của sự thông minh nhân tạo nơi bạn cố gắng làm để gần giống như công việc của một dây thần kinh sinh học, như là những gì tìm thấy trong bộ não của con người Với những hệ thống này, bạn đào tạo chúng bằng việc trình bày chúng với một số lượng lớn dữ liệu và qui tắc liên quan đến dữ liệu Sau khi hệ thống được đào tạo, traffic mạng được dùng như một sự kích thích tới mạng thần kinh để chứng minh nơi mà traffic được coi như bình thường

Issues-Những kết quả

Những profile người sử dụng tạo thành trái tim của một IDS anomaly-based Một vài hệ thống sử dụng một giai đoạn đào tạo ban đầu mà những người giám sát mạng cho một khoảng thời gian định trước Khi đó đường đi này sử dụng để tạo ra một vạch ranh giới người sử dụng Vạch ranh giới này định rõ một traffic thông thường trên mạng là như thế nào Sự bất lợi với sự đến gần này là những điều nếu như công việc của người sử dụng thay đổi theo thời gian, họ bắt đầu tạo ra những chuông báo sai

Những hệ thống khác giữ những số liệu thống kê liên tục hay chỉ liên tục cho những chênh lệch nhỏ trong thói quen người sử dụng Trong môi trường này, sự xác định thông thường chỉ để kê khai liên tục cho những thay đổi trong thói quen điều hành của người sửdụng Sự bất lợi của sự tiến gần này là những gì mà một kẻ tấn công kiên quyết có thể rènluyện hệ thống tăng dần cho tới khi traffic tấn công thật sự của anh ta xuất hiện như một traffic thông thường trên mạng

Benefits-Những lợi ích

Hệ thống anomaly detection đề cập một vài sự thuận lợi toàn diện Đầu tiên họ có thể phát hiện nhiều kẻ tấn công bên ngoài hay kẻ trộm tài khoản một cách dễ dàng Nếu một tài khoản đặc biệt liên quan tới một một thư kí văn phòng bắt đầu thử những chức năng của một nhà quản trị mạng, ví dụ điều này có thể gây ra một báo động

Sự thuận lợi khác là những gì mà một kẻ tấn công không hoàn toàn chắc chắn những gì

mà hoạt động tạo ra một cái chuông báo Với một IDS chữ kí( signature-based IDS) một người tấn công có thể kiểm tra những gì mà traffic có thể tạo ra một cái chuông báo trongmột môi trường lab Bằng việc sử dụng những thông tin này, anh ta có thể sử dụng nhữngcông cụ cùng nghề mà đi qua hệ thống sinature-based IDS Với hệ thống anomaly

detection kẻ tấn công không biết dữ liệu đào tạo được sử dụng , ví vậy anh ta không thể chiếm lấy bất kì hoạt động quan trọng nào sẽ rơi vào tình trạng không tìm ra

Tuy nhiên sự thuận lợi chính của anomaly detection là những gì mà những chuông báo không dựa trên những chữ kí(signature) đặc biệt, những sự tấn công được biết

trước( trong đoạn này, một signature là một thiết lập những qui luật nhận ra đường đi đặc biệt mà mô tả những hoạt động xâm phạm) Thay vì chúng dựa trên một profile mà chỉ định rõ hoạt động của người sử dụng thông thường

Vì vậy, một IDS sinature-based có thể tạo ra một chuông báo cho những tấn công không

Trang 13

công bố trước đây, giống như những cuộc tấn công mới chênh lệch từ những hoạt động của người sử dụng thông thường Vì vậy, hệ thống IDS anomaly-based có thể phát hiện những cuộc tấn công mới trong lần đầu tiên chúng sử dụng.

Những cuộc tấn công không công bố trước đây

Sau khi những cuộc tấn công được công bố ra công cộng, Những đại lí có thể làm việc trên những bảng đắp vá bảo mật, và những chữ kí có thể được phát triển để phát hiện những đường đi bị tấn công bằng việc sử dụng một hệ thống IDS signature-based

Trước khi những cuộc tấn công này được phóng thích ra công cộng, chúng được biết như những tấn công không biết trước Bởi vì anomaly detection không giống như đường đi đặc biệt( chỉ một sự sai lệch từ bình thường), nó có thể phát hiện nhiều sự tấn công khôngcông khai một cách trước đây khi chúng được sử dụng ban đầu chống lại mạng của bạn

Những điều trở ngại (Drawback)

Trên cạnh dưới, anomaly detection có một vài trở ngại:

• Thời gian đào tạo ban đầu dài

• Không có sự bảo vệ mạng trong suốt quá trình đào tạo

• Khó khăn để xác định thông thường

• Phải cập nhật những profile của người sử dụng như sự thay đổi nhiều tính cách

• Những sự phủ định sai nếu đường đi xuất hiện thông thường

• Khó khăn để hiểu được việc báo động

• Phức tạp và khó khăn để hiểu

Đầu tiên bạn phải cài đặt IDS anomaly-based của bạn và thử nó cho những khoảng thời gian đặc biệt, mà có thể nhận lấy hàng tuần Bạn sử dụng những việc đào tạo này để quansát đường đi thông thường trên mạng.Việc xác định những thứ cấu thành đường đi thông thường không là một nhiệm vụ đơn giản Vì vậy, trong suốt thời gian đào tạo này, IDS không bảo vệ mạng của bạn

Vấn đề khác là những gì con người hướng về những hoạt động khác nhau của họ.Họ luônluôn không làm theo những mẫu thật giống nhau một cách thường xuyên Nếu thời gian huấn luyện ban đầu là không tương xứng, hay sự xác định của tình trạng bình thường thì lỗi thời và sai, tính chất sai lệch là không thể tránh khỏi

Khi những người sử dụng lạc từ đường định tuyến thông thường, IDS tạo ra một cái chuông nếu những hoạt động này rơi quá xa từ tình trạng thông thường IDS tạo ra đồng

hồ này dù là không có hoạt động xâm phạm thật sự tham gia nơi đó

Sự xác nhận tình trạng thông thường cũng thay đổi trên cuộc sống của mạng của bạn Như sự thay đổi mạng của bạn, đường đi nhận ra tình trạng thông thường có thể bị thay đổi Nếu điều này xảy ra, bạn phải cập nhật những profile người sử dụng của bạn để cho thấy những thay đổi đó Đối với một mạng mà thay đổi một cách liên tục, việc cập nhật những profile người sử dụng có thể trở thành một sự thay đổi chính

Hơn nữa, nếu những nhóm người sử dụng của bạn thực thi một thiết lập những hoạt động linh tinh, nó thì hoàn toàn khó khăn đối với bất cứ thứ gì để chống lại như những điều dị thường

Một profile-based IDS có thể tạo ra một false negative nếu những hoạt động xâm phạm

Trang 14

không lệch khỏi trạng thái không bình thường Thỉnh thoảng, những hoạt động xâm phạm

có thể xuất hiện tương tự như đường đi người sử dụng thông thường

Trong tình trạng này, nó có thể là khó khăn hay không thể xảy ra được cho một based IDS để phân biệt những hoạt động này như một sự xâm phạm và tạo ra một chuôngbáo Điều này có thể là một vấn đề có ý nghĩa nếu những nhóm người dùng của bạn thực thi một thiết lập những hoạt động khác nhau

negative Hơn nữa, khi bạn nhạy cảm với những hệ thống của bạn để báo cáo một vài false negative, bạn có khuynh hướng làm tăng số lượng false possitive mà nhận báo cáo.Nó là một sự thỏa hiệp bất biến

Không giống như misused-based IDS, anomaly-based IDS không có một sự tương quan trực tiếp giữa những cái chuông báo và những sự tấn công tiềm tàng Khi những hoạt động lệch hướng từ tình trạng thông thường đã được thiết lập của bạn, IDS của bạn sẽ tạo

ra một chuông báo Sau đó nó thì trên nhà quản trị hệ thống của bạn để định rõ ý nghĩa thật sự của chuông báo

Drawback cuối cùng cho một anomaly-based IDS là sự phức tạp của nó Nó thì không dễ

để giải thích cách mà hệ thống điều hành Với một signatured-based IDS, nếu hệ thống thấy một chuỗi dữ liệu đặc biệt, nó tạo ra một chuông báo Tuy nhiên, với một anomaly-based IDS bạn làm phức tạp những thông số hay lý thuyết thông tin kết hợp với mạng thần kinh Những người sử dụng thì không thoải mái khi họ không hiểu IDS của họ một cách hoàn toàn Hơn nữa, nhựng cái thiếu của việc hiểu này làm giảm hiệu quả của ngườidùng trong IDS

Misuse Detection-Phát hiện sự lạm dụng

Phát hiện sự lạm dụng( Misuse detection), cũng được biết như signature-based detection, giống như hoạt động xâm phạm mà tranh giành những signature đặc biệt Những

signature này được dựa trên một sự thiết lập những qui luật mà giành những mẫu tiêu biểu và khai thác được sử dụng bởi những kẻ tấn công nhằm chống lại sự truy cập vào mạng của bạn Những kĩ sư mạng khéo léo cấp cao nghiên cứu cách nhận biết tấn công

và những chỗ yếu nhằm phát triển những qui luật cho mỗ signature

Việc xây dựng những signature rành mạch làm giảm những cơ hội của false possitive trong khi làm nhỏ cơ hội của false negative Một misuse-detection-based IDS cấu hình hoàn chỉnh tạo ra mức thấp nhất false negative Nếu một misuse-based IDS liên tục tạo ranhững false positive , sự ảnh hưởng toàn diện của nó sẽ được giảm

Benefits-Những lợi ích

Misuse detection cung cấp một số lợi ích Một vài lợi ích chính bao gồm :

• Những signature dựa trên những hiểu biết về hoạt động xâm nhập

Trang 15

• Những tấn công được phát hiện thì rõ ràng

• Hệ thống thì dễ dàng hiểu

• Những tấn công được thay đổi liên tục sau khi cài đặt

Mỗi misuse-based IDS phát hiện một thiết lập rõ ràng của những cuộc tấn công signature.Bằng việc sử dụng một misuse-based IDS, bạn có thể chắc chắn những gì mà những tấn công xâm nhập rõ ràng bị phát hiện Những kĩ sư mạng thường xuyên phát triển những qui luật để tạo ra những signature dựa trên những tấn công mới Hơn nữa, những

signature phát triển tốt tạo ra những false positive ở mức thất nhất

Với một hệ thống misuse-based IDS, mỗi cuộc tấn công vào cơ sở dữ liệu chữ kí có một tên signature và một sự nhận dạng Một người sử dụng có thể thể hiện tất cả những signature trong cơ sở dữ liệu và chỉ rõ một cách chính xác những tấn công nào mà IDS cần báo động

Bằng việc hiểu biết về những tấn công đặc biệtt trong cơ sở dữ liệu signature, người sử dụng có thể tin tưởng vào khả năng của IDS để bảo vệ mạng của họ Khi những tấn công mới lộ ra, chúng cũng có thể xác nhận những gí mà IDS của họ cập nhật để phát hiện chúng

Người sử dụng hiểu những phương pháp luận cơ bản sau một misuse-based IDS Những

kĩ sư mạng phân tích những tấn công thực thụ và sau đó phát triển những signature để phát hiện những hoạt động này Sẽ tồn tại một sự tương ứng giữa chuông báo và những tấn công Một người dùng có thể tạo ra một đường đi tấn công và theo dõi một chuông báo đặc biệt

Drawbacks-Những trở ngại

Mặc dù misuse-based IDS cung cấp nhiều lợi ích, nhưng chúng cũng có những bất lợi lớnsau:

• Việc duy trì tình trạng thông tin( ngay cả phạm vi hiểu biết)

• Việc cập nhật cơ sở dữ liệu signature

• Những tấn công mà phá vỡ IDS(false negative)

• Sự bất lực để phát hiện những tấn công lạ

Để phát hiện xâm nhập, một misuse-based IDS kiểm tra thông tin và sau đó so sánh nó với signature trong cơ sở dữ liệu của nó Tuy nhiên,thỉnh thoảng những thông tin này trải dài ra thông qua nhiều gói dữ liệu

Khi một signature yêu cầu nhiều mảnh dữ liệu, IDS phải duy trì tình trạng thông tin về một signature bắt đầu khi nó thấy những mảnh dữ liệu đầu tiên Tình trạng thông tin này phải được duy trì trong khoảng thời gian của event horizon

Event horizon

Để phát hiện ra tấn công, một signature-based IDS kiểm tra dữ liệu được đưa vào nó Đôikhi nhiều mảnh dữ liệu thì cần thiết để chống lại một cuộc tấn công signature.Một số lượng thời gian cực lớn qua nơi mà một tấn công signature có thể được phát hiện thành công( từ dữ liệu ban đầu tới dữ liệu cuối cần thiết cho việc hoàn thành cuộc tấn công signature) được biết như event horizon IDS phải duy trì tình trạng thông tin trong suốt event horizon này

Chiều dài của event horizon khác nhau Đối với một vài tấn công, event horizon thì từ

Trang 16

người nhập vào hệ thống( logon) tới người rời hệ thống( logoff); bất kì nơi nào đối với những tấn công khác nhau, như một cổng chậm quét qua, event horizon có thể kéo dài cả tụần Một điểm quan trọng để hiểu là IDS của bạn không thể duy trì tình trạng thông tin một cách vô hạn định; vì vậy nó sử dụng event horizon để gi7ói hạn khoảng thời gian mà no‘ lưu trữ tình trạng thông tin.

Bởi vì misuse-based IDS so sánh đường đi mạng chống lại những signature được biết trong cơ sở dữ liệu của chúng, những kẻ tấn công cố gắng che đậy những tấn công chúng.Với việc đạt được những thay đổi nhỏ cho sữ liệu tấn công, đôi khi chúng có thể thoát khỏi cuộc tấn công thông qua misuse-based iDS mà không tạo ra một chuông báo, ví vậy

là nguyên nhân gây ra một false negative Tình trạng tốt của sự xác định 1 signature đã chỉ ra cách một misuse-based IDS thành công đó là ở việc trình bày false negative

Khi những tấn công mới xuất hiện, cơ sở dữ liệu signature được sử dụng bởi based IDS phải được cập nhật Việc cập nhật thường xuyên của cơ sở dữ liệu signature là quan trọng cho signature-based IDS thành công Tuy nhiên hiện tại việc giữ cơ sở dữ liệuđược cập nhật thì rất khó

misuse-Một trở ngại lớn cho misuse-based IDS đó là sự bất lực của nó để nhận ra những tấn côngtiềm ẩn Tuy nhiên điều này không có nghĩa là một signature-based IDS không thể phát hiện bất kí tấn công mới nào Khi những người phát triển tạo ra những signature mới, họ thử tạo ra một signature linh hoạt khi có thể, trong khi khả năng false horizon là thấp nhất Với việc sử dụng kĩ thuật này, nhiều signature phát hiện một lớp tấn công ngay cả chúng dựa trên những thành công đặc biệt

IDS Monitoring Location-Sự giám sát những vị trí của IDS

Bây giờ ta đã có những kiền thức cơ bản của những hoạt động xâm nhập mà có thể tạo ra chuông báo động từ IDS của bạn, đó là thời gian để kiểm tra nơi một I xem đường đi xâmnhập này Hệ thống IDS giám giát một trong hai vị trí tiêu biểu là:

• The Host

• The network

A Hệ thống phát hiện xâm nhập Host-Based :

Host-based IDS kiểm tra sự xâm nhập bằng cách kiểm tra thông tin ở host hay mức hệ điều hành Hệ thống IDS này kiểm tra nhiều diện mạo host của bạn, như hệ thống những cuộc gọi(system call), bản ghi kiểm toán( audit log), thông điệp lỗi(error message),…Hình dưới đây minh họa cho một sự miệu tả host-based IDS tiêu biểu

Mục này miêu tả những đặc điểm của hệ thống phát hiện Host-Based bao gồm một hình ảnh của sự triển khai kệ thống phát hiện xâm nhập host-based cơ bản

Một hệ thống phát hiện xâm nhập host-based ( HIDS) kiểm tra những file log vào

host,những hệ thống và tài nguyên host file Một sự tiện lợi của hệ thống HIDS là những

gì mà nó có thể xem xét tiến trình của hệ điều hành và bảo vệ những tài nguyên hệ thống

Trang 17

đặc biệt bao gồm những tập tin mà có thể chỉ tồn tại trên những host đặc biệt.

Một hình thức đơn giản của HIPS là có khả năng đang nhập vào một host Tuy nhiên nó

có thể trở thành nhân sự đắc lực để chuyển đổi và phân tích những log này Phần mềm HIPS ngày nay yêu cầu phần mềm Agent phải được cài đặt trên mỗi host để xem xét những hoat động thực thi trên nó và chông lại những host Phần mềm Agent thực thi những phân tích và bảo vệ phát hiện xâm nhập vào host

Những thuận lợi

Bởi vì một host-based IDS kiểm tra đường đi sau khi nó tiến tới đích(target) của cuộc tấn công( việc thừa nhận host là một đích), nó có thông tin trực tiếp trên sự thành công của những tấn công Với một networ-based IDS, chuông báo được tạo ra trên những hoạt động xâm nhập biết trước, nhưng chỉ một host-based IDS có thể xác định sự thành công hay thất bại thật sự của những cuộc tấn công

Vấn đề khác như những mảnh vỡ ráp lại và những cuộc tấn công Time-To-Live có thể thay đổi(TTL) thì khó để nhận biết việc ử dụng network-based IDS Tuy nhiên, một host-based IDS có thể sử dụng cụm IP riêng của host để dễ thỏa thuận với những vấn đề này

Những khó khăn

Host-based IDS có một vài trở ngại hay khó khăn:

• Giới hạn tầm nhìn mạng

• Phải xử lí mỗi hệ điều hành trên mạng

Khó khăn đầu tiên đối với host-based IDS là giới hạn tầm nhìn mạng với sự liên quan tới

sự tấn công Ví dụ,hầu hết hệ thống IDS này không phát hiện những cú quét port chống lại những host Vì vậy, nó thì cũng không thể làm được với host-based IDS để phát hiện những cú quét dọ thám chống lại mạng của bạn Những cú quét này cho thấy một đồng

hồ chỉ thị cho nhiều tấn công khác chống lại mạng của bạn

Khó khăn khác của host-based IDS đó là phần mềm phải chạy trên mỗi host của mạng Điều này miêu tả vấn đề phát triển mới cho những mạng hỗn tạp được soan với một số hệđiều hành Đôi khi, đại lí host-based IDS có thể chọn để hỗ trợ nhiều hệ điều hành bởi vì những vấn đề hỗ trợ này Nếu phần mềm host-based IDS của bạn không hỗ trợ tất cả hệ điều hành trên mạng, mạng của bạn không bảo vệ toàn vẹn để chống lại những xâm nhập

Hình 3.2 sự tấn công Vriable Time-To-Lite

Sự khó khăn cuối cùng là khi host-based IDS phát hiện một sự tấn công, nó phải truyền thông tin này tới một vài loại phương tiện quản lí trung tâm Một sự tấn công có thể lấy những truyền thông ngoại tuyến của host Khi đó host này không thể truyền thông bất kì thông tin nào đến phương tiện truyền thông trung tâm Hơn nữa, đường đi mạng tới sự quản lí trung tâm có thể thực hiện cho nó một điểm trung tâm của một sự tấn công

Ngày đăng: 23/10/2015, 18:12

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w