Bên cạnh đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh vực CNTT có thể tính toán và quyết định chọn giải pháp HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng củ
Trang 1Host-Based IDS va Network-Based IDS (Phan 2)
Trong phân thứ hai của bài viết này chúng tôi sẽ tập trung vào HIDS và
những lợi ích mang lại của HIDS bên trong môi trường cộng tác Bên
cạnh đó chúng tôi cũng đưa ra một phân tích giúp các nhà lãnh đạo trong lĩnh vực CNTT có thể tính toán và quyết định chọn giải pháp HIDS hoặc NIDS sao cho phù hợp với tổ chức mạng của họ
Trang 2HIDS là hệ thống phát hiện xâm phạm duoc cai dat trén cdc may tinh (host)
Điều làm nên sự khác biệt của HIDS so với NIDS là HIDS có thể được cài
đặt trên nhiều kiểu máy khác nhau như các máy chủ, máy trạm làm việc hoặc máy notebook Phương pháp này giúp các tổ chức linh động trong khi NIDS không thích hợp hay vượt ra khỏi khả năng của nó
Cac hoat dong cua HIDS
Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên
trong HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó
NIDS được dùng cho cả một mạng HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác
Chon NIDS hay HDS?
Nhiéu chuyén gia bao mat quan tam dén NIDS va HIDS, nhung chon thé nào dé phù hợp với mang của mỗi người nhất? Câu trả lời ở đây là HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN Giống như khi cài đặt phần mềm chống virus, không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách Không có lý do nào giải thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau
trong một chiến lược IDS mạnh NIDS dễ bị vô hiệu hóa đối với kẻ xâm
nhập và chúng tôi chúng thiên về ý nghĩ này Rõ ràng cài đặt nhiều nút phát
hiện trên mạng của bạn băng HIDS an toàn nhiều hơn là chỉ có một NIDS
Trang 3với một vài nút phát hiện chỉ cho một đoạn mạng Nếu bạn lo lắng về các
máy tính cụ thể có thể bị tắn công thì bạn hãy sử dụng HIDS, khi đó nó sẽ
bảo vệ được máy tính của bạn an toàn hơn và sẽ tương đương như cài đặt một cảnh báo cho bạn
IDS hỗ trợ bản ghi chỉ tiết, nhiều sự kiện được ghi lại hàng ngày, bảo đảm
rằng chỉ có dữ liệu thích đáng mới được chọn và bạn không bị ngập lụt trong những dữ liệu không cần thiết HIDS ghi lại các sự kiện một cách tỉ mỉ hơn
so với NIDS Nếu bạn đang so sánh giữa HIDS hay NIDS, bảo đảm răng bạn
sẽ tìm thấy một hãng có kỹ thuật backup tốt và đó là các file mẫu đưa ra khi
có nhiều lễ hỗng mới được phát hiện giống như ứng dụng chống virus Nếu
bạn có một băng tần LAN hạn chế thì cũng nên xem xét đến HIDS
HIDS
l — ‘ 3
! E:+i r1 SS —— tHTEEF¿ET :
F =m+eaIl
Sơ đỗ thê hiện kịch bản HIDS
Bảng dưới đây so sánh các chỉ tiết kỹ thuật chuẩn và các yêu cầu khi chọn một gói IDS
Trang 4
T Event LANguar | Snor
Giao diện
oe 2 3 ie 3k ie 3k oe 2K 2 a ok tk ‡k ‡k sK
quản lý
Phát hiện
tk ok ie 3k ie 3k oe 2K 2 ie 3k tk ‡k ‡k sK tần công
Dễ dàng
trong sử oe 2 3 ie 3k a 2 2k oi a ok a ok oe 2K 2
dung
tram lam $9400 Giá lây từ ¡ Giá lây tr) Goi 9 $6115.89
D6 dé
trong cai
Trang 5
dat va
trién khai
Kiến thức
bảo mật
yêu câu
(càng
nhiều sao
nghĩa là
cang it
kiến thức
bắt buộc)
Kha nang
phat hién
ké tan
cong
kénh an
toan
Trang 6
cac hoat
dong
Chu ky
nâng cấp
sản phầm
Khả năng
tương
thích
SNMP
Kha nang
hỗ trợ báo
wv
cao
Hiéu suat ki 3k3 3k3 3k3 3k3 3k3 3k3 2k 2 3 ak 3g 3g
Sự thích
hợp với cơ
sở hạ tầng
có săn
Kha nang
thich hop
trén nén
Windows ki 2k 2 3 2k 2 3 ak 3g 3g 2k 2 3 ak 3g 3g
Trang 7
Kha nang
thich hop
trén nén
Unix
Backup va
kha nang
hỗ trợ
Kiêm tra
ban ghi
Phat hién
xam pham
Bao cao sw
viéc
quan tri
vién It tac
3k3 3k3
Trang 8
nghia la
cang it sao
Các giai đoạn lựa chon IDS
Khi chọn một IDS, cần xem xét một số vấn đề trong việc lập kế hoạch cho
IDS Dưới đây là một số xem xét mà bạn nên quan tâm:
1 Giai đoạn ý niệm: Giai đoạn này bạn cần phân biệt được các yêu cầu IDS
và định nghĩa được những øì cần thiết đối với doanh nghiệp và làm thế nào IDS có thể tương xứng với những cần thiết của doanh nghiệp, giai đoạn này cần phải tính đến toàn bộ tài nguyên quan trọng và đưa ra một chính sách
bảo mật
2 Giai đoạn đánh giá giải pháp: Giai đoạn này phải được sử dụng khi chọn sản phẩm thích hợp với những cần thiết của doanh nghiệp Nhân viên CNTT cũng cần được sử dụng diễn đàn kiểm tra để so sánh phần mềm IDS và kết
hợp với giai đoạn khái niệm được sử dụng như thời điểm kiểm tra cuối cùng
khi chọn giải pháp thích hợp nhất
3 Giai đoạn triển khai và đưa vào hoạt động: Giai đoạn này được sử dụng để
thực thi giải pháp IDS đã chọn và nó phải chạy êm ái nếu kế hoạch được thực hiện là phù hợp Đây là lúc tắt cả những vướng mắc phải được giải quyết Giải pháp phải được hoạt động một cách hiệu quả khi giai đoạn này
hoàn tất.
Trang 9Những nhà lãnh đạo lĩnh vực CNTT đã kiểm tra và cho ra các kết quả có
tính cạnh tranh cao đối với các sản phẩm IDS Dưới đây là những thông tin văn tắt về sản phâm và các liên kết đến Website Thông tin chỉ tiết hơn bạn
có thê tìm thấy trên chính website của chính các hãng
1 intrust
Sản phẩm này có nhiều tính năng giúp nó tồn tại được trong môi trường hoạt động kinh doanh Với khả năng tương thích với Unix, nó có một khả năng
linh hoạt tuyệt vời Đưa ra với một giao diện báo cáo với hơn 1.000 báo cáo
khác nhau, giúp kiểm soát được các vấn đề phức tạp Ngoài ra nó cũng hỗ trợ một giải pháp cảnh báo toàn diện cho phép cảnh báo trên các thiết bị di động và nhiều công nghệ khác
I Tính năng cảnh báo toàn diện
2 Tính năng báo cáo toàn diện
3 Hợp nhất và thầm định hiệu suất dữ liệu từ trên các nền tang
4 Trả lại sự hỗ trợ tính năng mạng từ việc ghi chép phía trình khách một
cách tỉ mỉ
5 Lọc dữ liệu cho phép xem lại một cách dễ dàng
Trang 106 Kiểm tra thời gian thực
7 Phân tích dữ liệu đã được capture
§ Tuân thủ theo các chuẩn công nghiệp
9, Sự bắt buộc theo một nguyên tắc
Thêm thông tin
2 ELM
Phần mềm TNT là một phần mềm hỗ trợ các chức năng HIDS, đây là một
sản phẩm được phân tích so sánh dựa trên ELM Enterprise Manager Nó hỗ trợ việc kiểm tra thời gian thực, khả năng hoạt động toàn diện và phương pháp báo cáo tỉ mỉ Cơ sở dữ liệu được bổ sung thêm dé bao đảm cơ sở dữ liệu của phần mềm được an toàn Điều này có nghĩa là nếu cơ sở dữ liệu
chính ELM offline thì ELM Server sẽ tự động tạo một cơ sở đữ liệu tạm thời
để lưu dữ liệu cho đến khi cơ sở dữ liệu chính online trở lại Dưới đây là một
số mô tả vắn tắt về ELM Enterprise Manager 3.0
1 ELM hỗ trợ giao diện mô đun phần mềm MMC linh hoạt
2 Hỗ trợ việc kiểm tra tất cả các máy chủ Microsoft NET bằng cách kiểm tra các bản ghi sự kiện và bộ đêm hiệu suât
3 Hỗ trợ báo cáo wizard với phiên bản mới có thê lập lịch trình, ngoài ra
Trang 11còn hỗ trợ các báo cáo HTML và ASCH
4 Quan sát tập trung các bản ghi sự kiện trên nhiều máy chủ
5 Client được chỉ được kích hoạt Web trên trình duyệt hỗ trợ JavaScript và
XML
6 Hé tro giao dién kién thức cơ sở
7 Hỗ trợ thông báo có thê thực thi wscripts, cscripts va cac file CMD/BAT
8 Hỗ trợ cơ sở dữ liệu SQL Server va Oracle
9, Các truy vấn tương thích WMI cho mục đích so sánh
10 Đưa ra hành động sửa lỗi khi phát hiện xâm nhập
Thêm thông tin
3 GFI LANguard S.E.L.M
Sản phẩm này có nhiều tính năng và chỉ yêu cầu các kiến thức đơn giản cho việc cài đặt Dưới đây là những thông tin vắn tắt về GFI LANguard
S.E.L.M
1 Phân tích bảo mật tự động và rộng rãi trong toàn mạng đối với các bản ghi
sự kiện
Trang 122 Quản lý bản ghi sự kiện mang
3 Phát hiện nâng cao các tấn công bên trong
4 Giảm TOC
5 Không cân đên phân mêm client hoặc các tác nhân
6 Không ảnh hưởng đến lưu lượng mạng
7 Dễ cải tiến, thích hợp với các mạng hoạt động kinh doanh hoặc các mạng
nhỏ
8 Bộ kiểm tra file mật
9 Kiểm tra bản ghi toàn diện
10 Phát hiện tấn công nếu tài khoản người dùng cục bộ bị sử dụng (online
hoặc offline)
Thêm thông tin
4 Snort
Snort là một sản phẩm tuyệt vời và nó đã chiến thăng khi đưa vào hoạt động trong môi trường UNIX Sản phẩm mới nhất được đưa ra gần đây được hỗ
trợ nền Windows nhưng vẫn còn một số chọn lọc tỉnh tế Thứ tốt nhất có
Trang 13trong sản phẩm này đó là mã nguồn mở và không tốn kém một chút chỉ phí nào ngoại trừ thời gian và băng tần cần thiết để tải nó Giải pháp này đã được phát triển bởi nhiều người và nó hoạt động rất tốt trên các phần cứng rẻ
tiền, điều đó đã làm cho nó có thê tôn tại được trong bất kỳ tô chức nào
Dưới đây là những thông tin vắn tắt về sản phẩm này:
1 Hồ trợ câu hình hiệu suât cao trong phân mém
2 Hỗ trợ tốt cho UNIX
3 Hỗ trợ mã nguồn mở linh hoạt
4 Hỗ trợ tốt SNMP
5 Hỗ trợ mô đun quản lý tập trung
6 Hỗ trợ việc cảnh báo và phát hiện xâm phạm
7 Có các gói bản ghi
§ Phát hiện tấn công toàn diện
9 Các mô đun đâu ra tỉnh vi cung cấp khả năng ghi chép toàn diện
10 Hỗ trợ người dùng trên các danh sách mail và qua sự tương tác email
Trang 14Thém thong tin
5 Cisco IDS
Giải pháp này là của Cisco, với giải pháp này ban thay được chất lượng, cảm nhận cũng như danh tiếng truyền thông của nó
Dưới đây là những thông tin vắn tắt về thiết bị này:
1 Các tính năng phát hiện chính xác làm giảm đáng kết các cảnh báo sai
2 Khả năng nâng cấp hoạt động kinh doanh giống như các sản phẩm của
Cisco
3 Hệ thống phát hiện xâm phạm thời gian thực, báo cáo và ngăn chặn các hành động trái phép
4 Việc phân tích mẫu dùng đề phát hiện được thực hiện ở nhiều mức khác
nhau
5 Cho hiệu suất mạng cao
6 Quản lý danh sách truy cập định tuyến động thích nghi kịp thời với hành
vi của kẻ xâm nhập
7 Quản lý GUI tập trung
Trang 158 Quan ly tu xa
9 Email thong bao su kién
Thém thong tin
6 Dragon
Một giải pháp toàn diện cho hoạt động kinh doanh Sản phẩm này rất đa năng và có các yêu cầu bảo mật cần thiết trong môi trường hoạt động kinh doanh Nó cũng hỗ trợ NIDS, quản lý máy chủ, quản lý sự kiện, kiểm tra tan công Đây là một giải phát IDS hoàn tất, được thiết kế hoàn hảo cùng với việc kiểm tra tích hợp Tuy nhiên điểm yếu của sản phẩm này là ở chỗ giá cả
của nó
Dưới đây là những thông tin văn tắt về Dragon (Phiên bản hoạt động kinh doanh)
1 Dragon hỗ trợ cả NIDS và HIDS
2 Hỗ trợ trên một loạt nền tảng Windows, Linux, Solaris và AIX
3 Được mô đun hóa và có thê mở rộng
4 Kiểm tra quản lý tập trung
5 Phân tích và báo cáo toàn diện
Trang 166 Khả năng tương thích cao với các chỉ tiết kỹ thuật trong hoạt động kinh doanh
7 Kiểm tra bảo mật hiệu quả, tích hợp các switche, firewall va router
§ Quản lý biên dịch báo cáo
9, Có chu kỳ cập nhật chữ kỹ hoàn hảo
Thêm thông tin
Kết luận
Khi đưa ra kết luận về các sản phẩm này thì rõ ràng có hai đối thủ chính trong lĩnh vực CNTTT đó là Dragon NIDS của Enterasys và LANguard
S.E.L.M của GFI Software Cả hai sản phẩm này đều được đánh giá cao trên
thị trường với các khả năng và sự hỗ trợ trực tuyến của nó Khi xem xét và
đánh giá phần mềm chúng ta cần phải đưa ra các kiểm tra, cả hai sản phẩm ở đây đều không xảy ra vẫn đề gì và có một sự tích hợp hài hòa với cơ sở hạ tầng mạng Windows Điều đó cho thấy rõ rằng tại sao các sản phẩm này được đánh giá rất cao trong lĩnh vực CNTT Mặc dù vậy các sản phẩm khác cũng không quá yếu thế so với hai sản phẩm trên và chúng hoàn toàn có thê bắt kịp hai sản phẩm đó trong một tương lai gần