IDS là hệ thống gì? Cách thiết kế IDS trong mô hình mạng doanh nghiệp?

IDS là hệ thống gì? Cách thiết kế IDS trong mô hình mạng doanh nghiệp?

ngày nay với sự phát triển của công nghệ thì internet và các mạng nội bộ càng trở nên phổ biến. cũng chính vì điều này đã tạo nên những thách thức về các vấn đề xâm nhập mạng trái phép buộc các nhà tổ chức phải bổ sung thêm những hệ thống kiểm soát các lỗ hổng về bảo mật công nghệ thông tin. chi tiết về ids là hệ thống gì, nhiệm vụ và những cách nhận biết khi hệ thống bị tấn công tất cả sẽ được chúng tôi giải đáp qua bài viết bên dưới, cùng tìm hiểu ngay nhé!

ids là hệ thống gì?

hệ thống phát hiện xâm nhập – ids (intrusion detection systems) là phần mềm hoặc công cụ giúp bảo mật hệ thống và cảnh báo lỗi khi có các hành vi đáng ngờ xâm nhập vào hệ thống. mục đích chính của ids là ngăn ngừa và phát hiện những hành động phá hoại tính bảo mật của hệ thống hoặc những hành vi như dò tìm, quét các cổng.

Quý khách đang xem: IDS là hệ thống gì? Cách thiết kế IDS trong mô hình mạng doanh nghiệp?

phần mềm ids cũng có thể phân biệt được đâu là những cuộc tấn công nội bộ (từ chính nhân viên trong tổ chức) hoặc từ bên ngoài (từ hacker).

hiện nay có rất nhiều những phần mềm bị nhầm tưởng là ids do đó người dùng cần phân biệt rõ để tránh những nhầm lẫn này. một số những
trang bị bảo mật dưới đây không phải là ids như:

hệ thống ghi nhật ký mạng đây là các hệ thống giám sát traffic trong mạng được sử dụng để phát hiện lỗ hổng đối với những cuộc tấn công từ chối dịch vụ (dos) trên mạng đang bị tắc nghẽn.

các phần mềm diệt virus mặc dù có những tính năng giống hệ thống phát hiện xâm nhập nhưng xét về tổng thể thì chúng không phải là ids.

tường lửa: mặc dù có nhiều tường lửa hiện đại được tích hợp sẵn, nhưng ids không phải là tường lửa.

Xem nhiều hơn: Sao La Hầu tốt hay xấu? Cách cúng sao La Hầu

ids là hệ thống gì? cách thiết kế ids trong mô hình mạng doanh nghiệp?
ids

hệ thống phát hiện xâm nhập ids gồm những loại nào?

có nhiều loại ids khác nhau, mỗi loại có một chức năng và nhiệm vụ riêng chúng bao gồm:

  • nids: network intrusion detection systems thường được bố trí tại những điểm dễ bị tấn công trong hệ thống.
  • nids được sử dụng để giám sát traffic đến và đi từ tất cả các vũ trang trên mạng. Điểm cộng lớn nhất của nids là có thể quét tất cả traffic inbound và outbound, nhưng việc này có thể làm giảm tốc độ chung của mạng.
  • hids: host intrusion detection systems, hệ thống phát hiện xâm nhập này hoạt động trên tất cả các
    trang bị trong hệ thống có thể kết nối internet.
  • signature-based: Đây là các ids hoạt động dựa trên chữ ký, giám sát các gói tin trên mạng tương tự như cách phần mềm diệt virus hoạt động.
  • anomaly-based: ids này được sử dụng để phát hiện mối đe dọa dựa trên sự bất thường. anomaly-based sẽ giám sát traffic mạng và so sánh với baseline đã được thiết lập từ trước.
  • passive: Đây là ids thụ động chỉ phát hiện và cảnh báo. khi phát hiện traffic đáng ngờ hoặc độc hại, nó sẽ tạo và gửi cảnh báo đến các nhà quản trị hoặc người dùng.
  • reactive: loại ids này ngoài nhiệm vụ như ids passive, nó còn thực hiện những hành động đã được thiết lập sẵn để phản ứng lại các mối đe dọa một cách nhanh chóng.
ids là hệ thống gì? cách thiết kế ids trong mô hình mạng doanh nghiệp?
ids

phân loại ids (hệ thống phát hiện xâm nhập)

nids: hệ thống phát hện xâm nhập mạng. hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà không làm thay đổi cấu trúc gói tin. nids có thể là phần mềm triển khai trên server hoặc dạng thiết bị tích hợp appliance.

hids: hệ thống phát hiện xâm nhập host. theo dõi các hoạt động bất thường trên các host riêng biệt. hids được cài đặt trực tiếp trên các máy (host) cần theo dõi.

mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. ids là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. khi triển khai có thể giúp hệ thống:

  • theo dõi các hoạt động bất thường đối với hệ thống.
  • xác định ai đang tác động đến hệ thống và cách thức như thế nào.
  • các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.

Ưu và nhược điểm của hệ thống phát hiện xâm lấn ids

Để có những cái nhìn cũng như đánh giá khách quan nhất về ids, chúng ta không thể không nhắc đến những ưu nhược điểm của công cụ này trước khi ra quyết định có nên lắp đặt và sử dụng chúng hay không.

Ưu điểm

  • thích hợp sử dụng để thu thập số liệu, giúp kiểm tra các sự cố xảy ra đối với hệ thống mạng với những bằng chứng thuyết phục nhất.
  • Đem đến cái nhìn bao quát và toàn diện về toàn bộ hệ thống mạng.
  • là công cụ thích hợp để thu thập bằng chứng phục vụ cho việc kiểm tra các sự cố trong hệ thống mạng.

nhược điểm

  • nếu không được cấu hình hợp lý rất dễ gây tình trạng báo động nhầm.
  • khả năng phân tích lưu lượng mã hóa tương đối thấp.
  • chi phí triển khai, phát triển và vận hành hệ thống tương đối lớn.

ids là hệ thống gì? cách thiết kế ids trong mô hình mạng doanh nghiệp?

làm thế nào để thiết kế ids trong mô hình mạng doanh nghiệp?

tùy thuộc vào mục đích sử dụng cũng như cấu trúc mạng hiện có, ids có thể đặt tại nhiều vị trí khác nhau để tận dụng tốt nhất các khả năng của hệ thống như:

Đặt giữa router và firewall

Đối với cách lắp đặt này, ids sẽ theo dõi được tất cả các lưu lượng trên cả 2 chiều. khi triển khai ids theo cấu trúc này thì nó phải chịu áp lực rất lớn về lượng, nhưng lại có thể giám sát toàn bộ lưu lượng của hệ thống mạng. chính vì vậy, bạn nên lựa chọn các
trang bị ids có khả năng chịu tải cao trong trường hợp này để nâng cao hiệu năng hoạt động.

Xem nhiều hơn: intel rapid storage technology là gì và sao gỡ bỏ | Tinh tế

khi đặt ids trong miền dmz, ids sẽ đảm nhận nhiệm vụ theo dõi tất cả các lưu lượng vào/ra trong miền dmz.

ids là hệ thống gì? cách thiết kế ids trong mô hình mạng doanh nghiệp?
ids

ids là hệ thống gì? Đặt sau firewall

ngoài những cách lắp đặt trên, bạn có thể đặt ids sau firewall để theo dõi tất cả các lưu lượng trao đổi phía sau như dữ liệu thay đổi trong mạng lan hay dữ liệu từ mạng lan vào/ra dmz và ngược lại.

ids có thể bị tấn công vào hệ thống khi:

  • từ chối dịch vụ (dos): ids hoàn toàn có khả năng bị từ chối dịch vụ nhằm tiêu tốn tài nguyên hệ thống (bộ nhớ, cpu, băng thông mạng,…).
  • tấn công đánh lừa: việc sử dụng các kỹ thuật can thiệp, thay đổi cấu trúc gói tin để đánh giá khả năng xử lý của ids đối với các kiểu dữ liệu đầu vào.

Để ids được hoạt động tốt nhất, các bạn có thể tham khảo một số tiêu chí triển khai ids sau:

  • xác định công nghệ ids đã, đang hoặc sẽ triển khai.
  • xác định những thành phần.
  • thiết lập và cấu hình an toàn.
  • xác định vị trí hợp lý và phù hợp để lắp đặt.
  • có cơ chế xây dựng, tổ chức và quản lý hệ thống luật – rule.
  • hạn chế các tình huống cảnh báo nhầm hoặc không cảnh báo khi có xâm nhập.

từ khóa:

  • ids là hệ thống gì
  • bảo mật hệ thống với hệ thống ids/ips (phần 2)
  • snort là gì
  • nids
  • hids là gì

nội dung liên quan:

  • sơ đồ tư duy là gì? hướng dẫn cách vẽ sơ đồ tư duy đẹp đơn giản nhất
  • prosure là gì? cần lưu ý gì khi thiết kế prosure?
  • khách hàng là gì? quan điểm về khách hàng trong marketing 

Nguồn gốc: https://danhgiaaz.com
danh mục: Kinh nghiệm – Hướng dẫn

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *