Host-Based IDS và Network-Based IDS (Phần 1)

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác nhau giữa NIDS (Hệ thống phát hiện xâm nhập mạng) và HIDS (Hệ thống phát hiện xâm nhập máy chủ). Đồng thời đưa ra một so sánh trong phần hai của bài này để hỗ trợ lựa chọn IDS thích hợp cho tổ chức của bạn. Những thực tế quan trọng và xem xét sẽ được giới thiệu để hỗ trợ khi chọn hệ thống này. Bài viết này sẽ cung cấp cho các bạn một hiểu biết hơn nữa về sự khác nhau giữa HIDS và NIDS và cũng giới thiệu các điểm mạnh cũng như điểm yếu của hệ thống IDS.

Chức năng của IDS

Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên HIDS và NIDS. Một số IDS có khả năng phân biệt sự khác nhau giữa các loại lưu lượng mạng trên cùng một cổng và nó có thể chỉ cho bạn xem yêu cầu có phải là yêu cầu HTTP trên cổng 80 hay không hoặc người dùng đang sử dụng hệ thống Instant Message được ưu tiên trên cổng 80 không. IDS có khả năng loại bỏ các mã nguy hiểm có thể làm hại mạng của bạn. Đây là sự nâng cao về công nghệ mới nhất trong lĩnh vực tường lửa và bởi vì IDS có các file mẫu mà bạn có thể tin chắc rằng các vấn đề gây lỗi mạng gần đây nhất sẽ được giải quyết đối với mạng LAN, WAN, WLAN hay PAN của bạn. HIDS có thể hoạt động nếu bạn bật hay tắt một mạng LAN hoặc mạng được kết nối như nó cư trú trên một máy tính nội bộ.

Bảng giới thiệu sơ qua các sản phẩm, so sánh chi tiết sẽ được giới thiệu trong phần 2.

Các thống kê về IDS

• Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính.

• 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua 455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm.

• Hàng triệu công việc bị ảnh hưởng do sự xâm nhập.

• Chỉ có 0,1% các công ty đang chi phí một khoản thích hợp đối với IDS

• IDS hầu như không được biết đến và được nghĩ như một sản phẩm tường lửa hoặc một thành phần thay thế.

• Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS.

IDS là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng cho tổ chức của bạn giống như việc mặc quần áo được may đo một cách tỉ mỉ.

Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Nhưng những gì mà các chuyên gia bảo mật không nhận thấy được đó là loại IDS nào phù hợp với tổ chức của họ nhất.

Những kẻ xâm nhập có khả năng thích ứng và sau khi hiểu rằng có một IDS mạng chúng sẽ sớm tìm kiếm đường đi khác để có thể băng qua được các hệ thống IDS mạng. Với các hệ thống cảnh báo, không có cảnh báo nào có thể ngăn chặn được kẻ xâm nhập đột nhập vào hệ thống của bạn, một cảnh báo thường chỉ thông báo cho người sở hữu tương ứng về những hành vi đang cố gắng thực hiện xâm nhập vào hệ thống. Cảnh báo có thể phục vụ như một sự ngăn chặn nhưng trong một số trường hợp kẻ xâm nhập sẽ tiếp tục thực hiện các hành vi của hắn bất chấp có cảnh báo xuất hiện. Một số cảnh báo (hệ thống IDS) có khả năng loại bỏ các gói hỏng mà nó đã nhận dạng theo giống như cách mà nhà sản xuất phần mềm diệt virus sử dụng để phát hiện virus. Tất cả các gói đi qua được IDS đều được phân tích và so sánh với file mẫu hoặc file dấu hiệu để xác nhận rằng nó không phải là file của kẻ tấn công đang sử dụng. Nếu gói dữ liệu bị loại bỏ thì IDS có thể được cấu hình để ghi lại sự kiện đó và thông báo ngay lập tức đến chuyên gia bảo mật để các chuyên gia này có thể hành động kịp thời chống lại kẻ tấn công. Giống như một phần mềm chống virus, sản phẩm chỉ hoạt động tốt nếu được cập nhật file mẫu hoặc file chữ dấu hiệu vì vậy IDS của bạn cũng được khuyên cần phải cập nhật kịp thời.

Hầu hết các kẻ xâm nhập đều rất kiên trì và nếu chúng không thể truy cập thông qua một con đường riêng thì các đường khác cũng sẽ được chúng thử một cách lần lượt. Chính vì vậy chúng ta phải thường xuyên đọc bản ghi và thông báo để có thể cập nhật được các vấn đề của mạng. Nếu thấy xuất hiện các cố gắng xâm nhập từ một nguồn cụ thể nào đó thì bạn cần phải để ý đến hành động này. Xem lại hệ thống luật để biết được phải làm những gì là đúng luật, nhanh chóng đóng các lỗ hổng đối với hành động cố ý khá hoại và sớm giải quyết để tránh bị những hậu quả phức tạp gây ra bởi kẻ tấn công đối với tổ chức.

Một nguyên lý cơ bản là mã hóa toàn bộ kho dữ liệu mạng của bạn. Dùng mật khẩu để bảo vệ tất cả thông tin nhạy cảm và không cho phép người dùng duyệt các trang mạng nội bộ không an toàn vì những thông tin nhạy cảm có thể bị ăn trộm theo cách này.

Thời gian đáp ứng

Tất cả đáp ứng của các công ty bảo mật cần phải mau lẹ, chính xác và hiệu quả. Dữ liệu của bạn và quyền sở hữu trí tuệ là tài sản của công ty và chúng cần phải được bảo vệ tránh những kẻ xâm phạm, đựợc thiết lập cảnh báo phải để thông báo kẻ xâm phạm đang cố gắng tìm cách đột nhập vào hệ thống hoặc chuẩn bị ăn cắp thông tin của bạn. Nhiều chuyên gia bảo mật không đối phó được với tấn công mà chỉ đơn thuần cắt mất con đường tấn công của kẻ xâm nhập. Điều này đơn giản đã nhốt được kẻ xâm nhập và nếu kẻ xâm nhập này được xác định thì xâm nhập này sẽ tạo ra các lỗ hổng có thể bị phát hiện. Lưu ý rằng, mạng của bạn là rất rộng và gồm có nhiều máy tính trong một hệ thống kết khối, chính vì vậy bạn nên phải chọn một HIDS giá thành hợp lý đối với mỗi máy tính. Có một thuận lợi rất lớn cho điều này đặc biệt khi có người dùng trong tập thể đi từ vị trí này sang vị trí khác hoặc những người dùng mang máy tính sách tay của họ về nhà. Lý do cho vấn đề này sẽ là nếu bạn có một HIDS trên máy tính Host giống như máy tính xách tay thì người dùng sẽ được bảo vệ bất cứ lúc nào, thậm chí nếu anh ta đang đi du lịch trên khắp thế giới và đang kết nối đến các mạng điều khiển xa bên ngoài kiểm soát của bạn. Đây là một thuận lợi lớn và dễ dàng để thấy được rằng HIDS sẽ giúp đỡ mặc dù người dùng không còn ở phía sau sự bảo mật của NIDS mạng công ty rộng lớn. Sự đáp ứng sẽ mau lẹ và cần đến ít trợ giúp hơn vì HIDS trên máy tính người dùng và bảo đảm cho người dùng trở thành một IDS có thể tự bảo vệ hệ thống cho đến khi người dùng quay trở lại môi trường mạng công ty.

NIDS ( Hệ thống phát hiện xâm phạm mạng)

Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng cổng và điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn.

Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý.

Lược đồ trên mô tả hệ thống NIDS; nó cho thấy quá trình làm thế nào NIDS có thể so sánh gói nguy hiểm với danh sách file dấu hiệu được lưu bên trong cơ sở dữ liệu. Sơ đồ cũng áp dụng cho HIDS, trên máy tính mà HIDS được cài đặt.

Phân tích so sánh giữa HIDS và NIDS

HIDS (Hệ thống phát hiện xâm phạm máy chủ)

HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hiểm. HIDS ưu việt hơn NIDS ở việc thay đổi các máy tính cục bộ. Trong khi đó NIDS tập trung vào cả mạng lớn có các host đó. HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.

Câu hỏi cho NIDS hay HIDS?

Có lẽ bây giờ bạn đang nghĩ xem cần NIDS hay HIDS? Câu trả lời ở đây là HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi quản lý một giải pháp HIDS nó yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại yêu cầu nhiều đến sự quan tâm của bạn.

Mặc dù vậy cần phải nhấn mạnh ở đây rằng nếu bạn cài đặt phần mềm chống virus không chỉ trên tường lửa của bạn mà nó còn được cài đặt trên tất cả các client. Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn.

IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi cho tất cả máy trên mạng. Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới. Nếu có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với HIDS.

Sơ đồ trên biểu diễn kịch bản NIDS điển hình, trên đó có một tấn công đang cố gắng tạo đường lưu lượng thông qua thiết bị NIDS trên mạng. Thiết bị màu đỏ biểu thị nơi NIDS được cài đặt.

HIDS là một giải pháp toàn diện hơn và cho thấy sự mạnh mẽ hơn trong các môi trường mạng. Nó không quan tâm đến vị trí các máy tính đặt ở đâu và được bảo vệ mọi lúc. Các máy màu vàng thể hiện nơi HIDS được cài đặt.

Kết luận

Nếu bạn không nhanh hơn những kẻ tấn công một bước thì kẻ tấn công sẽ nhanh chóng phát hiện ra điểm yếu của bạn và tấn công. NIDS hoặc HIDS hoàn toàn có thể bảo vệ trong trường hợp bạn lỡ mất bước quan trọng này, đó là những gì bạn không hay biết mà kẻ tấn công lại biết rất rõ ràng. Việc tìm ứng dụng phù hợp là một nhiệm vụ không dễ dàng và chúng tôi sẽ cung cấp cho các tài liệu hướng dẫn về chủ đề này để thông qua đó bạn có thể biết được khi nào lựa chọn đúng sản phẩm cho tổ chức của mình. Mạng máy tính ngày nay chứa rất nhiều mối nguy hiểm, có vô số kẻ xấu đang chống lại các chiến lược an ninh bảo mật. Chỉ có một cách để đối phó với chúng là phải biết được chúng đang thử nghiệm các tấn công gì và chống lại được các tấn công đó. Chiến lược là chìa khóa và việc lựa chọn đúng chiến lược sẽ là một cách tốt để bảo đảm rằng mạng của bạn được duy trì an toàn. Thông tin mà chúng tôi đã chia sẻ trong bài này sẽ giúp bạn tạo các quyết định phù hợp khi chọn NIDS hay HIDS cho mạng.

Host-Based IDS và Network-Based IDS (Phần 2)