Nội dung bài viết
Hệ thống phát hiện xâm nhập (IDS)
Hiện nay; Internet và các mạng nội bộ ngày càng thông dụng ở khắp mọi nơi. Vì vậy; có rất nhiều cuộc tấn công mạng xảy ra thường xuyên ở khắp mọi nơi buộc nhiều tổ chức phải bổ sung thêm hệ thống phát hiện xâm nhập (IDS) để tìm phát hiện ra kẻ xâm nhập trái phép hay biết được khi nào hệ thống đang bị tấn công hay có kẻ xâm nhập đang tìm hành các hoạt động khả nghi để các nhà Quản Trị Mạng hay Chuyên Gia Bảo Mật Hệ Thống đưa ra giải pháp giải quyết hiệu quả và nhanh chóng hơn.
IDS
IDS nghĩa là Intrusion Detection Systems tức là Hệ thống phát hiện xâm nhập là hệ thống có nhiệm vụ giám sát traffic mạng; các hành vi đáng ngờ và cảnh báo cho admin hệ thống biết các cuộc tấn công vào máy tính hoặc các máy tính trong mạng.
IDS phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống; hoặc những hành động trong tiến trình tấn công như dò tìm, quét các cổng. IDS cũng có thể phân biệt giữa những cuộc tấn công nội bộ (từ chính nhân viên; khách hàng trong tổ chức) và tấn công bên ngoài (từ các hacker). Trong một số trường hợp; IDS có thể phản ứng lại với các traffic bất thường/độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng. Khi phát hiện hệ thống sẽ cảnh báo đến người quản trị mạng hoặc ra chỉ thị cho hệ thống khác xử lý tiếp.
Sự nhầm lẫn giữa IDS với các công cụ khác
hệ thống IDS không phải là hệ thống ghi nhật ký mạng được sử dụng để phát hiện các cuộc tấn công DOS.
Hệ thống IDS không phải là phần mềm diệt virus như Trojan Horse, Worm, Logic bomb,…
Tường lửa: Dù nhiều tưởng lửa hiện đại được tích hợp sẵn IDS, nhưng IDS không phải là tường lửa.
Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius
Nhiệm vụ của hệ thống IDS
Công việc chính của hệ thống IDS là phát hiện các cuộc tấn công xâm nhập và có thể đẩy lùi nó.
Làm lệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ.
Kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa.
IDS kiểm tra hệ thống thực và hệ thông bẫy một cách liên tục; các dữ liệu được tạo ra từ hệ thống sẽ được IDS kiểm tra một cách cẩn thận để phát hiện đấu hiệu tấn công xâm nhập.
Quy trình hoạt động của IDS
IDS có thể được sắp đặt tập trung vào trong tường lửa hoặc là phân tán. Mỗi một IDS đều có sự truyền thông với nhau. Có nhiều hệ thống tinh vi đi theo nguyên lý cấu trúc một tác nhân; nơi các module nhỏ được tổ chức trên một host trong mạng được bảo vệ.
IDS lọc tất cả các hành động từ bên trong lẫn bên bên ngoài vùng được bảo vệ; chúng phân tích bước đầu và thậm chí đảm bảo tránh cả các hành động đáp trả.
IDS sau khi phát hiện kẻ xâm nhập sẽ đưa ra cảnh báo đến quản trị viên mạng hoặc ra chỉ thị cho hệ thống khác xử lý tiếp.
Phân loại các IDS
NIDS (Network Intrusion Detection Systems) được đặt tại một điểm chiến lược hoặc những điểm giám sát lưu lượng traffic đến và đi từ các thiết bị trên mạng.
NNIDS (Network node Intrusion detection system): Kết hợp giữa HIDS và NIDS.
HIDS (Host Intrusion Detection Systems): hệ thống phát hiện xâm nhập này chạy trên máy chủ riêng hoặc một thiết bị đặc biệt trên mạng. HIDS chỉ giám sát các gói dữ liệu inbound và outbound từ thiết bị và cảnh báo người dùng hoặc quản trị viên về những hoạt động đáng ngờ được phát hiện.
Signature-Based: hoạt động giám sát các gói tin trên mạng và so sánh chúng với cơ sở dữ liệu.
Anomaly-Based: phát hiện mối đe dọa dựa trên sự bất thường từ mạng.
Passive: phát hiện và cảnh báo các traffic đáng ngờ hoặc độc hại đến quản trị viên.
Reactive: phát hiện và cảnh báo các traffic đang ngờ hoặc độc hai và phản ứng lại với các mối đe dọa trên bằng những hành động đã được thiết lập sẵn.
