(¯`'•.¸(¯`'•.¸† Sinh Viên IT†¸.•'´¯)¸.•'

(`'•.¸(`'•.¸¤*¤¸.-'´)¸.•'´) «´¨`•..¤ WELCOME :¤..•´¨`» (¸.•'´(¸.•'´¤*¤`'•.¸)`'•.¸)
 
IndexPortalCalendarTrợ giúpTìm kiếmThành viênNhómĐăng kýĐăng Nhập

Share | 
 

 Sec Fund] Phân biệt NIDS và NIPS

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
Admin
Admin
avatar

Posts : 84
Points : 249
Thanks : 0
Join date : 21/03/2012
Age : 24
Đến từ : Lâm Đồng

Bài gửiTiêu đề: Sec Fund] Phân biệt NIDS và NIPS    Fri Mar 23, 2012 1:55 am

Điều gì làm tạo nên sự khác biệt giữa NIDS và NIPS. Giữa một hệ thống phát hiện xâm nhâp IDS và một hệ thống ngăn chặn xâm nhập IPS. Có nhiều cuộc tấn công lớn nhắm đến máy tính cá nhân hay chỉ nhắm đến server, switch, router nhằm giảm khả năng vận hành hoặc thậm chí có một cuộc tấn công vào toàn hệ thống mạng. Và chính vì điều này, NIDS được phát triển để phát hiện các cuộc tấn công mạng nguy hiểm và NIPS được phát triển để cố gắng ngăn chặn các cuộc tấn công đó.

NIDS

Một hệ thống phát hiện xâm nhập có khả năng phát hiện các mối đe dọa đang tấn công vào mạng, ví dụ như nó sẽ scan các port hoặc phát hiện cuộc tấn công Dos bằng cách theo dõi, giám sát liên tục. Một số NIDS mã nguồn mở như Snort, Bro hoặc một sản phẩm từ Enterasys. Một NIDS nên được đặt nằm ở ngay trước hệ thống mạng của bạn. Bạn có thể hình dùng rằng bạn đặt một chiếc camera ngay cổng nhà bạn. Vì NIDS không phải là firewall nên bạn nên sử dụng nó với một firewall. Vì NIDS sẽ kiểm tra mọi gói dữ liệu đi vào nên nó cần phải vận hành nhanh chóng tuy nhiên về cơ bản nếu mạng của bạn chậm thì NIDS sẽ kiểm tra chậm.




Như bạn đã thấy ở hình trên, NIDS thường được đặt ở trước firewall. NIDS sẽ phát hiện các cuộc tấn công hoặc các bất thường về traffic mạng sau đó thông báo cho quản trị viên nếu chúng xảy ra và bên trong, firewall sẽ làm nhiệm vụ ngăn chặn những tấn công xâm nhập này. Tuy nhiên, NIDS cũng có thể được đặt sau firewall hoặc có thể được đặt ở nhiều điểm quan trọng trong mạng. Bất kể vị trí đặt NIDS, quản trị hệ thống nên giám sát traffic nhiều lần…để làm được điều này, máy tính hoặc server mà NIDS được cài đặt cần phải có một card mạng được cấu hình ở chế độ promiscuous.

Bạn cần lựa chọn kết hợp giữa NIDS và HIDS sao cho hợp lý. Vì điểm bất lợi của NIDS là nó không có khả năng đọc được các gói thông tin đã được mã hóa và nó cũng không thể phát hiện được các vấn đề xảy ra trên máy tính cá nhân. Vì vậy, để an toàn cho cả mạng lẫn các máy tính cá nhân, một số tổ chức đã kết hợp giữa NIDS và HIDS. Nếu NIDS được đặt trước firewall thì nó sẽ là đối tượng để tấn công, vì vậy nó cần được giám sát và cập nhật thường xuyên. Một số NIDS có chức năng cập nhật tự động. cuối cùng, nhược điểm lớn nhất của NIDS là nó chỉ có thể phát hiện các cuộc tấn công. Để bảo vệ, ngăn chặn các cuộc tấn công, bạn cần một NIPS.

N
IPS

Một hệ thống ngăn chặn xâm nhập được thiết kế để kiểm tra traffic dựa trên các cấu hình hoặc chính sách bảo mật, nó có thể loại bỏ, giữa lại hoặc chuyển hướng các mối đe dọa về traffic. Càng ngày càng có nhiều công ty cung cấp giải pháp NIPS thay vì NIDS. Ví dụ Enterasys Intrusion Prevention System (còn gọi là Dragon IPS), Check Point Security Applicances, McAfee IntruShield …NIPS không chỉ loại bỏ hoặc chuyển hướng traffic mà nó còn chuyển hướng đến một vùng được gọi là padded cell khi phát hiện ra kẻ tấn công. Padded cell là một vùng đệm và đặc biệt hơn nó không chứa bất cứ thông tin nào có giá trị cũn như không có lối ra.

Giống như NIDS, NIPS thường được đặt trước firewall mặc dù bạn có thể đặt nó ở nơi khác tùy thuộc vào kiến trúc và sơ đồ mạng của bạn.. Theo giải pháp mà bạn chọn, các gói dữ liệu sẽ đi qua các thiết bị và nó sẽ được kiểm tra. Những thiết bị NIPS cần có tính chính xác cao cũng như cập nhật thường xuyên để tránh những sự cố xác định và ngăn chặn nhầm. Một số NIPS có thể giám sát các signature và các dấu hiệu bất thường. Một số lỗi có thể xảy ra với NIDS và NIPS và nó có thể phá vỡ các hệ thống này. Tấn công như thế nào? Kẻ tấn công sẽ lợi dụng việc các lỗi xác định sai mà từ từ tấn công vào mạng vì phần mềm cũng do con người tạo nên. Để chống lại điều này, một số thiết bị có khả năng che giấu IP để tránh bị tấn công. Chúng cũng được kết nối với firewall nội bộ. Và cuối cùng là bạn nên chọn giải pháp IPS sao cho khu vực quản lý được an toàn vì nếu kẻ tấn công làm chủ được khu vực quản lý thì hệ thống mạng của bạn có nguy cơ bị xâm nhập.

NIPS có thể bảo vệ không chỉ máy tính mà còn các thiết bị mạng như switch, router và firewall. Ngoài ra, NIPS còn có khả năng như một bộ máy phân tích giao thức bằng cách đọc các traffic đã được mã hóa hoặc ngăn chặn các cuộc tấn công đã được mã hóa.

Như đã nói, NIDS hay NIPS cần có tính chính xác cao và cập nhật thường xuyên để ngăn phòng ngừa việc nhận dạng sai (misidentification) traffic mạng hoặc tệ hơn là các cuộc tấn công. Có 2 loại misidentification mà bạn cần biết:

False positive: khi một người dùng không có quyền truy cập vẫn có thể truy cập vào được hệ thống thì được gọi là false positive.
False negative – khi một người có quyền truy cập nhưng bị ngăn chặn truy cập thì được gọi là false negative
Cuối cùng, tôi xin tóm tắt lại một vài ý để bạn đọc dễ dàng nhận ra điểm khác biệt.

NIDS có khả năng phát hiện. NIPS không những phát hiện mà còn có khả năng loại bỏ, ngăn chặn hoặc chuyển hướng traffic.

NIDS có thể giới hạn được traffic nhưng lại chỉ phát hiện được các mối đe dọa. NIPS có thể phát hiện, ngăn chặn các mối đe dọa và có thể vận hành như một công cụ phân tích giao thức. Nhược điểm của NIPS là sử dụng nhiều tài nguyên cũng như có thể bị tấn công thông qua misidentification.
Về Đầu Trang Go down
Xem lý lịch thành viên http://sinhviennet.forumvi.com
 
Sec Fund] Phân biệt NIDS và NIPS
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang

Permissions in this forum:Bạn không có quyền trả lời bài viết
(¯`'•.¸(¯`'•.¸† Sinh Viên IT†¸.•'´¯)¸.•' :: QUY ĐỊNH CHUNG :: Thông Báo-
Chuyển đến