NIDS là một phần của hệ thống phát hiện xâm nhập (Intrustion detection system, IDS), IDS là một khái niệm rộng hơn, bao gồm NIDS, HIDS, DIDS or signature-IDS or anomaly-IDS. Hiện nay, các hệ thống an ninh mạng thế hệ mới, hay tường lửa thế hệ mới (Next generation firewall) thường được tích hợp cả IPS (and IDS), anti-virus, firewall, ... Tìm hiểu về hoạt động của IDS hay IPS có thể giúp quản trị viên làm việc tốt hơn, hoặc tự xây dựng một hệ thống an ninh tại một mạng nhỏ sẽ tương đối hiệu quả và tiết kiệm, đồng thời cũng giúp admin hiểu rõ hơn về hệ thống và trang bị được nhiều kiến thức mới. Tất nhiên, với một hệ thống lớn hơn thì ta cần một đội ngũ quản trị viên mạnh.
Đây là một số mô hình của NIDS:
NIDS outside network
Xây dựng một hệ thống như trên sẽ tương đối đơn giản, gần như sẽ không ảnh hưởng tới hoạt động của mạng sẳn có. những điều bạn cần làm chỉ là một thiết bị được cài đặt NIDS, cấu hình switch chuyển dữ liệu qua cổng NIDS tương tự như HUB hoặc sử dụng cổng SPAN, TAB trong các switch cisco (có sẳn chức năng tự sao chép dữ liệu). Việc còn lại sẽ do NIDS xử lý.
Cách xây dựng thứ 2 khá phù hợp với các hệ thống mới, tương đối tốt vì nó có thể phát triển lên thành một hệ thống IPS, khi đó NIDS sẽ nằm trong mạng, phân tích dữ liệu trực tiếp chứ không phải là một dữ liệu được copy, hạn chế được việc bỏ qua các dữ liệu cần thiết. Tất nhiên, hạn chế của nó là việc NIDS có thể sẽ trở thành một nút cổ chai của mạng, ảnh hưởng đến băng thông của toàn hệ thống mạng.
Bài sau mình sẽ giới thiệu sơ lược về việc cài đặt và cấu hình NIDS sử dụng Snort trên Linux
No comments:
Post a Comment