Hiểu về hệ thống phát hiện xâm nhập (IDS) – Phần 2

Khi Internet và các mạng nội bộ càng ngày càng phổ biến, thách thức của các vấn đề xâm nhập mạng trái phép đã buộc các tổ chức phải bổ sung thêm hệ thống để kiểm tra các lỗ hổng về bảo mật CNTT. Một trong những hệ thống được những người quan tâm đến bảo mật nhắc đến nhiều nhất là hệ thống phát hiện xâm nhập (IDS).

Thiết kế IDS trong mô hình mạng doanh nghiệp

Tùy vào mục đích cũng như cấu trúc mạng, có thể đặt IDS tại các vị trí khác nhau để tận dụng tối đa khả năng của hệ thống này.

1. Đặt giữa router và firewall
 

 

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả các lưu lượng trên cả 2 chiều. Khi triển khai theo cấu trúc này thì IDS phải chịu áp lực rất lớn về lượng, nhưng lại có khả năng giám sát toàn bộ lưu lượng của hệ thống mạng. Vì vậy, trong trường hợp này nên lựa chọn các thiết bị IDS có khả năng chịu tải cao để nâng cao hiệu năng.

2. Đặt trong miền DMZ

 

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng vào/ra trong miền DMZ

3. Đặt sau firewall

 

Khi đặt trong trường hợp này, IDS sẽ theo dõi tất cả lưu lượng trao đổi phía sau firewall như:
•    Dữ liệu trao đổi trong LAN.
•    Dữ liệu từ LAN vào/ra DMZ và ngược lại.
Một số kiểu tấn công vào hệ thống IDS và cách phòng chống
Từ chối dịch vụ (DoS): cũng như các thiết bị mạng khác, IDS hoàn toàn có khả năng bị tấn công từ chối dịch vụ, nhằm mục đích tiêu tốn tài nguyên hệ thống (CPU, bộ nhớ, băng thông mạng…).
Tấn công đánh lừa IDS: sử dụng các kỹ thuật can thiệp, thay đổi cấu trúc gói tin để nhằm đánh giá khả năng ứng xử của IDS đối với các kiểu dữ liệu đầu vào.

Một số tiêu chí triển khai IDS
•    Xác định công nghệ IDS/IPS đã, đang hoặc dự định triển khai.
•    Xác định các thành phần của IDS/IPS.
•    Thiết đặt và cấu hình an toàn cho IDS/IPS.
•    Xác định vị trí hợp lý để đặt IDS/IPS.
•    Có cơ chế xây dựng, tổ chức, quản lý hệ thống luật (rule).
•   Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc không cảnh báo khi có xâm nhập (false negative).