IDS Vs Firewall (ความแตกต่างระหว่างระบบตรวจจับการโจมตีกับไฟร์วอลล์)

– ไฟร์วอลล์จะตรวจสอบเฉพาะการโจมตีเวลามีการดำเนินการเท่านั้น โดยดูจากต้นทางและปลายทาง ของ IP address หรือ Port ซึ่งไฟร์วอลล์จะไม่ส่งสัญญาณเตือนไปยังผู้ดูแลระบบเครือข่าย เกี่ยวกับการดำเนินการที่ผิดปกติหรือเป็นอันตราย

– ไฟร์วอลล์ทั่วไปจะตรวจสอบเฉพาะการจราจรขาเข้า (incomming traffice checks)

– ไฟร์วอลล์มีความสามารถในการควบคุมการดำเนินการของแพคเกจในการเชื่อมต่อ
เช่น การอนุญาตให้เข้าถึง web server พอรต์ 80

– IDS (Intrusion detection system) จะมีความสามารถในการส่งสัญญาณการเตือนภัยการโจมตี (ผ่านทางเมลได้ หรือ web-based monitor) สำหรับการเชื่อมต่อที่น่าสงสัย หรือแพคเกจข้อมูล

– IDS จะตรวจสอบการจราจรทั้งขาเข้าและขาออก
เช่น ตรวจสอบการส่งแพคเกจที่ผ่านไฟว์วอลล์เข้ามา ว่าเป็นการโจมตีหรือไม่ โดยตรวจสอบว่าตรงกับ Signature (pattern รูปแบบการโจมตีทั่วไป) ที่มีหรือไม่

ข้อจำกัดของระบบตรวจจับการโจมตี

– ในการดำเนินการตรวจสอบกรณีมีจำนวนแพคเกจเป็นล้านๆ ในระยะเวลาสั้นๆ ต้องใช้ระบบคอมพิวเตอร์ประสิทธิภาพสูง

– IDS ทั่วไปจะสร้างเพียงสัญญาณเตือน มันไม่สามารถดำเนินการใดๆ เองได้ (ปัจจุบันจึงมี IPS ที่มีความสามารถในการดำเนินการ ซึ่งอุปกรณ์ประเภทนี้จะเรียกว่า IDS/IPS)

ผลิตภัณฑ์ซอฟต์แวร์ที่ได้รับความนิยมในปัจจุบัน

SNORT (ระบบตรวจสอบการโจมตีระบบเครือข่าย) http://www.snort.org
TRIPWIRE (ระบบตรวจสอบการโจมตีโฮสต์) http://www.tripwire.com

และ
AIDE (Advanced Intrusion Detection Environment) based on openSUSE Linux

รูปแบบการป้องกันการบุกรุกจะเป็น Firewall –> IDS/IPS –> NGFW หรือ WAF (Web Application Firewall) การออกแบบการป้องกันการบุกรุกขึ้นอยู่กับการให้บริการของผู้ให้บริการเป็นหลัก

ที่มา – http://mylinuxbook.com/intrusion-detection-system/

Leave a Reply

Scroll to top
X