ការណែនាំអំពីប្រព័ន្ធស្វែងរកការឈ្លានពាន (IDS)

ប្រព័ន្ធរកមើលការឈ្លានពាន (IDS) ត្រួតពិនិត្យចរាចរបណ្តាញនិងម៉ូនីទ័រសម្រាប់សកម្មភាពសង្ស័យហើយព្រមានអ្នកគ្រប់គ្រងប្រព័ន្ធឬអ្នកគ្រប់គ្រង។ ក្នុងករណីមួយចំនួន IDS ក៏អាចឆ្លើយតបទៅនឹងចរាចរដែលមិនប្រក្រតីឬមានគ្រោះថ្នាក់ដោយចាត់វិធានការដូចជារាំងខ្ទប់អ្នកប្រើប្រាស់ឬប្រភព IP ប្រភពពីការចូលប្រើបណ្តាញ។

IDS មកនៅក្នុងពពួក "រសជាតិ" និងឈានទៅរកគោលដៅនៃការរកឃើញចរាចរណ៍គួរឱ្យសង្ស័យនៅក្នុងវិធីផ្សេងគ្នា។ មានបណ្តាញដែលមានមូលដ្ឋាន (NIDS) និងម៉ាស៊ីនដែលមានមូលដ្ឋាន (HIDS) ប្រព័ន្ធរកឃើញការឈ្លានពាន។ មានលេខសម្គាល់ដែលបានរកឃើញដោយផ្អែកលើការស្វែងរកហត្ថលេខាជាក់លាក់នៃការគំរាមកំហែងដែលគេស្គាល់។ វាស្រដៀងនឹង កម្មវិធីកម្ចាត់មេរោគដែល ជាធម្មតារកឃើញនិងការពារប្រឆាំងនឹង malware ហើយមាន IDS ដែលបានរកឃើញដោយផ្អែកលើការប្រៀបធៀបលំនាំចរាចរណ៍ធៀបនឹងបន្ទាត់មូលដ្ឋាននិងស្វែងរកអវិជ្ជមាន។ មានអត្តសញ្ញាណប័ណ្ណដែលគ្រាន់តែតាមដាននិងជូនដំណឹងហើយមាន IDS ដែលអនុវត្តសកម្មភាពឬសកម្មភាពក្នុងការឆ្លើយតបទៅនឹងការគំរាមកំហែងដែលរកឃើញ។ យើងនឹងគ្របដណ្តប់រាល់រឿងទាំងនេះ។

NIDS

ប្រព័ន្ធរកមើលការឈ្លានពានបណ្តាញត្រូវបានដាក់នៅចំណុចឬចំណុចជាយុទ្ធសាស្រ្តនៅក្នុងបណ្តាញដើម្បីត្រួតពិនិត្យចរាចរណ៍ទៅនិងមកពីឧបករណ៍ទាំងអស់នៅលើបណ្តាញ។ តាមឧត្ដមគតិអ្នកនឹងវិភាគរកចរាចរទាំងក្នុងនិងក្រៅប្រទេសប៉ុន្តែការធ្វើបែបនេះអាចបង្កើតឱ្យមានភាពច្របូកច្របល់ដែលអាចធ្វើឱ្យល្បឿននៃបណ្តាញទាំងមូលធ្លាក់ចុះ។

HIDS

ប្រព័ន្ធរកមើលការឈ្លានពានរបស់ម៉ាស៊ីន ត្រូវបានដំណើរការលើម៉ាស៊ីនឬឧបករណ៍នីមួយៗនៅលើបណ្តាញ។ HIDS ពិនិត្យតាមដានកញ្ចប់ព័ត៌មានចូលនិងក្រៅពីឧបករណ៍តែប៉ុណ្ណោះហើយនឹងជូនដំណឹងដល់អ្នកប្រើឬអ្នកគ្រប់គ្រងសកម្មភាពដែលគួរឱ្យសង្ស័យ។

ហត្ថលេខាតាមមូលដ្ឋាន

អត្តសញ្ញាណ ID ដែលមានហត្ថលេខានឹងត្រួតពិនិត្យកញ្ចប់ព័ត៌មាននៅលើបណ្តាញហើយប្រៀបធៀបវាទៅនឹងមូលដ្ឋានទិន្នន័យនៃហត្ថលេខាឬគុណលក្ខណៈពីការគំរាមកំហែងដែលមានគ្រោះថ្នាក់។ នេះគឺស្រដៀងគ្នាទៅនឹងវិធីដែល កម្មវិធីកំចាត់មេរោគ ភាគច្រើនបានរកឃើញមេរោគ។ បញ្ហាគឺថាវានឹងមានភាពយឺតយ៉ាវរវាងការគំរាមកំហែងថ្មីដែលត្រូវបានគេរកឃើញនៅក្នុងព្រៃនិងហត្ថលេខាសម្រាប់រកឃើញការគំរាមកំហែងដែលកំពុងត្រូវបានអនុវត្តចំពោះ IDS របស់អ្នក។ ក្នុងកំឡុងពេលនៃការប្រឡាក់ប្រណាំងលេខសម្គាល់របស់អ្នកនឹងមិនអាចរកឃើញការគំរាមកំហែងថ្មី។

អកុសលផ្អែក

លេខសម្គាល់ដែលមានលក្ខណៈមិនប្រក្រតីនឹងតាមដានចរាចរបណ្តាញហើយប្រៀបធៀបវាទៅនឹងបន្ទាត់គោលដែលបានបង្កើតឡើង។ បន្ទាត់មូលដ្ឋាននឹងកំណត់អត្តសញ្ញាណអ្វីដែលជា "ធម្មតា" សម្រាប់បណ្តាញនោះ - ប្រភេទនៃការប្រើប្រាស់អ៊ិនធឺណិតដែលត្រូវបានប្រើជាទូទៅពិធីការត្រូវបានប្រើប្រាស់អ្វីដែលកំពង់ផែនិងឧបករណ៍ភ្ជាប់ជាទូទៅគ្នានិងជូនដំណឹងដល់អ្នកគ្រប់គ្រងឬអ្នកប្រើនៅពេលចរាចរណ៍ត្រូវបានរកឃើញដែលមិនធម្មតា, ឬខុសគ្នាខ្លាំងជាងមូលដ្ឋាន។

លេខសម្គាល់អកម្ម

លេខសម្គាល់អកម្មមួយគ្រាន់តែរកឃើញនិងជូនដំណឹង។ នៅពេលមានការរកឃើញចរាចរណ៍សង្ស័យឬព្យាបាទការជូនដំណឹងត្រូវបានបង្កើតនិងបញ្ជូនទៅអ្នកគ្រប់គ្រងឬអ្នកប្រើហើយវាអាស្រ័យលើពួកគេដើម្បីចាត់វិធានការរារាំងសកម្មភាពឬឆ្លើយតបតាមវិធីណាមួយ។

លេខសម្គាល់សកម្មភាព

អត្តសញ្ញាណកម្មសកម្ម IDS នឹងមិនត្រឹមតែរកឃើញចរាចរដែលគួរអោយសង្ស័យឬមានគ្រោះថ្នាក់ប៉ុណ្ណោះទេថែមទាំងនឹងចាត់វិធានការជូនដំណឹងដល់អ្នកគ្រប់គ្រងប៉ុន្តែនឹងចាត់វិធានការសកម្មក្នុងការឆ្លើយតបទៅនឹងការគំរាមកំហែង។ ជាធម្មតាវាមានន័យថារាំងស្ទះចរាចរបណ្តាញបន្ថែមទៀតពី អាសយដ្ឋាន IP ប្រភពឬអ្នកប្រើ។

ប្រព័ន្ធរាវរកការឈ្លានពានដ៏ល្បីល្បាញនិងត្រូវបានគេប្រើយ៉ាងទូលំទូលាយគឺជាប្រភពបើកចំហរដែលអាចរកបានដោយសេរី Snort ។ វាអាចរកបានសម្រាប់ ប្រព័ន្ធប្រតិបត្តិការជាច្រើន និង ប្រព័ន្ធប្រតិបត្តិការ រួមទាំង Linux និង Windows ។ Snort មានភាពស្មោះត្រង់ដ៏ធំធេងដូចខាងក្រោមហើយមានធនធានជាច្រើននៅលើអ៊ីនធឺណិតដែលអ្នកអាចទទួលហត្ថលេខាដើម្បីអនុវត្តដើម្បីរកមើលការគំរាមកំហែងចុងក្រោយបំផុត។ សម្រាប់កម្មវិធីរកឃើញការឈ្លានពានផ្សេងទៀតអ្នកអាចចូលទៅកាន់ កម្មវិធីរកមើលការឈ្លានពានដោយឥតគិតថ្លៃ ។

មានខ្សែបន្ទាត់ល្អរវាងជញ្ជាំងភ្លើងនិង IDS ។ ក៏មានបច្ចេកវិជ្ជាមួយដែលគេហៅថា IPS - ប្រព័ន្ធទប់ស្កាត់ការឈ្លានពាន ។ IPS គឺជាចម្បងជញ្ជាំងភ្លើងដែលរួមបញ្ចូលគ្នានូវការដាក់កម្រិតកម្រិតកម្មវិធីនិងកម្រិតកម្មវិធីជាមួយ IDS សកម្មដើម្បីការពារបណ្តាញ។ វាហាក់ដូចជាពេលវេលានៅលើជញ្ជាំងភ្លើង IDS និង IPS យកគុណលក្ខណៈបន្ថែមទៀតពីគ្នាទៅវិញទៅមកនិងធ្វើឱ្យព្រិលបន្ទាត់កាន់តែច្រើន។

សំខាន់, ជញ្ជាំងភ្លើងរបស់អ្នកគឺជាខ្សែការពារជួរទីមួយរបស់អ្នក។ ការអនុវត្តល្អ ៗ ផ្ដល់អនុសាសន៍ថាជញ្ជាំងភ្លើងរបស់អ្នកត្រូវបានកំណត់រចនាសម្ព័ន្ធយ៉ាងជាក់លាក់ទៅ DENY ចរាចរចូលទាំងអស់ហើយបន្ទាប់មកអ្នកបើករន្ធនៅពេលចាំបាច់។ អ្នកប្រហែលជាត្រូវបើកច្រក 80 ដើម្បីបង្ហោះវិបសាយឬច្រក 21 ដើម្បីធ្វើជាម្ចាស់ផ្ទះ ម៉ាស៊ីនមេឯកសារ FTP ។ រាល់រន្ធទាំងអស់នេះអាចជាចាំបាច់ពីទស្សនៈមួយប៉ុន្តែវាក៏តំណាងឱ្យវ៉ិចទ័រដែលអាចធ្វើទៅបានសម្រាប់ចរាចរដែលមានគ្រោះថ្នាក់ចូលក្នុងបណ្តាញរបស់អ្នកជាជាងត្រូវបានទប់ស្កាត់ដោយជញ្ជាំងភ្លើង។

IDS នឹងត្រួតពិនិត្យចរាចរចូលនិងក្រៅប្រទេសនិងកំណត់ ចរាចរណ៍ ដែលគួរអោយសង្ស័យឬក៏ មានគ្រោះថ្នាក់ ដែលអាចឆ្លងកាត់ជញ្ជាំងភ្លើងរបស់អ្នកឬវា។ អាចមានប្រភពមកពីខាងក្នុងបណ្តាញរបស់អ្នកផងដែរ។

IDS មួយអាចជាឧបករណ៍ដ៏អស្ចារ្យមួយសម្រាប់ការត្រួតពិនិត្យយ៉ាងសកម្មនិងការការពារបណ្តាញរបស់អ្នកពីសកម្មភាពព្យាបាទទោះជាយ៉ាងណាពួកគេក៏ងាយនឹងមានការដាស់តឿនខុសឆ្គងផងដែរ។ ជាមួយនឹងដំណោះស្រាយ IDS ណាមួយដែលអ្នកអនុវត្តអ្នកនឹងត្រូវ "សម្រួលវា" នៅពេលវាត្រូវបានតំឡើងដំបូង។ អ្នកត្រូវការលេខសម្គាល់ដើម្បីកំណត់ចរាចរធម្មតានៅលើបណ្តាញរបស់អ្នកទល់នឹងចរាចរដែលមានគ្រោះថ្នាក់ហើយអ្នកឬអ្នកគ្រប់គ្រងដែលទទួលខុសត្រូវក្នុងការឆ្លើយតបទៅនឹងការជូនដំណឹងរបស់ IDS ត្រូវតែយល់ពីអ្វីដែលការជូនដំណឹងមានន័យនិងរបៀបឆ្លើយតបប្រកបដោយប្រសិទ្ធភាព។