Different between HIDS and NIDS

Aku akan share serba sedikit tentang apa yang dapat dari kursus security aku disini. So mula dengan perbezaan 2 jenis IDS ni dulu la. Sebab aku baru belajar tadi.

Intrusion Detection System (IDS) ni ada 2 jenis iaitu :
1) Host IDS
2) Network IDS

Host IDS (HIDS)
  • HIDS ni biasanya perlu diinstall pada satu-satu pc atau server yang ingin dilindungi
  • Ianya berfungsi untuk memantau aktiviti PC/Server dan detect sebarang DoS/DDoS attack, port scan, keylogger dan cubaan nak crack PC
  • Ia juga turut memantau aktiviti malicious yang dikenal pasti dari luar ke dalam PC dan dari PC ke luar dan dari dalam ke dalam PC tersebut sendiri
  • Namun ianya hanya akan berfungsi untuk mengawal sebarang cubaan dari luar atau peer yang cuba melakukan aktiviti malicious kepada PC/Server tersebut sahaja. Maksudnya kita ada PC A (Attacker), PC B (Client-HIDS), PC C (Client). So PC A cuba attack PC B yang ada HIDS jadi HIDS PC tu cuma akan detect sebarang serangan kepada PC tersebut sahaja. Jika PC A serang PC C, maka PC (B) tak akan tahu. Itu antara kelemahan HIDS kerana ianya hanya berfungsi untuk mengawal machine/host sahaja dan bukan seluruh network
  • HIDS tu boleh membuat scanning pada objek2 tertentu dalam PC tersebut dan menyediakan objek-database dan checksum-database bagi memastikan integriti proses yang dijalankan objek dipercayai dari sumber yang sah
  • Kadangkala worm dan virus akan cuba untuk diasble antivirus apabila cubaan untuk kawal PC tersebut, jadi HIDS akan kenalpasti aktiviti tersebut berdasarkan objek-database yang ada dan pastikan aktiviti tersebut dihalang.
  • Contoh tools yang boleh digunakan sebagai HIDS :
1) Snort : GPL dan Free :
- Tiada GUI untuk kawal dan buat konfigurasi kepada HIDS tersebut
- Menggunakan kaedah command line interface dan menjurus kepada text base report
- Memerlukan pengetahuan lebih dalam linux dan command line untuk laksanakannya
- Log paparan mungkin perlukan pengetahuan difahami
- Alert perlu sentiasa dibuat secara manual kepada pemantauan aktiviti menggunakan log

2) KFSensor : Trial dan License :
- Ada GUI yang kemas dan mempunyai database pattern serangan yang boleh diupdate dari internet
- Ada sensor yang mengeluarkan bunyi apabila mengesan sebarang cubaan attack dari luar kepada PC/Server tersebut namun bunyinye mungkin agak perlahan untuk didengar jika menggunakan speaker PC/Server tersebut.
- Mempunyai wizard konfigurasi yang lebih mudah dan tidak memerlukan pengetahuan yang tinggi untuk melaksanakannya

3) BlackIce (Discontinued support tapi still available to use)
- Dulunya free dan setelah diambil alih oleh IBM ianya ditukar nama dari blackice defender kepada blackice protection
- Ianya telah dicontinued pada 29 September 2008 dan tiada support dah tool ni.
- Ianya ada banyak features yang menarik. Tapi aku tak sempat explore lagi tools ni.
- Ada GUI untuk memudahkan kawalan dan pemantauan

4) Symantec Endpoint Protection : License
- Antara muka yang kemas
- Mempunyai database IDS yang boleh dikemaskini dari internet/parent server
- Pattern update on IDS boleh dikawal oleh satu server management dan sentiasa dipantau untuk pastikan sentiasa up to date
- Konfigurasi juga boleh dikawal oleh server management dan tidak memerlukan sebarang tindakan konfigurasi dari client
- Lebih sesuai untuk pelaksanaan big agensi
- Alert akan dipapar secara pop up message alert kepada client dan turut boleh di disable jika tidak diperlukan.

5) OSSEC - Open source Host-Based Intrusion Detection System. Website


Network IDS (NIDS)
  • Sama fungsi untuk kenalpasti serangan malicious juga seperti HIDS tetapi NIDS adalah pada level network
  • Ianya bertindak sebagai sniffer di dalam network berkenaan dan sekiranya dijadikan atau diinstall di gateway kepada external interface maka ia akan memantau keseluruhan rangkaian tersebut
  • IDS kebiasannya diletakkan pada switch diantara local network dan Firewall & di switch Server sistem aplikasi dalaman dan DMZ. Ini kerana ianya akan mengesan sebarang cubaan serangan dari luar internet ke rangkaian dalaman agensi. Selain itu, IDS juga dapat kesan sebarang aktiviti/cubaan untuk menyerang server sistem aplikasi dalaman dan DMZ.
  • NIDS ini mampu berfungsi secara 1 device kepada banyak client untuk pengesanan sebarang aktiviti hackers berbanding HIDS yang hanya menumpukan kepada host yang dibuat instalasi tersebut sahaja.
  • Contoh tools yang digunakan sebagai NIDS :
  1. Snort - Teknologi open source
Secara asasnya IDS turut terdedah kepadateori berikut :
  • True Positive- serangan yang di trigger oleh IDS untuk menghasilkan alarm
  • False Positive- Alarm dihasilkan tetapi tiada serangan pun
  • False Negative- Kegagalan IDS untuk kesan sebarang serangan
  • True Negative- Tiada serangan, tiada alarm dihasilkan
 Namun sekarang, kita lebih diwar-warkan dengan teknologi lebih maju iaitu dipanggil Intrusion Prevention System (IPS) yang mana ianya lebih tepat dan dapat menghalang sebarang bentuk serangan yang dijangka dan tidak dijangka akan berlaku pada rangkaian kita.

Pada pendapat aku, IDS sesuai untuk rangkaian dalaman. IPS elok letak di antara Firewall dan Router dan switch DMZ. Kerana kawasan tersebut lebih berisiko tinggi untuk diserang. Lagipun kos IDS lebih murah berbanding IPS.

Selamat Mencuba!

~ Be a Creator Not a User ~http://muzzotechspot.blogspot.com
http://muzzoshah.blogspot.com

Ulasan