Snort ឬ Suricata ។ ផ្នែកទី 1៖ ការជ្រើសរើស IDS/IPS ដោយឥតគិតថ្លៃ ដើម្បីការពារបណ្តាញសាជីវកម្មរបស់អ្នក។

នៅពេលមួយ ជញ្ជាំងភ្លើងធម្មតា និងកម្មវិធីប្រឆាំងមេរោគគឺគ្រប់គ្រាន់ដើម្បីការពារបណ្តាញក្នុងស្រុក ប៉ុន្តែសំណុំបែបនេះលែងមានប្រសិទ្ធភាពគ្រប់គ្រាន់ប្រឆាំងនឹងការវាយប្រហាររបស់ពួក Hacker សម័យទំនើប និងមេរោគដែលរីករាលដាលនាពេលថ្មីៗនេះ។ ជញ្ជាំងភ្លើងចាស់ល្អវិភាគតែបឋមកថាកញ្ចប់ព័ត៌មានឆ្លងកាត់ ឬរារាំងពួកវាដោយអនុលោមតាមសំណុំនៃច្បាប់ផ្លូវការ។ វាមិនដឹងអ្វីទាំងអស់អំពីខ្លឹមសារនៃកញ្ចប់ ដូច្នេះហើយមិនអាចទទួលស្គាល់សកម្មភាពស្របច្បាប់ខាងក្រៅរបស់អ្នកឈ្លានពានបានទេ។ កម្មវិធីប្រឆាំងមេរោគមិនតែងតែចាប់មេរោគទេ ដូច្នេះអ្នកគ្រប់គ្រងត្រូវប្រឈមមុខនឹងភារកិច្ចត្រួតពិនិត្យសកម្មភាពមិនប្រក្រតី និងញែកម៉ាស៊ីនមេរោគឱ្យនៅដាច់ដោយឡែកក្នុងលក្ខណៈទាន់ពេលវេលា។

មានឧបករណ៍ទំនើបៗជាច្រើនដែលអនុញ្ញាតឱ្យអ្នកការពារហេដ្ឋារចនាសម្ព័ន្ធ IT របស់ក្រុមហ៊ុន។ ថ្ងៃនេះយើងនឹងនិយាយអំពីប្រព័ន្ធការពារ និងការពារការឈ្លានពានពីប្រភពបើកចំហ ដែលអាចត្រូវបានអនុវត្តដោយមិនចាំបាច់ទិញអាជ្ញាប័ណ្ណផ្នែករឹង និងកម្មវិធីដែលមានតំលៃថ្លៃ។

ចំណាត់ថ្នាក់ IDS/IPS

IDS (Intrusion Detection System) គឺជាប្រព័ន្ធដែលត្រូវបានរចនាឡើងដើម្បីចុះឈ្មោះសកម្មភាពគួរឱ្យសង្ស័យនៅលើបណ្តាញ ឬនៅលើកុំព្យូទ័រដាច់ដោយឡែក។ វារក្សាកំណត់ហេតុព្រឹត្តិការណ៍ និងជូនដំណឹងដល់អ្នកទទួលខុសត្រូវចំពោះសុវត្ថិភាពព័ត៌មានអំពីពួកគេ។ IDS រួមមានធាតុដូចខាងក្រោមៈ

• ឧបករណ៍ចាប់សញ្ញាសម្រាប់មើលចរាចរណ៍បណ្តាញ កំណត់ហេតុផ្សេងៗ។ល។ 
• ប្រព័ន្ធរងនៃការវិភាគដែលរកឃើញសញ្ញានៃផលប៉ះពាល់ដែលបង្កគ្រោះថ្នាក់នៅក្នុងទិន្នន័យដែលទទួលបាន។
• ការផ្ទុកសម្រាប់ការប្រមូលផ្តុំនៃព្រឹត្តិការណ៍បឋមនិងលទ្ធផលនៃការវិភាគ;
• កុងសូលគ្រប់គ្រង។

ដំបូង IDS ត្រូវបានចាត់ថ្នាក់តាមទីតាំង៖ ពួកគេអាចផ្តោតលើការការពារថ្នាំងបុគ្គល (ប្រព័ន្ធស្វែងរកការជ្រៀតចូលតាមម៉ាស៊ីន ឬម៉ាស៊ីន - HIDS) ឬការពារបណ្តាញសាជីវកម្មទាំងមូល (ប្រព័ន្ធស្វែងរកការឈ្លានពានបណ្តាញ ឬបណ្តាញ - NIDS) ។ វាគឺមានតំលៃនិយាយអំពីអ្វីដែលគេហៅថា។ APIDS (IDS ដែលមានមូលដ្ឋានលើពិធីការកម្មវិធី)៖ ពួកគេត្រួតពិនិត្យសំណុំនៃពិធីការស្រទាប់កម្មវិធីដែលមានកំណត់ ដើម្បីស្វែងរកការវាយប្រហារជាក់លាក់ និងមិនវិភាគយ៉ាងស៊ីជម្រៅលើកញ្ចប់បណ្តាញ។ ផលិតផលបែបនេះជាធម្មតាស្រដៀងទៅនឹងប្រូកស៊ី ហើយត្រូវបានប្រើដើម្បីការពារសេវាកម្មជាក់លាក់៖ ម៉ាស៊ីនមេគេហទំព័រ និងកម្មវិធីគេហទំព័រ (ឧទាហរណ៍ សរសេរក្នុង PHP) ម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យ។ល។ អ្នកតំណាងធម្មតានៃថ្នាក់នេះគឺ mod_security សម្រាប់ម៉ាស៊ីនមេគេហទំព័រ Apache ។

យើងចាប់អារម្មណ៍កាន់តែខ្លាំងលើ NIDS ជាសកលដែលគាំទ្រពិធីការទំនាក់ទំនងដ៏ធំទូលាយ និងបច្ចេកវិទ្យាវិភាគកញ្ចប់ព័ត៌មាន DPI (Deep Packet Inspection) ។ ពួកគេត្រួតពិនិត្យចរាចរណ៍ឆ្លងកាត់ទាំងអស់ ដោយចាប់ផ្តើមពីស្រទាប់តំណទិន្នន័យ និងរកឃើញការវាយប្រហារបណ្តាញដ៏ធំទូលាយ ក៏ដូចជាការចូលប្រើប្រាស់ព័ត៌មានដោយគ្មានការអនុញ្ញាត។ ជាញឹកញាប់ប្រព័ន្ធបែបនេះមានស្ថាបត្យកម្មចែកចាយហើយអាចធ្វើអន្តរកម្មជាមួយឧបករណ៍បណ្តាញសកម្មផ្សេងៗ។ ចំណាំថា NIDS ទំនើបជាច្រើនគឺជាកូនកាត់ និងរួមបញ្ចូលគ្នានូវវិធីសាស្រ្តជាច្រើន។ អាស្រ័យលើការកំណត់រចនាសម្ព័ន្ធ និងការកំណត់ ពួកគេអាចដោះស្រាយបញ្ហាផ្សេងៗ - ឧទាហរណ៍ ការការពារថ្នាំងមួយ ឬបណ្តាញទាំងមូល។ លើសពីនេះទៀតមុខងាររបស់ IDS សម្រាប់ស្ថានីយការងារត្រូវបានគ្រប់គ្រងដោយកញ្ចប់ប្រឆាំងមេរោគ ដែលដោយសារតែការរីករាលដាលនៃ Trojan ដែលមានបំណងលួចព័ត៌មានបានប្រែទៅជាជញ្ជាំងភ្លើងពហុមុខងារដែលដោះស្រាយភារកិច្ចនៃការទទួលស្គាល់ និងទប់ស្កាត់ចរាចរណ៍គួរឱ្យសង្ស័យផងដែរ។

ដំបូងឡើយ IDS អាចរកឃើញតែសកម្មភាពមេរោគ ឧបករណ៍ស្កែនច្រក ឬនិយាយថា ការរំលោភលើគោលការណ៍សុវត្ថិភាពរបស់ក្រុមហ៊ុន។ នៅពេលដែលព្រឹត្តិការណ៍ជាក់លាក់មួយបានកើតឡើង ពួកគេបានជូនដំណឹងដល់អ្នកគ្រប់គ្រង ប៉ុន្តែវាច្បាស់យ៉ាងឆាប់រហ័សថាគ្រាន់តែទទួលស្គាល់ការវាយប្រហារគឺមិនគ្រប់គ្រាន់ទេ - ចាំបាច់ត្រូវទប់ស្កាត់។ ដូច្នេះ IDS បានផ្លាស់ប្តូរទៅជា IPS (Intrusion Prevention Systems) - ប្រព័ន្ធការពារការឈ្លានពានដែលអាចមានអន្តរកម្មជាមួយជញ្ជាំងភ្លើង។

វិធីសាស្រ្តរាវរក

ដំណោះស្រាយការរកឃើញ និងការទប់ស្កាត់ការឈ្លានពានទំនើបប្រើវិធីសាស្រ្តផ្សេងៗដើម្បីស្វែងរកសកម្មភាពព្យាបាទ ដែលអាចបែងចែកជាបីប្រភេទ។ វាផ្តល់ឱ្យយើងនូវជម្រើសមួយផ្សេងទៀតសម្រាប់ការចាត់ថ្នាក់ប្រព័ន្ធ៖

• IDS/IPS ដែលមានមូលដ្ឋានលើហត្ថលេខា រកមើលគំរូនៅក្នុងចរាចរណ៍ ឬតាមដានការផ្លាស់ប្តូរស្ថានភាពប្រព័ន្ធ ដើម្បីរកមើលការវាយប្រហារបណ្តាញ ឬការប៉ុនប៉ងឆ្លង។ ពួកវាអនុវត្តមិនផ្តល់ភាពខុសឆ្គង និងវិជ្ជមានមិនពិត ប៉ុន្តែមិនអាចរកឃើញការគំរាមកំហែងដែលមិនស្គាល់។
• IDS រកឃើញភាពខុសប្រក្រតីមិនប្រើហត្ថលេខាវាយប្រហារទេ។ ពួកគេទទួលស្គាល់អាកប្បកិរិយាមិនប្រក្រតីនៃប្រព័ន្ធព័ត៌មាន (រួមទាំងភាពមិនប្រក្រតីនៃចរាចរបណ្តាញ) ហើយអាចរកឃើញការវាយប្រហារដែលមិនស្គាល់។ ប្រព័ន្ធបែបនេះផ្តល់នូវភាពវិជ្ជមានមិនពិតច្រើន ហើយប្រសិនបើប្រើមិនត្រឹមត្រូវ ធ្វើឱ្យប្រតិបត្តិការបណ្តាញមូលដ្ឋានចុះខ្សោយ។
• IDS ផ្អែកលើច្បាប់ដំណើរការដូចជា៖ ប្រសិនបើ FACT បន្ទាប់មក ACTION ។ តាមការពិត ទាំងនេះគឺជាប្រព័ន្ធអ្នកជំនាញដែលមានមូលដ្ឋានចំណេះដឹង - សំណុំនៃអង្គហេតុ និងច្បាប់នៃការសន្និដ្ឋាន។ ដំណោះស្រាយបែបនេះគឺចំណាយពេលច្រើនក្នុងការរៀបចំ និងតម្រូវឱ្យអ្នកគ្រប់គ្រងមានការយល់ដឹងលម្អិតអំពីបណ្តាញ។ 

ប្រវត្តិនៃការអភិវឌ្ឍន៍ IDS

យុគសម័យនៃការអភិវឌ្ឍន៍យ៉ាងឆាប់រហ័សនៃអ៊ីនធឺណិត និងបណ្តាញសាជីវកម្មបានចាប់ផ្តើមនៅក្នុងទសវត្សរ៍ទី 90 នៃសតវត្សចុងក្រោយនេះ ទោះជាយ៉ាងណាក៏ដោយ អ្នកជំនាញមានការងឿងឆ្ងល់ចំពោះបច្ចេកវិជ្ជាសុវត្ថិភាពបណ្តាញកម្រិតខ្ពស់មុននេះបន្តិច។ នៅឆ្នាំ 1986 Dorothy Denning និង Peter Neumann បានបោះពុម្ភគំរូ IDES (ប្រព័ន្ធអ្នកជំនាញការរកឃើញការឈ្លានពាន) ដែលបានក្លាយជាមូលដ្ឋាននៃប្រព័ន្ធរកឃើញការឈ្លានពានទំនើបបំផុត។ នាងបានប្រើប្រព័ន្ធអ្នកជំនាញដើម្បីកំណត់អត្តសញ្ញាណការវាយប្រហារដែលគេស្គាល់ ក៏ដូចជាវិធីសាស្ត្រស្ថិតិ និងទម្រង់អ្នកប្រើប្រាស់/ប្រព័ន្ធ។ IDES ដំណើរការលើស្ថានីយការងារ Sun ពិនិត្យចរាចរណ៍បណ្តាញ និងទិន្នន័យកម្មវិធី។ នៅឆ្នាំ 1993 NIDES (Next-generation Intrusion Detection Expert System) ត្រូវបានចេញផ្សាយ ដែលជាប្រព័ន្ធអ្នកជំនាញការរកឃើញការឈ្លានពានជំនាន់ថ្មី។

ដោយផ្អែកលើការងាររបស់ Denning និង Neumann ប្រព័ន្ធអ្នកជំនាញ MIDAS (Multics intrusion detection and alerting system) បានបង្ហាញខ្លួននៅឆ្នាំ 1988 ដោយប្រើ P-BEST និង LISP ។ ក្នុងពេលជាមួយគ្នានេះដែរប្រព័ន្ធ Haystack ដោយផ្អែកលើវិធីសាស្រ្តស្ថិតិត្រូវបានបង្កើតឡើង។ ឧបករណ៍រាវរកភាពមិនប្រក្រតីស្ថិតិមួយផ្សេងទៀត W&S (Wisdom & Sense) ត្រូវបានបង្កើតឡើងមួយឆ្នាំក្រោយមកនៅមន្ទីរពិសោធន៍ជាតិ Los Alamos ។ ការអភិវឌ្ឍន៍នៃឧស្សាហកម្មនេះបានដំណើរការក្នុងល្បឿនយ៉ាងលឿន។ ឧទាហរណ៍ នៅក្នុងឆ្នាំ 1990 ការរកឃើញភាពខុសប្រក្រតីត្រូវបានអនុវត្តរួចហើយនៅក្នុងប្រព័ន្ធ TIM (Time-based inductive machine) ដោយប្រើការរៀន inductive លើលំនាំអ្នកប្រើប្រាស់បន្តបន្ទាប់គ្នា (ភាសា LISP ទូទៅ)។ NSM (Network Security Monitor) បានប្រៀបធៀបម៉ាទ្រីសចូលដំណើរការសម្រាប់ការរកឃើញភាពមិនប្រក្រតី ហើយ ISOA (ជំនួយការរបស់មន្រ្តីសន្តិសុខព័ត៌មាន) បានគាំទ្រយុទ្ធសាស្ត្រស្វែងរកផ្សេងៗ៖ វិធីសាស្ត្រស្ថិតិ ការត្រួតពិនិត្យទម្រង់ និងប្រព័ន្ធអ្នកជំនាញ។ ប្រព័ន្ធ ComputerWatch ដែលត្រូវបានបង្កើតឡើងនៅ AT&T Bell Labs បានប្រើប្រាស់ទាំងវិធីសាស្ត្រស្ថិតិ និងច្បាប់សម្រាប់ការផ្ទៀងផ្ទាត់ ហើយអ្នកអភិវឌ្ឍន៍នៃសាកលវិទ្យាល័យកាលីហ្វ័រញ៉ាបានទទួលគំរូដំបូងនៃ IDS ដែលបានចែកចាយត្រឡប់មកវិញក្នុងឆ្នាំ 1991 - DIDS (ប្រព័ន្ធរកឃើញការឈ្លានពានចែកចាយ) ក៏ជាអ្នកជំនាញផងដែរ។ ប្រព័ន្ធ។

ដំបូង IDS មានកម្មសិទ្ធិ ប៉ុន្តែនៅឆ្នាំ 1998 មន្ទីរពិសោធន៍ជាតិ។ Lawrence នៅ Berkeley បានចេញផ្សាយ Bro (ប្តូរឈ្មោះ Zeek ក្នុងឆ្នាំ 2018) ដែលជាប្រព័ន្ធប្រភពបើកចំហដែលប្រើភាសាច្បាប់ផ្ទាល់ខ្លួនសម្រាប់ញែកទិន្នន័យ libpcap ។ នៅក្នុងខែវិច្ឆិកានៃឆ្នាំដដែលនោះ កញ្ចប់ APE sniffer ដោយប្រើ libpcap បានបង្ហាញខ្លួន ដែលមួយខែក្រោយមកត្រូវបានប្តូរឈ្មោះទៅជា Snort ហើយក្រោយមកបានក្លាយជា IDS/IPS ពេញលេញ។ ទន្ទឹមនឹងនេះដំណោះស្រាយកម្មសិទ្ធិជាច្រើនបានចាប់ផ្តើមលេចឡើង។

Snort និង Suricata

ក្រុមហ៊ុនជាច្រើនចូលចិត្ត IDS/IPS ប្រភពបើកចំហ និងឥតគិតថ្លៃ។ អស់រយៈពេលជាយូរមកហើយ Snort ដែលបានរៀបរាប់រួចហើយត្រូវបានគេចាត់ទុកថាជាដំណោះស្រាយស្តង់ដារប៉ុន្តែឥឡូវនេះវាត្រូវបានជំនួសដោយប្រព័ន្ធ Suricata ។ ពិចារណាពីគុណសម្បត្តិ និងគុណវិបត្តិរបស់ពួកគេឱ្យកាន់តែលម្អិតបន្តិច។ Snort រួមបញ្ចូលគ្នានូវគុណសម្បត្តិនៃវិធីសាស្ត្រហត្ថលេខាជាមួយនឹងសមត្ថភាពក្នុងការរកឃើញភាពមិនប្រក្រតីក្នុងពេលវេលាជាក់ស្តែង។ Suricata ក៏អនុញ្ញាតឱ្យវិធីសាស្រ្តផ្សេងទៀត ក្រៅពីការរកឃើញហត្ថលេខាវាយប្រហារ។ ប្រព័ន្ធនេះត្រូវបានបង្កើតឡើងដោយក្រុមអ្នកអភិវឌ្ឍន៍ដែលបានបំបែកចេញពីគម្រោង Snort និងគាំទ្រលក្ខណៈពិសេស IPS ចាប់តាំងពីកំណែ 1.4 ខណៈពេលដែលការការពារការឈ្លានពានបានបង្ហាញខ្លួននៅក្នុង Snort នៅពេលក្រោយ។

ភាពខុសគ្នាសំខាន់រវាងផលិតផលពេញនិយមទាំងពីរគឺសមត្ថភាពរបស់ Suricata ក្នុងការប្រើប្រាស់ GPU សម្រាប់កុំព្យូទ័រ IDS ក៏ដូចជា IPS កម្រិតខ្ពស់ជាង។ ប្រព័ន្ធនេះត្រូវបានរចនាឡើងដំបូងសម្រាប់ខ្សែពហុខ្សែ ខណៈដែល Snort គឺជាផលិតផលដែលមានខ្សែតែមួយ។ ដោយសារតែប្រវត្តិយូរលង់ និងកូដកេរ្តិ៍ដំណែលរបស់វា វាមិនធ្វើឱ្យការប្រើប្រាស់ដ៏ល្អប្រសើរនៃវេទិកាផ្នែករឹងពហុដំណើរការ/ពហុស្នូល ខណៈដែល Suricata អាចគ្រប់គ្រងចរាចរណ៍បានរហូតដល់ 10 Gbps នៅលើកុំព្យូទ័រដែលមានគោលបំណងទូទៅធម្មតា។ អ្នកអាចនិយាយអំពីភាពស្រដៀងគ្នា និងភាពខុសគ្នារវាងប្រព័ន្ធទាំងពីរក្នុងរយៈពេលយូរ ប៉ុន្តែទោះបីជាម៉ាស៊ីន Suricata ដំណើរការលឿនជាងមុនក៏ដោយ សម្រាប់បណ្តាញមិនធំទូលាយពេកវាមិនមានបញ្ហាអ្វីនោះទេ។

ជម្រើសដាក់ឱ្យប្រើប្រាស់

IPS ត្រូវតែត្រូវបានដាក់តាមរបៀបដែលប្រព័ន្ធអាចត្រួតពិនិត្យផ្នែកបណ្តាញក្រោមការគ្រប់គ្រងរបស់វា។ ភាគច្រើនវាជាកុំព្យូទ័រដែលខិតខំប្រឹងប្រែង ចំណុចប្រទាក់មួយដែលភ្ជាប់បន្ទាប់ពីឧបករណ៍គែម ហើយ "មើលទៅ" តាមរយៈពួកវាទៅកាន់បណ្តាញសាធារណៈដែលមិនមានសុវត្ថិភាព (អ៊ីនធឺណិត)។ ចំណុចប្រទាក់ IPS មួយផ្សេងទៀតត្រូវបានភ្ជាប់ទៅការបញ្ចូលនៃផ្នែកដែលបានការពារ ដូច្នេះចរាចរទាំងអស់ឆ្លងកាត់ប្រព័ន្ធ និងត្រូវបានវិភាគ។ ក្នុងករណីស្មុគ្រស្មាញជាងនេះ វាអាចមានផ្នែកការពារជាច្រើន៖ ឧទាហរណ៍ នៅក្នុងបណ្តាញសាជីវកម្ម តំបន់គ្មានយោធា (DMZ) ជារឿយៗត្រូវបានបែងចែកជាមួយសេវាកម្មដែលអាចចូលប្រើបានពីអ៊ីនធឺណិត។

IPS បែបនេះអាចការពារការស្កែនច្រក ឬការវាយប្រហារដោយបង្ខំ ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងម៉ាស៊ីនមេសំបុត្រ ម៉ាស៊ីនមេគេហទំព័រ ឬស្គ្រីប ក៏ដូចជាប្រភេទផ្សេងទៀតនៃការវាយប្រហារខាងក្រៅ។ ប្រសិនបើកុំព្យូទ័រនៅលើបណ្តាញមូលដ្ឋានត្រូវបានឆ្លងមេរោគ IDS នឹងមិនអនុញ្ញាតឱ្យពួកគេទាក់ទងម៉ាស៊ីនមេ botnet ដែលមានទីតាំងនៅខាងក្រៅនោះទេ។ ការការពារដ៏ធ្ងន់ធ្ងរបន្ថែមទៀតនៃបណ្តាញខាងក្នុងទំនងជាតម្រូវឱ្យមានការកំណត់រចនាសម្ព័ន្ធស្មុគ្រស្មាញជាមួយនឹងប្រព័ន្ធចែកចាយ និងកុងតាក់គ្រប់គ្រងតម្លៃថ្លៃដែលមានសមត្ថភាពឆ្លុះបញ្ចាំងចរាចរណ៍សម្រាប់ចំណុចប្រទាក់ IDS ដែលភ្ជាប់ទៅច្រកមួយ។

ជាញឹកញាប់បណ្តាញសាជីវកម្មត្រូវទទួលរងការវាយប្រហារការបដិសេធនៃសេវាកម្មចែកចាយ (DDoS)។ ទោះបីជា IDSs ទំនើបអាចដោះស្រាយជាមួយពួកគេក៏ដោយ ជម្រើសនៃការដាក់ពង្រាយខាងលើគឺមានប្រយោជន៍តិចតួចនៅទីនេះ។ ប្រព័ន្ធនេះទទួលស្គាល់សកម្មភាពព្យាបាទ និងរារាំងចរាចរណ៍ដ៏អាក្រក់ ប៉ុន្តែសម្រាប់បញ្ហានេះ កញ្ចប់ព័ត៌មានត្រូវតែឆ្លងកាត់ការភ្ជាប់អ៊ីនធឺណិតខាងក្រៅ និងឈានដល់ចំណុចប្រទាក់បណ្តាញរបស់វា។ អាស្រ័យលើអាំងតង់ស៊ីតេនៃការវាយប្រហារ បណ្តាញបញ្ជូនទិន្នន័យប្រហែលជាមិនអាចទប់ទល់នឹងបន្ទុកបានទេ ហើយគោលដៅរបស់អ្នកវាយប្រហារនឹងត្រូវបានសម្រេច។ សម្រាប់ករណីបែបនេះ យើងសូមណែនាំឱ្យប្រើ IDS នៅលើម៉ាស៊ីនមេនិម្មិតជាមួយនឹងការតភ្ជាប់អ៊ីនធឺណិតដែលស្គាល់ប្រសើរជាងមុន។ អ្នកអាចភ្ជាប់ VPS ទៅកាន់បណ្តាញមូលដ្ឋានតាមរយៈ VPN ហើយបន្ទាប់មកអ្នកនឹងត្រូវកំណត់រចនាសម្ព័ន្ធផ្លូវនៃចរាចរខាងក្រៅទាំងអស់តាមរយៈវា។ បន្ទាប់មក នៅក្នុងព្រឹត្តិការណ៍នៃការវាយប្រហារ DDoS អ្នកនឹងមិនចាំបាច់ជំរុញកញ្ចប់ព័ត៌មានតាមរយៈការភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវានោះទេ ពួកគេនឹងត្រូវបានរារាំងនៅលើម៉ាស៊ីនខាងក្រៅ។

បញ្ហាជម្រើស

វាពិបាកណាស់ក្នុងការកំណត់អត្តសញ្ញាណអ្នកដឹកនាំក្នុងចំណោមប្រព័ន្ធឥតគិតថ្លៃ។ ជម្រើសនៃ IDS / IPS ត្រូវបានកំណត់ដោយបណ្តាញ topology លក្ខណៈសុវត្ថិភាពចាំបាច់ ក៏ដូចជាចំណង់ចំណូលចិត្តផ្ទាល់ខ្លួនរបស់អ្នកគ្រប់គ្រង និងបំណងប្រាថ្នារបស់គាត់ក្នុងការដោះស្រាយជាមួយការកំណត់។ Snort មានប្រវត្តិយូរជាងនេះ ហើយត្រូវបានចងក្រងជាឯកសារបានប្រសើរជាង បើទោះជាព័ត៌មានអំពី Suricata ក៏ងាយស្រួលក្នុងការស្វែងរកតាមអ៊ីនធឺណិតដែរ។ ក្នុងករណីណាក៏ដោយ ដើម្បីធ្វើជាម្ចាស់លើប្រព័ន្ធ អ្នកនឹងត្រូវខិតខំប្រឹងប្រែងខ្លះ ដែលនៅទីបំផុតនឹងសង - ផ្នែករឹងពាណិជ្ជកម្ម និងផ្នែករឹង-កម្មវិធី IDS / IPS មានតម្លៃថ្លៃណាស់ ហើយមិនតែងតែសមនឹងថវិកានោះទេ។ អ្នកមិនគួរស្តាយពេលវេលាដែលចំណាយនោះទេ ព្រោះអ្នកគ្រប់គ្រងល្អតែងតែកែលម្អគុណវុឌ្ឍិរបស់គាត់ដោយចំណាយប្រាក់របស់និយោជក។ ក្នុង​ស្ថានភាព​នេះ អ្នក​រាល់​គ្នា​ឈ្នះ។ នៅក្នុងអត្ថបទបន្ទាប់ យើងនឹងពិនិត្យមើលជម្រើសមួយចំនួនសម្រាប់ការដាក់ពង្រាយ Suricata និងប្រៀបធៀបប្រព័ន្ធទំនើបជាងមុនជាមួយនឹង IDS/IPS Snort បុរាណនៅក្នុងការអនុវត្ត។

ប្រភព: www.habr.com