Information system security wk7-1-ids-ips
3 likes2,015 views
If you have question Message me!
Information system security wk7-1-ids-ips
- 1. IT346 Information System Security Week 7-1: IDS/IPS (1) อ.พงษ์ศกดิ์ ไผ่แดง ั Faculty of Information Technology Page 1
- 2. Intrusion Intrusion (การบุกรุก) ่ ่ ‣ เหตุการณ์ดานความมันคง หรือกลุ่มของเหตุการณ์ดานความมันคงที่ก่อให้เกิด ้ ้ อุบติการณ์ (incident) ที่ผูบุกรุกได้รบอนุ ญาต หรือพยายามให้ได้รบอนุ ญาต ั ้ ั ั เข้ามาในระบบ (หรือเข้าถึงทรัพยากรของระบบ) โดยไม่ได้รบสิทธิ์ที่ถกต้อง ั ู Intrusion Detection (การตรวจจับการบุกรุก) ่ ‣ บริการด้านความมันคง (Security Service) ที่ตรวจตรา (monitor) และ วิเคราะห์เหตุการณ์ในระบบ เพื่อที่จะค้นหา และแจ้งเตือนแบบ real-time หรือ ใกล้เคียง real-time เมื่อมีความพยายามที่จะเข้าถึงทรัพยากรของระบบ โดย ไม่ได้รบสิทธิ์ที่ถกต้อง ั ู Faculty of Information Technology Page 2
- 3. IDS ระบบตรวจจับการบุกรุก (Intrusion Detection System: IDS) เป็ น เครื่องมือสาหรับการรักษาความปลอดภัยที่ใช้สาหรับตรวจจับความ พยายามที่จะบุกรุกเครือข่าย โดยระบบจะแจ้งเตือนผูดแลระบบเมื่อมีการ ้ ู บุกรุกหรือมีการพยายามที่จะบุกรุกเครือข่าย IDS ไม่ใช่ระบบที่ปองกันการบุกรุก แต่เป็ นระบบที่คอยแจ้งเตือนภัย ้ เท่านัน ้ หน้าที่หลักของ IDS คือ แจ้งเตือนการเข้าใช้เครือข่ายที่ผิดปกติ ในการออกแบบ IDS นัน เหตุการณ์ใดคือสิ่ งผิ ดปกติ นันเป็ นประเด็ น ้ ้ สาคัญ แต่ IDS ไม่สามารถปองกันการบุกรุกได้โดยทันทีแบบ Real time เช่น ้ การโจมตีแบบ DoS ระบบปองกันการโจมตี =Intrusion Protection System: (IPS) ้ Faculty of Information Technology Page 3
- 4. IPS IPS สามารถตรวจจับการบุกรุกและหยุดการบุกรุกได้ทนที ั IPS มีการใช้เทคโนโลยี ขนสูงในการวิเคราะห์ขอมูล เช่น Neural ั้ ้ Network, Fuzzy Logic ซึ่งจะทาให้ลดปั ญหาการแจ้งเตือนที่ผิดพลาดลง ได้อย่างมาก และทาให้ IPS บางรุ่น สามารถปองกันการโจมตีแบบ DDoS ้ ได้ดวย ้ การทางานของ IPS จะใช้หลักการที่เรียกว่า Inline หรือ Gateway IDS คือ มีการนา IPS ไปกันกลางบนเส้นทางการส่งข้อมูล โดยไม่ตองมีการ ้ ้ กาหนด IP Address ให้กบ IPS ั ‣ ปั ญหาเกิด ถ้า IPS เสีย ‣ ถ้า IPS ตัดสินใจผิ ด Faculty of Information Technology Page 4
- 5. Honeypot Honeypot มักใช้ร่วมกับ IDS/IPS ในการดักจับการบุกรุก Honeypot หรือเปาหมายลวง ซึ่งหมายถึ ง เครื่องเซิรฟเวอร์ที่เราปล่อยให้ ้ ์ มีช่องโหว่ เพื่อลวงให้แฮกเกอร์เข้ามาเจาะระบบ ทาให้เราได้เรียนรูวิธีการ ้ เจาะระบบของแฮกเกอร์อย่างละเอียด อาจจะตรวจสอบจนสื บหาตัวได้ ก่อนที่จะเจาะระบบจริง ปกติ Honeypot จะใช้ความสามารถ “stealth logging” ของระบบในการ บันทึกหลักฐานเพื่อใช้ในการสื บจับแฮกเกอร์ ข้อมูลเพิ่มเติ ม http://project.honeynet.org Faculty of Information Technology Page 5
- 6. Vulnerability Analysis เครืองมือสาหรับวิเคราะห์จุดอ่อน (Vulnerability Analysis) บางทีเรียกว่า ่ เครืองมือประเมินจุดอ่อน (Vulnerability Assessment) เป็ นเครื่องมือที่ใช้ ่ ทดสอบว่า โฮสต์หรือเครือข่ายมีจุดอ่อนหรือช่องโหว่ที่อาจถูกโจมตี หรือไม่ การวิเคราะห์หาจุดอ่อนของระบบนันเป็ นสิ่ งที่สาคัญของการรักษาความ ้ ปลอดภัยในเครือข่าย แต่จะทาหน้าที่ต่างจาก IDS จึงไม่สามารถทดแทน IDS ได้ เครื่องมือวิเคราะห์จุดอ่อนใช้เพียงช่วงเวลาใดเวลาหนึ่ ง ไม่ได้ใช้งาน ตลอดเหมือนกับ IDS Faculty of Information Technology Page 6
- 7. ทาไมต้องมี IDS/IPS ระบบ IDS คื อ ระบบที่ใช้สาหรับการเฝาระวังหรือมอนิ เตอร์เหตุการณ์ ้ ต่างๆ ที่เกิดขึ้ นในระบบคอมพิวเตอร์หรือเครือข่าย แล้ววิเคราะห์เพือหา ่ ร่องรอยของการบุกรุก ซึ่งหมายถึง การพยายามที่จะทาลายความลับ ความคงสภาพ และ ความพร้อมใช้งาน ของข้อมูล การตรวจจับ การบุกรุกที่เกิดจากการที่ผูบุกรุกเข้าถึ งระบบจาก ้ อินเตอร์เน็ ต หรือ การที่ผูใช้ภายในพยายามที่จะทาในสิ่ งที่ไม่ควรจะทา ้ หรือไม่ได้รบอนุญาต หรือไม่มีสิทธิ์ หรือการที่ใช้สิทธิพิเศษของตนในทาง ั ที่ผิด Faculty of Information Technology Page 7
- 8. ทาไมต้องมี IDS/IPS เพื่อเป็ นเครื่องมือสาหรับการสื บสวนหาบุคคลที่ โจมตี บุกรุก หรือใช้ระบบ ในทางที่ผิด ซึ่งอาจนาไปสู่การจับกุมและลงโทษบุคคลเหล่านี้ เพื่อตรวจจับการโจมตี หรือการฝ่ าฝื นข้อบังคับของระบบรักษาความปลอดภัย ที่ไม่สามารถปองกันได้จากระบบการรักษาความปลอดภัยอื่น ้ เพื่อตรวจจับความพยายามที่จะบุกรุกเครือข่ายและปองกันก่อนที่จะเกิดการ ้ โจมตีจริงๆ เพื่อเก็บรวบรวมสถิตเกี่ยวกับความพยายามหรือการโจมตี และนาข้อมูลไป ิ วิเคราะห์ภยคุกคามที่อาจเกิดขึ้ นกับองค์กรได้ ั Faculty of Information Technology Page 8
- 9. ทาไมต้องมี IDS/IPS เพื่อเป็ นเครื่องมือในการวัดประสิทธิภาพในการปองกันภัยของระบบรักษา ้ ความปลอดภัยอืนๆ เช่น ไฟร์วอลล์ ่ เพื่อเป็ นข้อมูลที่เป็ นประโยชน์เมื่อมีการบุกรุกเกิดขึ้ นจริงๆ ซึ่งจะช่วยใน การค้นหาส่วนที่ถกโจมตี การกูคืนระบบหรือข้อมูล และการแก้ไขผลเสี ย ู ้ ที่เกิดจากการบุกรุก และการปองกันในอนาคตได้ ้ Faculty of Information Technology Page 9
- 10. สาเหตุที่ช่องโหว่หรือจุดอ่อนยังไม่ได้แก้ไข ระบบปฏิ บติการที่เก่าหรือล้าสมัยไปแล้ว ไม่สามารถแก้ไขช่องโหว่หรือ ั จุดอ่อนที่พบได้ ถึงแม้ว่าระบบปฏิบติการจะมีแพตซ์ (patch) สาหรับแก้ไขช่องโหว่ แต่ ั ผูดแลระบบอาจไม่มีเวลา ้ ู ไม่มีเครื่องมือที่จะคอยติ ดตามว่าเครื่องไหนที่ได้ติดตังแพตซ์หรืออัพเดต ้ เรียบร้อยแล้ว ซึ่งเป็ นปั ญหาประจา โดยเฉพาะกับเครือข่ายที่มีโฮสต์มาก ผูใช้อาจมีความจาเป็ นที่ตองใช้ช่องโหว่หรือจุดอ่อนในการปฏิ บติงาน ซึ่ง ้ ้ ั อาจเป็ นช่องโหว่ท่ีผูไม่หวังดีอาจใช้ช่องโหว่เดียวกันในการทาลายระบบ ้ Faculty of Information Technology Page 10
- 11. สาเหตุที่ช่องโหว่หรือจุดอ่อนยังไม่ได้แก้ไข ข้อผิ ดพลาดอาจเกิดจากผูใช้หรือผูดแลระบบ ซึ่งอาจเกิดขึ้ นเนื่ องจาก ้ ้ ู ความไม่ได้ตงใจหรือเข้าใจผิ ด หรือผูดแลอาจจะตังค่า (configure) ระบบ ั้ ้ ู ้ ไม่ถกต้อง ู ในการ configure ระบบควบคุมการเข้าถึ งระบบ (Access Control) เพื่อให้ เป็ นไปตามนโยบายการรักษาความปลอดภัยหรือระเบียบใช้งาน คอมพิวเตอร์นน มักมี ขอขัดแย้งเกิดขึ้ นเสมอ ซึ่งความขัดแย้งนี้ อาจทาให้ ั้ ้ ผูใช้บางคนสามารถใช้งานระบบมากกว่าสิ ทธิ์ท่ีได้รบอนุ ญาตก็ได้ ้ ั Faculty of Information Technology Page 11
- 12. ขันตอนการโจมตีเครือข่ายส่วนใหญ่ ้ การสแกน (probing) เพื่อเรียนรูระบบหรือเครือข่าย พร้อมทังค้นหาช่องโหว่ที่ ้ ้ สามารถโจมตีได้ หลังจากพบช่องโหว่แล้ว ผูบุกรุกก็สามารถใช้เครื่องมือเฉพาะสาหรับใช้ช่องโหว่ ้ ดังกล่าวเพื่อเข้าถึง และทาลายระบบในที่สุด การเก็บสถิติของการโจมตีเครือข่ายเป็ นสิ่งสาคัญ ซึ่งข้อมูลนี้ อาจใช้สาหรับการ วางแผนด้านการปรับปรุงระบบรักษาความปลอดภัยในเครือข่าย อย่างน้อย IDS ก็ จะเป็ นเครื่องมือสาหรับแจ้งเตื อนว่ามีความพยายามที่จะบุกรุก หรือมีการบุกรุก เกิดขึ้นจริงในเครือข่าย Faculty of Information Technology Page 12
- 13. ขีดความสามารถของ IDS มอนิ เตอร์และวิเคราะห์เหตุการณ์ที่เกิดขึ้นในระบบและพฤติ กรรมของผูใช้ ้ ทดสอบระดับความปลอดภัยของระบบ บอกถึงระดับมาตรฐานความปลอดภัยของระบบ และเฝาติดตามการเปลี่ยนแปลง ้ จากระดับดังกล่าว เรียนรูลาดับเหตุการณ์ของระบบที่เกิดจากการโจมตีท่ีรล่วงหน้า ้ ู้ เรียนรูลาดับเหตุการณ์ของระบบที่แตกต่างจากเหตุการณ์ปกติ ้ จัดการข้อมูลเกี่ยวกับอีเวนต์ล็อก (Event Log) และ ออดิทล็อก (Audit Log) ของ ระบบปฏิบติการ ั รายงานข้อมูลเกี่ยวกับนโยบายการรักษาความปลอดภัยพื้นฐาน อนุ ญาตให้ผูท่ียงไม่มีความชานาญทางด้านการรักษาความปลอดภัยสามารถ ้ ั มอนิ เตอร์ความปลอดภัยได้ Faculty of Information Technology Page 13
- 14. ข้อจากัดของ IDS ไม่สามารถปิ ดช่องโหว่หรือจุดอ่อนของระบบที่ไม่ได้ปองกันโดยระบบรักษา ้ ความปลอดภัยอื่น ไม่สามารถตรวจจับ รายงาน และตอบโต้การโจมตีได้ในช่วงเวลาที่มีการใช้ เครือข่ายอย่างหนาแน่ น หรือ โหลดของเครือข่ายมากเกินไป ไม่สามารถตรวจจับการโจมตีใหม่ๆ หรือการโจมตีเก่าแต่เปลี่ยนรูปแบบการ โจมตี ไม่สามารถตอบโต้การโจมตีได้อย่างมีประสิทธิภาพต่อผูบกรุกที่มีความชานาญ ้ ุ สูง ไม่สามารถสืบหาผูบกรุกได้โดยอัตโนมัติ การสืบหาผูบกรุกนันต้องอาศัยคน ุ้ ้ ุ ้ ช่วยในการวิเคราะห์ เพื่อสืบสวนเรื่องราว ไม่สามารถขัดขวางไม่ให้ IDS ถูกโจมตี เอง ไม่สามารถปองกันปั ญหาเกี่ยวกับความถูกต้องของแหล่งข้อมูล ้ ไม่สามารถทางานได้ดีในระบบเครือข่ายที่ใช้สวิตซ์ Faculty of Information Technology Page 14
- 15. ประเภทของ IDS Host-based IDS ‣ เป็ นระบบที่ติดตังที่โฮสต์ คอยเฝาระวังและตรวจจับความพยายามที่จะถูกบุก ้ ้ รุกโฮสต์นน ั้ Network-based IDS ‣ เป็ นระบบที่ตรวจดูทราฟฟิ ค (traffic) ที่ว่ิงอยู่ในเครือข่ายและแจ้งเตือน ถ้าพบ หลักฐานที่คาดว่าจะเป็ นการบุกรุกเครือข่าย ‣ ได้จากการตรวจตราและวิเคราะห์โปรโตคอลในระดับ network, transport และ application Faculty of Information Technology Page 15
- 16. ประเภทของ IDS Faculty of Information Technology Page 16
- 17. IDS Components Sensor ทาหน้าที่เก็บข้อมูล ‣ Input สาหรับ sensor เป็ นข้อมูลจากส่วนต่างๆของระบบที่อาจบรรจุหลักฐาน ของการบุกรุก ‣ ชนิ ดของ input สาหรับ sensors ได้แก่ network packets, log files และsystem call traces ‣ Sensors เก็บรวบรวมข้อมูลและส่งต่อไปยัง analyzer Analyzer วิเคราะห์เพื่อระบุว่ามีการบุกรุกเกิดขึ้ นหรือไม่ ‣ รับ input จาก sensors หรือจาก analyzer ตัวอื่น ‣ Output ของ analyzer บ่งชี้ ว่ามีการบุกรุกเกิดขึ้นหรือไม่ ‣ Output อาจรวมหลักฐานที่สนับสนุ นว่ามีการบุกรุกเกิดขึ้ นจริง ‣ Analyzer อาจระบุแนวทางเกี่ยวกับการดาเนิ นการ (action) ที่ควรใช้เพื่อ ตอบสนองต่อการบุกรุก Faculty of Information Technology Page 17
- 18. IDS Components User Interface ใช้ในการดู output หรือควบคุมพฤติกรรมต่างๆของระบบ ‣ ในบางระบบ user interface อาจนาเสนอหรือนาข้อมูลไปให้กบผูจดการระบบ ั ้ ั ผูบริหาร หรือองค์ประกอบ console อื่นๆ ้ Faculty of Information Technology Page 18
- 19. Host-based IDS Host-based IDS เป็ นซอฟต์แวร์ท่ีรนบนโฮสต์ โดยปกติ แล้ว IDS นี้ จะ ั วิเคราะห์ล็อก (Log) เพื่อค้นหาข้อมูลเกี่ยวกับการบุกรุก ‣ ในระบบยูนิกซ์ Log ที่ IDS จะตรวจสอบเช่น Syslog, Messages, Lastlog, Wtmp ‣ ในระบบวินโดวส์ Log ที่ IDS จะตรวจสอบเช่น System, Application, Security โดยปกติ IDS จะอ่านเหตุการณ์ใหม่ท่ีเกิดขึ้ นใน Log และเปรียบเทียบกับ กฎที่กาหนดไว้ก่อนหน้า ถ้าตรงก็จะแจ้งเตือนทันที ดังนัน การที่ IDS จะตรวจจับการบุกรุกได้ ระบบจะต้องบันทึกเหตุการณ์ ้ ต่างๆ ที่สาคัญที่เกิดขึ้ นกับระบบในล็ อกไฟล์ มิเช่นนัน IDS ก็ไม่มีขอมูลที่ ้ ้ ใช้วิเคราะห์ว่ามีการบุกรุกหรือไม่ Faculty of Information Technology Page 19
- 20. ข้อดีของ Host-based IDS สามารถตรวจพบทุกการบุกรุกกับโฮสต์นนๆ ได้เสมอ ถ้าระบบสามารถ ั้ บันทึกเหตุการณ์ดงกล่าวใน Log ได้ หรือ การบุกรุกมีการเรียกใช้ System ั Calls สามารถบอกได้ว่าการบุกรุกนันสาเร็จหรือไม่ โดยการวิเคราะห์ขอความ ้ ้ ใน Log หรือจากหลักฐานอื่นๆ เช่น มีการแก้ไขไฟล์ที่สาคัญของระบบ เป็ นต้น สามารถระบุได้ว่ามีการเข้าใช้งานระบบอย่างผิ ดปกติ โดยผูใช้ของระบบเอง ้ Faculty of Information Technology Page 20
- 21. ข้อเสียของ Host-based IDS โพรเซสของ IDS อาจถูกโจมตีเองจนไม่สามารถแจ้งเตือนได้ Host-based IDS จะแจ้งเตื อนก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้ นนันตรงกับที่ ้ กาหนดไว้ก่อนหน้า ถ้าแฮกเกอร์มีเทคนิ กใหม่ๆ IDS อาจไม่แจ้งเตือนการ บุกรุกก็ได้ การทางานของ Host-based IDS อาจมีผลกระทบต่อประสิ ทธิภาพของ โฮสต์เอง เนื่ องจากต้องตรวจสอบ Log File และ System Calls Faculty of Information Technology Page 21
- 22. Network-Based IDS (NIDS) ระบบ NIDS ที่ตรวจตรา traffic ณ จุดบางจุดบนเครือข่าย ‣ พิจารณา packet ทีละ packet แบบ real-time หรือใกล้เคียง real-time ‣ อาจพิจารณาการทางานในระดับ network, transport และ/หรือ applicationlevel protocol ‣ พิจารณา packet traffic ที่เข้าไปสู่ระบบหรือเครือข่ายที่มีความเปราะบาง หรือ มีความสาคัญ NIDS ประกอบด้วย sensors หลายตัว เครื่อง server หรือกลุ่มของ server ที่ทาหน้าที่จดการระบบ NIDS และ management console สาหรับติดต่อ ั กับผูดแลระบบ ้ ู ‣ การวิเคราะห์รปแบบ (pattern) ของ traffic อาจทาที่ sensors, management ู server หรือที่ทงสองส่วนประสานกัน ั้ Faculty of Information Technology Page 22
- 23. NIDS Sensor Deployment Inline sensor ‣ แทรกอยู่ในส่วนของเครือข่าย (network segment) เพื่อให้ traffic ที่ได้รบการ ั monitor วิ่งผ่าน sensor ‣ รวมตรรกะการทางานของ NIDS sensor เข้าไปในอุปกรณ์เครือข่ายอื่นๆ เช่น firewall หรือ LAN switch ‣ หรือใช้ inline NIDS sensor แบบ stand-alone Passive sensors ‣ Monitor สาเนา (copy) ของ traffic ‣ Sensor เชื่ อมต่อกับสายส่งสัญญาณด้วย physical tap ที่ส่ง copy ของ traffic มาให้ ‣ Network card ของ tap ไม่มี IP address Faculty of Information Technology Page 23
- 24. Network-based IDS (NIDS) อาจใช้ซอฟต์แวร์พิเศษที่รนบนคอมพิวเตอร์เครื่องหนึ่ งต่างหาก IDS นี้ จะ ั มี network card ที่ทางานใน Promiscuous mode Promiscuous Mode : โหมดการทางานซึ่ง network card จะรับทุกๆ แพ็ก เก็ตที่ว่ิงอยู่บนเครือข่าย แล้วส่งต่อไปให้แอพพลิ เคชันเพื่อจัดการต่อไป เมื่อทุกๆแพ็กเก็ตส่งผ่านไปให้แอพพลิ เคชัน IDS จะวิเคราะห์ขอมูลใน ้ แพ็กเก็ตเหล่านัน กับข้อมูลที่เป็ นรูปแบบของการบุกรุกที่เก็บไว้ใน ้ ฐานข้อมูลก่อนหน้า ถ้าตรง IDS จะแจ้งเตือนทันที ในแต่ละ IDS จะมีฐานข้อมูลที่ใช้สาหรับเปรียบเทียบ เรียกว่า Signature Faculty of Information Technology Page 24
- 25. Network-based IDS (NIDS) ส่วนใหญ่ IDS นี้ จะมี 2 network card ‣ อันแรก จะเชื่ อมต่อเข้ากับเครือข่ายที่ตองการเฝาระวังหรือตรวจจับการบุกรุก ้ ้ และไม่มี ไอพีแอดเดรส ดังนันเครื่องอื่นๆ ไม่สามารถมองเห็นเครื่องนี้ ้ ‣ อันที่สอง จะเชื่ อมต่อเข้ากับอีกเครือข่าย เพื่อใช้สาหรับส่งการแจ้งเตื อนไปยัง เซิรฟเวอร์ โดยเครือข่ายนี้ ตองไม่เชื่ อมต่อกับเครือข่ายหลัก เพื่อปองกันการ ์ ้ ้ โจมตีเอง Faculty of Information Technology Page 25
- 26. NISD Sensor Deployment Example NIDS sensor inside external firewall: • See attack that can penetrate external firewall. • Highlights problems with network firewall policy or performance • Sees attacks that might target Web server or ftp server • IDS can sometimes recognize outgoing traffic that results from compromised server Internet traffic passes through external firewall that protects the entire facility Traffic from outside world is monitored Internal firewalls provides more specific protection to certain parts of network Faculty of Information Technology Page 26
- 27. NISD Sensor Deployment Example NIDS sensor on backbone: • Monitors large amount of network’s traffic, increasing the possibility of spotting attacks • Detects unauthorized activity by authorized users within organization NIDS sensor between external firewall and WAN: • can monitor all network traffic, unfiltered • Documents number and type of attacks originating on Internet that target the network Faculty of Information Technology Page 27
- 28. NISD Sensor Deployment Example NIDS sensor in important LAN: • Detects attacks targeting critical systems and resources • Allows focusing of limited resources to network assets considered of greatest value Faculty of Information Technology Page 28
- 29. ติดตัง IDS หน้า/หลังไฟร์วอลล์ ้ ข้อดีของการติดตัง IDS หน้าไฟร์วอลล์ ้ ‣ สามารถตรวจจับการบุกรุกจากภายนอกที่สามารถเจาะผ่านไฟร์วอลล์ได้ ‣ ตรวจสอบความถูกต้องในการคอนฟิ กไฟร์วอลล์ หรือ ประสิทธิภาพของไฟร์ วอลล์ในการปองกันการบุกรุก ้ ‣ สามารถตรวจจับการโจมตีเซิรฟเวอร์ที่อยู่ใน DMZ เช่น web server, mail ์ server หรือ DNS server ‣ บางที IDS อาจตรวจไม่เจอแพ็กเก็ตการบุกรุกที่ส่งจากภายนอก แต่ก็อาจ ตรวจเจอแพ็กเก็ตที่ส่งไปข้างนอกซึ่งเป็ นผลมาจากการโจมตี ข้อดีของการติดตัง IDS หลังไฟร์วอลล์ ้ ‣ เก็บสถิติเกี่ยวกับจานวนครังการโจมตีที่มาจากภายนอก หรืออินเทอร์เน็ ตที่มี ้ เปาหมายเป็ นเครือข่ายภายใน ้ ‣ เก็บสถิติเกี่ยวกับประเภทการโจมตี ท่ีมาจากภายนอก หรืออินเทอร์เน็ ตที่มี เปาหมายเป็ นเครือข่ายภายใน ้ Faculty of Information Technology Page 29
- 30. จุดการติดตัง IDS บนเครือข่าย ้ ข้อดีของการติดตัง IDS บน backbone หลักของเครือข่าย ้ ‣ มอนิ เตอร์ทราฟิ กหลักที่ไหลเวียนภายในเครือข่าย ซึ่งจะเป็ นข้อมูลที่ช่วยใน การวิเคราะห์และค้นหาที่มา หรือเปาหมายของการโจมตี ้ ‣ ตรวจจับกิจกรรมที่ไม่ได้รบอนุ ญาตของผูใช้ทวไปที่อยู่ในเครือข่าย ั ้ ั่ ข้อดีของการติดตัง IDS บนซับเน็ ตที่มีความเสี่ ยงสูง ้ ‣ ตรวจจับการโจมตีท่ีมีเปาหมายเป็ นระบบหรือ resource ที่สาคัญ ้ ‣ เป็ นการลดจานวน IDS ที่ตองใช้ และเป็ นการมอนิ เตอร์เฉพาะจุดที่สาคัญๆ ้ เพื่อจะได้เป็ นการคุมค่าต่อการใช้งาน IDS ้ 30 Faculty of Information Technology Page
- 31. ข้อดีของ Network-based IDS Network-based IDS จะถูกซ่อนไว้ในเครือข่าย ทาให้ผูบกรุกไม่รว่ากาลัง ้ ุ ู้ ถูกเฝามองอยู่ ้ Network-based IDS หนึ่ งเครื่อง สามารถใช้เฝาระวังการบุกรุกได้กบ ้ ั หลายระบบ หรือ โฮสต์ สามารถตรวจจับทุกๆ แพ็กเก็ตที่วิ่งไปยังระบบที่ ถกเฝาระวังภัยอยู่ ู ้ Faculty of Information Technology Page 31
- 32. ข้อเสียของ Network-based IDS จะแจ้งเตื อนก็ต่อเมื่อตรวจพบแพ็กเก็ตที่ตรงกับ signature ที่กาหนดไว้ ก่อนหน้าเท่านัน ้ อาจไม่สามารถตรวจจับแพ็กเก็ตได้ทงหมด ในกรณี ที่มาการใช้เครือข่าย ั้ หนาแน่ น จนทาให้ IDS วิเคราะห์แพ็กเก็ตที่ว่ิงอยู่บนเครือข่ายไม่ทน หรือ ั มีเส้นทางอื่นที่ไม่ผ่าน IDS ไม่สามารถสรุปได้ว่าการบุกรุกนันสาเร็จหรือไม่ ้ ไม่สามารถตรวจวิเคราะห์แพ็กเก็ตที่ถกเข้ารหัสไว้ได้ ู เครือข่ายที่มีสวิตซ์ตองตังค่า (Configure) เพื่อให้พอร์ตที่เชื่อมต่อกับ IDS ้ ้ นันสามารถมองเห็นทุกแพ็กเก็ตที่วิ่งผ่านสวิตซ์ได้ หรือการทา port ้ mirroring Faculty of Information Technology Page 32
- 33. Adaptive Cooperative IDS ข้อเสี ยของกลไกปองกันในระดับขอบเขต (Perimeter defense) เช่น ้ IDSs, firewalls, etc. ‣ เครื่องมือที่ใช้อาจไม่รจก threats ใหม่ๆ หรือ threats เดิมที่ถกดัดแปลงไปบ้าง ู้ ั ู ‣ ยากต่อการ update อย่างรวดเร็ว เพื่อให้ตอบสนองต่อ attacks ที่กระจายตัวเร็ว ‣ องค์กรสมัยใหม่อาจไม่มีขอบเขตขององค์กรที่แน่ นอน เช่น มีเครื่องเข้าออก มาก หรือมีการเชื่ อมต่อผ่าน wireless connection ข้อจากัดของ distributed host-based IDS ‣ Anomaly detectors ที่แต่ละ local nodes พบเหตุการณ์ผิดปกติ ่ • เช่น เครื่ องถูกสังให้เชื่ อมต่อออกไปภายนอกด้วยอัตราการเชื่ อมต่อสูงผิ ดปกติ ‣ หลักฐานจากเครื่องเดียวอาจไม่เพียงพอ • อาจนาไปสู่ false positive ถ้าตัดสิ นทันทีว่ามีการบุกรุก • อาจนาไปสู่ false negative ถ้ารอหลักฐานเพิ่มเติ ม Faculty of Information Technology Page 33
- 34. Adaptive Cooperative IDS ระบบแบบ Adaptive cooperative ‣ Node ติดต่อกันผ่าน peer-to-peer “gossip” protocol เพื่อแจ้งข่าวสารต่อกัน เกี่ยวกับเหตุการณ์ท่ีน่าสงสัย โดยระบุความเป็ นไปได้ของการบุกรุก ‣ หาก node หนึ่ งๆได้รบข่าวสารเกี่ยวกับการโจมตี ใดๆมากเพียงพอ เกินกว่าที่ ั กาหนด node นันอาจตังสมมติฐานได้ว่ากาลังมีการบุกรุก และเตรียมรับมือ ้ ้ ‣ Node อาจรับมือเองหรือส่ง alert ไปยังส่วนกลาง ตัวอย่าง: autonomic enterprise security โดย Intel. ‣ End host และ network device (เช่น routers) เป็ น sensor โดยมี sensor software module ติดตังอยู่ ้ ‣ Sensors ในระบบแบบกระจายนี้ แลกเปลี่ยนข้อมูล เพื่อพิจารณาสถานะของ เครือข่ายร่วมกัน ‣ หลักฐานจาก node หลายๆ node ทาให้ได้หลักฐานที่น่าเชื่ อถือในเวลาสันๆ ้ Faculty of Information Technology Page 34