บทที่ 7 : ids/ips part1 · บทที่ 7 : ids/ips part1 สธ412...
TRANSCRIPT
Outline
อะไรคอ IDS/IPS ?
ท าไมตองม IDS/IPS ?
ขดความสามารถ IDS
ประเภทของ IDS
การวเคราะหและการตรวจจบการบกรก
การแจงเตอนภยของ IDS
2
อะไรคอ IDS/IPS ?
IDS (Intrusion Detection System) หมายถงระบบตรวจจบการบกรก เปนเครองมอรกษาความปลอดภยททกองคกรควรจะมรองจากไฟรวอลล ใชในการตรวจจบความพยายามในการบกรกเครอขาย และเตอนภยใหกบผดแลระบบไดรบทราบ
ปกตแฮคเกอรจะหลกเลยงการเจาะระบบทม IDS ตดตงอย
3
อะไรคอ IDS/IPS ? [2]
ปญหาใหญของ IDS คอไมสามารถปองกนการบกรกไดแบบเรยลไทมในการโจมตแบบ DDoS จงมการคดคนเทคโนโลยใหม เรยกวา IPS (Intrusion Prevention System)
IPS ทมความฉลาดจะใชเทคโนโลยชนสงในการวเคราะหขอมล เชน Neural Network, Fuzzy Logic สงผลใหการวเคราะหแมนย าขน
4
อะไรคอ IDS/IPS ? [3]
อกเครองมอหนงทมกใชรวมกบ IDS/IPS คอ Honeypot
Honeypot เปนเปาหมายลวง หมายถงเครองเซรฟเวอรทเราปลอยใหมชองโหวเพอลวงใหแฮคเกอรเขามาตดกบ
ท าใหเรารวธการเจาะระบบของแฮคเกอรอยางละเอยด ตลอดจนสามารถสบหาตวแฮคเกอรไดกอนทระบบจรงจะถกเจาะ
5
ท ำไมตองม IDS/IPS ?
เพอเปนเครองมอในการสบสวนหาบคคลทบกรกระบบ อาจน าไปสการจบกมและลงโทษบคคลเหลานนได
เพอตรวจจบการโจมตหรอการฝาฝนค าสง ทไมสามารถปองกนไดจากระบบรกษาความปลอดภยอน
เพอตรวจจบความพยายามทจะบกรกเครอขายและปองกนกอนทจะเกดการโจมตจรงๆ
เพอเกบรวบรวมสถตเกยวกบความพยายามหรอการโจมต และน าไปวเคราะหภยคกคามทอาจเกดขนได
6
ท ำไมตองม IDS/IPS ? [2]
เพอเปนเครองมอในการวดประสทธภาพในการปองกนของระบบรกษาความปลอดภยอน เชน ไฟรวอลล เปนตน
เพอเปนขอมลทเปนประโยชนเมอมการบกรกจรงๆ ซงจะชวยคนหาสวนทถกโจมต การกคน และการแกไขผลเสย รวมไปถงการปองกนในอนาคต
7
ขดควำมสำมำรถของ IDS
IDS สำมำรถท ำสงตอไปนไดด
มอนเตอรและวเคราะหเหตการณทเกดขนในระบบรวมถงพฤตกรรมของผใช
ทดสอบระดบความปลอดภยของระบบ
เรยนรล าดบเหตการณของระบบทแตกตางจากเหตการณปกต หรอเกดจากการโจมตทรลวงหนา
จดการขอมล Event Log และ Audit Log ของระบบปฏบตการ
รายงานขอมลเกยวกบนโยบายการรกษาความปลอดภยพนฐาน
8
ขดควำมสำมำรถของ IDS [2]
IDS ไมสำมำรถท ำหนำทตอไปนได
ไมสามารถปดชองโหวของระบบทไมไดปองกนโดยระบบรกษาความปลอดภยอน เชนไฟรวอลลหรอแอนตไวรส
ไมสามารถตรวจจบ รายงาน และตอบโตการโจมตไดในชวงเวลาทมการใชเครอขายหนาแนนมากเกนไป
ไมสามารถตรวจจบการโจมตแบบใหม หรอการโจมตแบบเกาแตเปลยนรปแบบการโจมต
9
ขดควำมสำมำรถของ IDS [3]
IDS ไมสำมำรถท ำหนำทตอไปนได (ตอ)
ไมสามารถตอบโตการโจมตไดอยางมประสทธภาพ หากผโจมตมความช านาญสง
ไมสามารถสบหาผบกรกไดโดยอตโนมต ตองอาศยคนในการชวยวเคราะห
ไมสามารถขดขวางไมใหเกดการโจมต IDS เอง
ไมสามารถปองกนปญหาเกยวกบความถกตองของแหลงขอมล
ไมสามารถท างานไดดในระบบเครอขายทใชสวตช
10
ประเภทของ IDS
แบงเปน 2 ประเภท คอ
Host-Based IDS
Network-Based IDS
11
ประเภทของ IDS: Host-Based IDS
เปนซอฟตแวรทรนบนโฮสต
ปกตจะวเคราะห Log เพอคนหาขอมลเกยวกบการบกรก โดยจะอานเหตการณใหมทเกดขนใน Log และเปรยบเทยบกบกฎทตงไวกอนหนา ถาตรงกบกฎกจะแจงเตอนทนท
มการตรวจสอบ Checksum ของไฟลเพอตรวจสอบความคงสภาพ
12
ประเภทของ IDS: Host-Based IDS [2]
ขอด
สามารถตรวจพบการบกรกกบโฮสตนนๆไดเสมอ ถาระบบสามารถบนทกเหตการณไวใน Log ได
สามารถบอกไดวาการบกรกครงนนส าเรจหรอไม โดยวเคราะหจากขอความใน Log หรอการแกไขไฟลส าคญ
สามารถระบไดวามการเขาใชงานอยางผดปกตโดยผใชระบบเอง
13
ประเภทของ IDS: Host-Based IDS [3]
ขอเสย
โปรเซสของ IDS อาจถกโจมตเองจนไมสามารถแจงเตอนได
โฮสตเบสไอดเอสจะแจงเตอนกตอเมอเกดเหตการณตรงกบทก าหนดไวกอนหนา จงไมสามารถแจงเตอนการบกรกดวยเทคนคใหมๆได
การท างานของไอดเอสจะมผลกระทบตอประสทธภาพของโฮสต เนองจากตองตรวจสอบ Log File อยเสมอ
14
ประเภทของ IDS: Network-Based IDS
เปนซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนงตางหาก
มเนตเวรคการดทรบทกๆแพคเกตทวงอยบนเครอขาย แลววเคราะหขอมลในแพคเกตเหลานนกบขอมลทเปนรปแบบการบกรกทเกบไวในฐานขอมลกอนหนา ถาตรงกบรปแบบดงกลาว IDS จะแจงเตอนทนท
15
แผนผงการท างานของ Network-based IDS16
ประเภทของ IDS: Network-Based IDS [2]
สวนใหญ IDS ประเภทนจะมเนตเวรคการด 2 ตว ท าหนาท
ตวแรกใชเชอมตอเขากบเครอขายทตองเฝาระวง โดยการดนจะไมมหมายเลขไอพ เพอปองกนเครองอนมองเหน
ตวทสองจะเชอมตอเขากบอกเครอขายหนง เพอใชแจงเตอนไปยงเซรฟเวอร
สาเหตทตองท าเชนนกเพอการปองกน IDS ถกโจมตเสยเอง
17
ประเภทของ IDS: Network-Based IDS [3]
ขอด
NIDS จะถกซอนในเครอขาย ท าใหผบกรกไมรวาก าลงถกเฝามอง
NIDS หนงเครองสามารถใชเฝาระวงการบกรกไดหลายระดบและหลายโฮสต
สามารถตรวจจบทกๆแพคเกตทวงไปยงระบบทเฝาระวงอย
18
ประเภทของ IDS: Network-Based IDS [4]
ขอเสย
จะแจงเตอนกตอเมอตรวจพบแพคเกตทตรงกบฐานขอมลทก าหนดไวกอนหนาเทานน
ไมสามารถตรวจจบแพคเกตไดทงหมด เมอมการใชเครอขายหนาแนน
ไมสามารถระบไดวาการบกรกนนส าเรจหรอไม
ไมสามารถวเคราะหแพคเกตทเขารหสไวได
19
ประเภทของ IDS: กำรเลอกใช HIDS และ NIDS
NIDS สามารถใชเฝาระวงไดครอบคลมเครอขายมากกวา จงเปนทางเลอกทประหยดกวา
HIDS เหมาะส าหรบการเฝาระวงทอาจเกดจากผใชงานในเครอขายเอง
ดงนนการเลอก IDS ใหเหมาะสมจงขนอยกบภยทคกคามเครอขายขององคกร
20
กำรวเครำะหและกำรตรวจจบกำรบกรก
IDS จะใช 2 วธหลกในการวเคราะหเพอตรวจจบการพยายามบกรก คอ
การตรวจจบการใชงานในทางทผด (Misuse Detection)
การตรวจจบเหตการณผดปกต (Anomaly Detection)
21
กำรวเครำะหและกำรตรวจจบกำรบกรก: Misuse Detection
คอการวเคราะหเหตการณทเกดขนในระบบ เพอคนหาเหตการณทก าหนดไววาเปนการโจมต
ขอมลทเปนเหตการณทเปนการโจมต เรยกวา “Signature”
การตรวจจบการบกรกดวยวธนจงเรยกวา “Signature-based Detection”
22
กำรวเครำะหและกำรตรวจจบกำรบกรก: Anomaly Detection
แนวคดการตรวจจบแบบนตงอยบนสมมตฐานทวา “การโจมตคอการกระท าทถอวาเปนการท างานผดปกต”
เทคนคการตรวจจบในเชงพาณชย คอThreshold Detection คอการนบจ านวนครงของบาง
เหตการณเพอเปรยบเทยบกบจ านวนครงทอยในเกณฑปกต
Statistical Measure การวดคาความกระจายของคณสมบตของโพรไฟล โดยเทยบกบคาคงทหรอคาทวดไดในอดต
ขอดของวธการวเคราะหแบบนคอสามารถตรวจจบการบกรกโดยใชเทคนคใหมๆได
23
กำรแจงเตอนภยของ IDS
หลายองคกรตดตง IDS เพอเปนเครองมอเสรมประสทธภาพใหกบระบบการรกษาความปลอดภย
เทคนคการแจงเตอนของ IDS แตละผลตภณฑ จะมพนฐานคลายๆกน หากผใชเขาใจหลกการรายงานพนฐาน จะสามารถเรยนรการใช IDS ไดอยางรวดเรว
24
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS
Scanning Attack (กำรโจมตโดยกำรสแกนระบบ)
Denial of Service Attack (กำรโจมตแบบปฏเสธกำรใหบรกำร)
Penetration Attack (กำรโจมตแบบเจำะเขำระบบ)
Remote vs Local Attack (กำรโจมตจำกภำยนอกและภำยใน)
25
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [2]
Scanning Attack หรอการสแกนระบบ หมายถงการทดสอบวาระบบวาใชงานอะไรไดบางกอนทจะลงมอโจมตจรงๆ
ท าไดโดยการสงแพคเกตตางๆไปยงระบบ และดขอมลทไดจากการตอบกลบ
ในการแจงเตอน IDS จะตองแยกแยะใหไดวาการสแกนนนเปนการสแกนเพอประสงคราย หรอเปนการสแกนปกต เชน Search Engine Scan เปนตน
26
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [3]
Denial of Service Attack หรอการโจมตแบบปฏเสธการใหบรการ เปนความพยายามทจะท าใหระบบเปาหมายท างานชาลงหรอใหบรการไมไดเลย
ม 2 ประเภท คอกำรโจมตชองโหว (Flaw Exploitation) เปนการโจมตชองโหว
ของระบบเพอใหเกกดขอผดพลาด หรอท าใหทรพยากรถกใชงานจนหมด
กำรฟลดดง (Flooding) เปนการสงขอมลไปยงระบบจนเกนกวาทระบบจะรบไหว
27
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [4]
Penetration Attack เปนการเขามาในระบบโดยทไมไดรบอนญาต และเปลยนแปลงสทธ หรอขอมลทอยในระบบ
ผบกรกจะอาศยการเจาะชองโหวของซอฟตแวรเพอเขามาท าลายระบบ
28
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [5]
Remote vs Local Attack เปนแหลงทมาของการโจมตแบบ DoS และการเจาะระบบ
กำรโจมตจำกภำยใน จะเปนการเปลยนสทธในการเขาใชระบบใหมากขน
กำรโจมตจำกภำยนอก จะเรมตนโจมตจากเครองรโมทโดยชองทางทระบบเปดไวให หรอเปนชองโหวของระบบเอง
รปแบบการโจมตทเกดขนบอยคอผบกรกภายนอกจะเจาะระบบเพอใหสามารถเขาใชระบบได แลวเปลยนสทธของตนเองใหเปนผใชระบบ
29