บทที่ 7 : ids/ips part2...ids...
TRANSCRIPT
![Page 2: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/2.jpg)
Outline
ชองโหวของระบบคอมพวเตอร
การรายงานแจงเตอนภย
การออกแบบและตดตง IDS
ผลตภณฑ IDS/IPS
2
![Page 3: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/3.jpg)
ชองโหวของระบบคอมพวเตอร
มาตรฐานส าหรบการเรยกชอชองโหวและการโจมตทนยมมากทสดคอ CVE (Common Vulnerabilities and Exposure) สรางโดยบรษท MITRE
เปนการรวบรวมขอมลจากผเชยวชาญดานการรกษาความปลอดภยทวโลก
สามารถดขอมลไดจากเวบไซต https://cve.mitre.org
3
![Page 5: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/5.jpg)
ชองโหวของระบบคอมพวเตอร [2]
สวนใหญ IDS จะรายงานโดยบอกรายละเอยดของการโจมตนนๆ รวมไปถงชองโหวทการโจมตนนใชประโยชน ซงเปนสงส าคญทจะท าใหผดแลระบบสามารถวเคราะหและปดชองโหวนนๆได
5
![Page 6: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/6.jpg)
ชองโหวของระบบคอมพวเตอร [3]
ชองโหวทมกพบเปนประจ าไดแก
Input Validation Error Buffer Overflow
Boundary Condition Error
Access Validation Errors
Exceptional Condition Handling Error
Environmental Error
Configuration Error
Race Condition
6
![Page 7: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/7.jpg)
การรายงานแจงเตอนภย
สงทผดแลระบบจะตองคอนฟกใหกบ IDS คอ
1) ซกเนเจอรของการบกรก
2) เหตการณทผดแลระบบใหความส าคญหรอคาดวาจะเปนการน าไปสการบกรกในภายหนา
เหตการณท IDS จะรายงานใหทราบม 3 ประเภท คอ
การส ารวจเครอขาย
การโจมต
เหตการณนาสงสยหรอผดปกต
7
![Page 8: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/8.jpg)
การรายงานแจงเตอนภย: การส ารวจเครอขาย
เปนการส ารวจเครอขายเพอพยายามรวบรวมขอมลกอนทโจมตจรงๆ วธการเชน
IP Scans
Port Scans
Trojan Scans
Vulnerability Scans
File Snooping
8
![Page 9: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/9.jpg)
การรายงานแจงเตอนภย: การโจมต
การโจมตเครอขายจะมการแบงล าดบความส าคญเอาไวตามความรนแรง
หาก IDS รายงานการโจมตทมระดบความรนแรงสง ผดแลระบบจะตองตอบสนองทนท เพอปองกนการสญเสยทมากกวาน
ปกตแลวผดแลระบบจะตองท าการวเคราะหเพมเตมวาเปนการโจมตจรงหรอการสแกน
9
![Page 10: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/10.jpg)
การรายงานแจงเตอนภย: เหตการณทนาสงสย
เปนเหตการณทนอกเหนอจากทกลาวมาขางตน
ซง IDS ไมมขอมลเพยงพอทจะบอกไดวาเปนเหตการณอะไร แตจะแจงเตอนใหผดแลระบบทราบเพอสบหาสาเหตตอไป
เชน ไดรบแพคเกตทมสวนหวผดไปจากทก าหนดในมาตรฐาน ซงอาจเปนการโจมตแบบใหม หรอเนตเวรคการดเครองสงอาจจะเสยกได
10
![Page 11: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/11.jpg)
การออกแบบและตดตง IDS
กอนทจะตดตงและใชงาน IDS ควรมการส ารวจความตองการ ศกษาวธในการตรวจจบการบกรก แลวคอยเลอกโซลชนทเหมาะสมกบโครงสรางและนโยบายการรกษาความปลอดภย
องคกรควรเลอกใชทงโฮสตเบสและเนตเวรคเบสไอดเอสควบคกน เพอการท างานรวมกนอยางมประสทธภาพ
ตดตงเนตเวรคเบสกอน จากนนปองกนเซรฟเวอรทส าคญดวยโฮสตเบส
ควรใชเครองมอวเคราะหชองโหวเพอทดสอบการท างานของ IDS
ควรมการใช Honeypot รวมดวย
11
![Page 12: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/12.jpg)
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย
การตดตง IDS ลงบนเครอขายทใช Hub เปนเรองทงาย เพราะฮบจะแจกจายแพคเกตแบบ Broadcast อยแลว ซงสามารถปรบเนตเวรคการดของ IDS ใหรบทกๆแพคเกตไดเลย
ถาเปนเครอขายทใชสวตชการตดตงจะมความยงยากมากขน เนองจากสวตชจะสงแพคเกตไปยงพอรตทปลายทางเชอมตออยเทานน จงท าให IDS ไมสามารถจบทกๆ แพคเกตทวงในเครอขายได
12
![Page 13: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/13.jpg)
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย [2]
เทคนคการเชอมตอ IDS เขากบเครอขายทใชสวตช มอย 3 วธ คอ
การท า Port Mirroring
การใชฮบ
การใชแทพ (Tap)
13
![Page 14: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/14.jpg)
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย : Port Mirroring
จะใชสวตชทมคณสมบตการท า Port Mirroring ได บางครงเรยกวา Spanning Port
สวตชจะสงตอทกๆแพคเกตทรบจากพอรตหนงไปยงอกพอรตหนง
การใชงาน เชน การท า Port Mirroring จากพอรตทเชอมกบเราเตอรหรอไฟรวอลล
14
![Page 15: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/15.jpg)
การเชอมตอ IDS แบบ Port Mirroring15
![Page 16: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/16.jpg)
ขอด-ขอเสยของการเชอมตอ IDS แบบ Port Mirroring
ขอด ขอเสย
งายตอการตดตง เพราะไมตองเปลยนโครงสรางใดๆบนเครอขาย
สามารถท าไดแบบพอรตตอพอรตเทานน
ไมมผลกระทบตอการคอนฟกไฟรวอลล ประสทธภาพของสวตชจะลดลง
สวตชจะสงตอแพคเกตทสมบรณเทานน ท าใหไมสามารถตรวจจบบางแพคเกตทส าคญในการวเคราะหได
16
![Page 17: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/17.jpg)
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย : การใชฮบ
ใชงานโดยการวางฮบระหวางสวตชและเราเตอร แลวน าIDS ไปเชอมตอเขากบพอรตหนงของฮบ
ขอมลยงคงไหลระหวางเราเตอรและสวตชได และ IDS ยงสามารถตรวจจบทกๆแพคเกตทวงผานเราเตอรและฮบไดดวย
17
![Page 18: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/18.jpg)
ขอด-ขอเสยของการเชอมตอ IDS แบบใชฮบ18
ขอด ขอเสย
งายตอการคอนฟก ไมสามารถเชอมตอไดถาลงกระหวางเราเตอรกบสวตชเปนแบบ Full Duplex แตฮบจะเปนแบบ Half-Duplex
ไมมผลกระทบตอการคอนฟกไฟรวอลล ถาบรหาร IDS ผานฮบตวเดยวกน จะท าใหเพมโอกาสการชนกนของขอมล
มราคาถก ฮบเกดการช ารดไดงาย
เปนวธทไมเปนทนยม เพราะเกดปญหามากกวาวธอนๆ และท าใหประสทธภาพของเครอขายลดลง
![Page 19: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/19.jpg)
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย : การใชแทพ
เปนวธการทใชแกปญหาการเชอมตอโดยใชฮบหรอ Port Mirroring
อปกรณ Tap จะท าหนาทคลายๆฮบ แตแทพสามารถทนตอขอผดพลาดได (Fault Tolerance)
การเชอมตอจะเปนแบบถาวร (Hardwired) ระหวางสองพอรตหลก
19
![Page 20: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/20.jpg)
การเชอมตอ IDS ดวยแทพแบบ 4 พอรต20
![Page 21: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/21.jpg)
ขอด-ขอเสยของการเชอมตอ IDS แบบใชแทพ21
ขอด ขอเสยทนตอขอผดพลาด หากไฟฟาของแทพดบ ลงกระหวางสองพอรตหลกยงคงใชงานไดอย
แทพมราคาแพง
ไมมผลกระทบตอการไหลของทราฟก การสนสดเซสชนอาจตองมการคอนฟกเพม
ไมท าใหโครงสรางของเครอขายเปลยนไป IDS ตองท างานในโหมดหายตว (Stealth Mode) เทานน
ไมท าใหประสทธภาพของเครอขายลดลง
IDS สามารถมอนเตอรแพคเกตทผดปกตได
![Page 22: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/22.jpg)
การออกแบบและตดตง IDS: การตดตง Network-Based IDS
ค าถามแรกในการตดตงเนตเวรคเบสไอดเอสคอจะตดตงตรงจดไหนของเครอขาย?
หนาไฟรวอลล หรอหลงไฟรวอลล จะดกวากน?
22
![Page 23: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/23.jpg)
จะตดตง Network-Based IDS จดไหนด?23
123
![Page 24: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/24.jpg)
การออกแบบและตดตง IDS: การตดตง Network-Based IDS [2]
ขอดของการตดตงหลงไฟรวอลลสามารถตรวจจบการบกรกทสามารถเจาะผานไฟรวอลลมาได
ใชตรวจสอบการคอนฟกและประสทธภาพของไฟรวอลลได
สามารถตรวจจบการโจมตเซรฟเวอรทอยใน DMZ ได
อาจตรวจเจอแพคเกตทจะสงไปภายนอกได
ขอดของการตดตงหนาไฟรวอลลเกบสถตของจ านวนครงของการโจมตทมาจากภายนอกได
เกบสถตของประเภทการโจมตทมาจากภายนอกได
24
![Page 25: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/25.jpg)
การออกแบบและตดตง IDS: การตดตง Network-Based IDS [3]
ขอดของการตดตงบนแบคโบนหลกของเครอขาย
มอนเตอรทราฟกหลกทไหลเวยนอยในเครอขาย เพอวเคราะหทมาหรอเปาหมายหลกในการโจมตได
ตรวจจบกจกรรมทไมไดรบอนญาตของผใชทวไปได
ขอดของการตดตงบนซบเนตทมความเสยงสง
ตรวจจบการโจมตเปาหมายเปนระบบทส าคญ
ลดจ านวนไอดเอสทตองใช และมอนเตอรเฉพาะจดส าคญเทานน เพอความคมคาในการใชงาน IDS
25
![Page 26: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/26.jpg)
การออกแบบและตดตง IDS: การตดตง Host-Based IDS
ควรตดตงโฮสตเบสไอดเอสเฉพาะกบเซรฟเวอรทส าคญๆ จะท าใหลดคาใชจายลง และท าใหผดแลระบบจดจอกบรายงานการแจงเตอนทมาจากเซรฟเวอรส าคญๆเทานน
หากจะตดตงกบโฮสตสวนใหญ ควรเลอกใชงานระบบ IDS ทสามารถบรหารจดการจากสวนกลางได
ประสทธภาพของโฮสตเบสไอดเอสจะขนอยกบความช านาญของผดแลระบบเปนหลก เพราะฉะนนผดแลระบบตองใชเวลาพอสมควรในการเรยนร
26
![Page 27: บทที่ 7 : IDS/IPS Part2...ids สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้ การออกแบบและติดตั้ง](https://reader034.vdocuments.net/reader034/viewer/2022042910/5f414c741e604057ad098dd6/html5/thumbnails/27.jpg)
ผลตภณฑ IDS/IPS
IDS ทนยมใชงานอยางแพรหลายคอโปรแกรมทชอวา Snort ซงเปน IDS/IPS แบบ Open Source สามารถใชไดทงบน Windows และ Unix มโหมดการใชงาน 3 โหมด คอ
Sniffer Mode
Packet Logger Mode
Network IDS Mode
Inline Mode
27