intrusion detection system case study ... - msit.mut.ac.th...
Post on 12-Aug-2020
5 Views
Preview:
TRANSCRIPT
ระบบตรวจจบการบกรกเครอขาย กรณศกษา บรษท เวนดา ซอฟแวร ดเวลอปเมนท จ ากด
Intrusion Detection System Case Study: Venda Software Development ltd.
จตชย ทองกระจาย
สารนพนธนเปนสวนหนงของการศกษา
หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความมนคงทางระบบสารสนเทศ คณะวทยาการและเทคโนโลยสารสนเทศ
มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2557
I
หวขอ ระบบตรวจจบการบกรกเครอขาย กรณศกษา บรษท เวนดาซอฟแวร ดเวลอปเมนท จ ากด ชอนกศกษา นายจตชย ทองกระจาย รหสนกศกษา 5417810006 หลกสตร วทยาศาสตรมหาบณฑต สาขาความมนคงทางระบบสารสนเทศ ปการศกษา 2557 อาจารยทปรกษา ผศ.ดร.วรพล ลลาเกยรตสกล
บทคดยอ
สารนพนธนน าเสนอระบบตรวจจบการบกรกเครอขายกรณศกษา บรษทเวนดา ซอฟแวร ดเวลอปเมนท จ ากด ซงมวตถประสงคในการตรวจจบภยคกคามทเกดขนตอระบบเครอขายของบรษทระบบยงไดจดท ารายงานการตรวจสอบการบกรกในแตละวน สงผานทางอเมลเพอใหผดแลระบบไดทราบถงการบกรกของภยคกคามและท าการปรบปรงระบบเครอขายของบรษทใหมความมนคงปลอดภยและแมนย ามากยงขนเพอใหบรษทสามารถด าเนนธรกจตอไปไดอยางตอเนอง ผลการด าเนนงานจากการท าสารนพนธน ท าใหทราบวามการบกรกหรอโจมตแบบไหน และเวลาไหนบาง อกทงยงสามารถระบตนทางทท าการบกรกและปลายทางหรอเปาหมายของตนทางในแตละอนดวย ท าใหสามารถหาวธปองกนการบกรกหรอโจมตทถกตองและแมนย าตอไปในอนาคต
II
กตตกรรมประกาศ
สารนพนธฉบบนสามารถส าเรจไดตามความมงหมาย ซงไดรบความอนเคราะหจากอาจารยทปรกษาสารนพนธผศ.ดร.วรพล ลลาเกยรตสกล ทไดเสนอแนะ แนวทางในการศกษารวบรวมแกไขและตรวจสอบขอบกพรองในระหวางการด าเนนการ ตลอดจนอาจารยสาขาความมนคงทางระบบสารสนเทศทกๆทานทรวมใหค าแนะน าและถายทอดวชาความรจนท าใหการท าสารนพนธฉบบนส าเรจลลวงตามเปาหมาย
สดทายนขาพเจาขอกราบขอบคณบดา มารดา ครอบครวของขาพเจา ทใหสนบสนน เปนก าลงใจ และชวยเหลอในขณะทขาพเจาก าลงศกษา และด าเนนการท าสารนพนธนพนธฉบบน รวมถงขอขอบคณเพอนๆและบคคลทมไดกลาวถง ทคอยชวยเหลอและเปนก าลงใจเสมอมา
จตชย ทองกระจาย
III
สารบญ หนา
บทคดยอภาษาไทย................................................................…………….......................... I กตตกรรมประกาศ……………………………………………………………………………….. II สารบญ…………………………………………………………………………………………… III สารบญรป………………………………………………………………………………………... VI บทท 1 บทน า.................................................................................................................... 1
1.1ปญหาและแรงจงใจ........................................................................................... 1 1.2กรณศกษา........................................................................................................ 1
1.3แนวทางการแกปญหา................................................................................................... 1 1.4วตถประสงคของสารนพนธ............................................................................................ 2 1.5 ประโยชนทคาดวาจะไดรบ............................................................................... 2 1.6 ขอบเขตของสารนพนธ..................................................................................... 2 1.7โครงสรางของสารนพนธ................................................................................................ 3 บทท 2พนฐานและทฤษฎทเกยวของ................................................................................... 4 2.1ภยคกคามบนระบบเครอขาย......................................................................................... 4 2.1.1 การสอดสอง..................................................................................... 4 2.1.2 การสแกนดวยค าสงพงค................................................................... 4 2.1.3 แพคเกจเรยกหาขอมลเพมเตมของโปรโตคอลไอซเอมพ .................... 4 2.1.4 การสแกนหมายเลขชองทาง............................................................. 5 2.1.5 การปฎเสธการใหบรการ................................................................... 5 2.2ระบบตรวจจบผบกรก.................................................................................................... 6 2.2.1วธการตรวจจบผบกรก................................................................................................ 7 2.2.1.1 ซกเนเจอรเบส.................................................................. 8 2.2.1.2 สเตจเบส.......................................................................... 8 2.2.1.3 วธการตรวจจบความผดปกต............................................. 9 2.2.1.4 รลเบส.............................................................................. 11 2.3 โปรโตคอลไอจเอมพ........................................................................................ 12 2.4 โปรโตคอลพไอเอม.......................................................................................... 13 2.4.1 หลกการท างานพนฐาน..................................................................... 14 บทท 3การด าเนนงาน....................................................................................................... 15 3.1 ภาพรวมของระบบและขนตอนการด าเนนงาน................................................... 15
IV
สารบญ (ตอ) หนา
3.1.1 ภาพรวมของระบบ........................................................................... 15 3.1.2ขนตอนการด าเนนงาน...................................................................... 16 3.2ระบบเครอขายกรณศกษาในปจจบน................................................................. 16 3.2.1 เครอขายเซรฟเวอร.......................................................................... 16 3.2.2 เครอขายเชอมตอภายนอก............................................................... 16 3.2.3 เครอขายผใช………………………………………….......................... 16 3.3การตดตงและการท างานของระบบ……………………………………………….. 18 3.3.1 การตดตงระบบ................................................................................ 18 3.3.2 การท างานของระบบ........................................................................ 18 บทท 4ผลการด าเนนงาน 4.1 กลาวน า.......................................................................................................... 20 4.2 หนาตาของบนทกการตรวจจบ......................................................................... 20 4.2.1 หนาตาบนทกการตรวจบทวไป......................................................... 20 4.2.2 หนาตาบนทกการตรวจจบทอยรปแบบไบนารยนไฟลสอง.................. 21 4.3 หนาจอเวบแอพพลเคชนแสดงผลการตรวจจบการบกรก................................... 23 4.3.1 หนาจอส าหรบเขาสหนาแสดงผลการตรวจจบการบกรก..................... 23 4.3.2 หนาจอแสดงภาพรวมของผลการตรวจจบการบกรก.......................... 24 4.3.3 หนาจอยอยแสดงจ านวนชนดความรนแรงของการบกรกทตรวจจบได 26 4.3.4 หนาจอยอยแสดงจ านวนชนดโปรโตคอลของแพคเกจทตรวจจบได..... 27 4.3.5 หนาจอยอยแสดงจ านวนซกเนเจอรทตรงกบแพคเกจทตรวจจบได..... 28 4.3.6 หนาจอยอยแสดงไอพแอดเดรสตนทางทสงสยวาท าการบกรก........... 29 4.3.7 หนาจอยอยแสดงไอพแอดเดรสปลายทางทสงสยวาเปนเปาหมายในการ บกรกโจมต...................................................................................... 30 4.3.8 หนาจอรายชอแพคเกจทตรวจจบการบกรก....................................... 31 4.4 รายงานการตรวจจบการบกรก......................................................................... 32 4.5 การวเคราะหและการแกปญหาผลการตรวจจบของระบบ................................... 38 4.5.1 บรอดแคสสตอรม............................................................................. 39 4.5.2 สวชทเลเยอร 3 กบการสอสารแบบมลคแคส...................................... 42 4.5.3 จ านวนการรายงานความผดพลาดในการสอสารสงผดปกต................. 43 4.5.4 จ านวนการรางงานแพคเกจทไมสมบรณสงผดปกต............................ 45 บทท 5 สรปผลการด าเนนงาน............................................................................................ 46
V
สารบญ (ตอ) หนา
5.1 สรปผลการด าเนนงาน...................................................................................... 46 5.2 ปญหาและอปสรรคจากการพฒนาสารนพนธ.................................................... 46 5.3 ขอเสนอแนะ.................................................................................................... 47 เอกสารอางอง.................................................................................................................... 48 ภาคผนวก ก การตดตงโปรแกรมสนอรท......................................................................... 49 ภาคผนวก ข การตดตงสครปพลพอรค............................................................................ 60 ภาคผนวก ค การตดตงบารนยาค 2................................................................................ 63 ภาคผนวก ง การตดตงสนอบาย..................................................................................... 66
VI
สารบญรป หนา
รปท 2.1การโจมตแบบปฎเสธการใหบรการ (Denial of Service)........................................ 6 รปท 2.2การท างานของวธตรวจจบแบบซกเนเจอรเบส....................................................... 8 รปท 2.3การท างานของการตรวจจบความผดปกต.............................................................. 10 รปท 2.4ระบบตรวจจบแบบรลเบสและระบบผเชยวชาญ..................................................... 11 รปท 3.1ภาพรวมของระบบ............................................................................................... 15 รปท 3.2โครงสรางของระบบกบระบบเครอขายของกรณศกษา........................................... 17 รปท 3.3การท างานของระบบ............................................................................................ 18 รปท 4.1หนาตาบนทกการตรวจบทวไป............................................................................. 19 รปท 4.2บนทกการตรวจจบทอยรปแบบไบนารยนไฟลสอง................................................. 20 รปท 4.3หนาจอส าหรบเขาสหนาแสดงผลการตรวจจบการบกรก......................................... 21 รปท 4.4หนาจอแสดงภาพรวมของผลการตรวจจบการบกรก.............................................. 22 รปท 4.5หนาจอยอยแสดงจ านวนชนดความรนแรง............................................................. 23 รปท 4.6 หนาจอยอยแสดงจ านวนชนดโปรโตคอลของแพคเกจ............................................ 24 รปท 4.7 หนาจอยอยแสดงจ านวนซกเนเจอรทตรงกบแพคเกจทตรวจจบ............................. 25 รปท 4.8 หนาจอยอยแสดงไอพแอดเดรสตนทางทสงสยวาท าการบกรก............................... 26 รปท 4.9 หนาจอยอยแสดงไอพแอดเดรสปลายทางทสงสยวาท าการบกรก........................... 27 รปท 4.10 หนาจอรายชอแพคเกจทตรวจจบการบกรก......................................................... 28 รปท 4.11 ชอบรษท วนเวลาทระบบตรวจจบท าการสงรายงานมาใหผดแลระบบ และ วนเวลาท ระบบตรวจจบการบกรก.................................................................................... 29 รปท 4.12 จ านวนเหตการณการบกรกจากตวรบร................................................................ 30 รปท 4.13 จ านวนเหตการณการบกรกโดยแยกตามความรนแรง.......................................... 31 รปท 4.14 จ านวนเหตการณการบกรกโดยแยกตามโปรโตคอล............................................. 32 รปท 4.15 จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบซกเนเจอร 15 อบดบสงสด........ 33 รปท 4.16 จ านวนตวเลขเปอรเซนตของเหตการณทตรงกบไอพแอดเดรสตนทาง 10อบดบสงสด................................................................................................. 34 รปท 4.17 จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบไอพแอดเดรสปลายทาง 10 อบดบสงสด................................................................................................. 35
บทท 1
บทน ำ
1.1 ปญหำและแรงจงใจ
ในปจจบนระบบเครอขายไดมการน ามาใชในบรษทเพอตดตอสอสารกบลกคา,ส านกงานใหญในตางประเทศหรอบรษทสาขาในตางประเทศ ไดอยางรวดเรว และสะดวกสบายมากยงขน ในขณะเดยวกน สงทมาพรอมกบความรวดเรวและความสะดวกสบายนนกคอ ปญหาเรองภยคกคามตอความมนคงปลอดภยขงอปกรณ, ระบบตางๆบนเครอขายภายในบรษท รวมถงส านกงานใหญ บรษทสาขา และบรษทลกคา ซงในแตบรษทจ าเปนตองมการตรวจจบการบกรกในบรษท เพอท าใหทราบถงภยคกคามทเกดขนในบรษทไดอยางทนทวงทและสามารถหาทางปองกนไดอยางถกตองและแมนย า เพอปองกนการเกดภยคกคามแตละอนทจะเกดขนอกในอนาคต
ปญหาทพบภายในองคกรกคอ ผดแลลระบบไมสามารถตรวจจบการบกรกทเกดขนในระบบเครอขายไดอยางถกตอง แมนย า และทวถง เนองจากขาดความรของภยคกคามทเกดขนในทกๆวน รวมถงขาดอปกรณจ าเปนทใชเปนเครองมอในการตรวจจบการบกรก เนองจากอปกรณทขายในทองตลาดนนมราคาแพงเกนกวาทบรษทนนจะสามารถซอหามาใชได ซงจดนอาจท าใหเกดความสญเสยของขอมล และทรพยสนของบรษท รวมถงการหยดชะงกของการด าเนนงานของบรษทได
1.2 กรณศกษำ
บรษทเวนดา ซอฟแวร ดเวลอปเมนท จ ากด ตงอยทตกแคปปตอลทาวเวอร ออลซซนเพส ถนนวทย แขวงลมพน เขตปทมวน จงหวดกรงเทพมหานคร บรษทด าเนนธรกจดานการใหบรการแมขายและพฒนาเวบไซตพาณชยอเลกทรอนกส(E-Commerce) ใหแกรานคา หางรานในทวปยโรปรวมถงประเทศสหรฐอเมรกา บรษทมส านกงานใหญอยกรงลอนดอน ประเทศองกฤษ รวมถงมบรษทสาขาอยทประเทศอเมรกา บรษทจงมความจ าเปนทตองใชระบบเครอขายภายในบรษทรวมถงอนเตอรเนตเพอใชตดตอสอสารรวมถงท างานกบส านกงานใหญรวมถงบรษทสาขา และอาจรวมไปถงลกคาของบรษท
1.3 แนวทำงกำรแกปญหำ
จากปญหาและแรงจงใจทกลาวมากอนหนาน เปนสงทตองท าการแกไขใหถกตองและรวดเรวทสดกอนทภยคกคามจะท าใหการด าเนนงานของบรษทรวมถงส านกงานใหญสญเสยชอเสยง รวมไปถงรายได ทางผจดท าจงมความคดทจะจดท าระบบตรวจจบการบกรกเครอขายของภยคกคาม โดยระบบตรวจจบการบกรกจะมฟงกชนตางๆดงน
2
1. ฟงกชนการตรวจจบการบกรก– ทจะตรวจจบแพคเกจขอมลทว งภายในระบบเครอขาย และน ามาวเคราะหกบขอมลรปแบบของภยคกคามทมในระบบตรวจจบวาตรงกนหรอไม ถาตรงกนกจะท าการบนทกการบกรกไว
2. ฟงกชนแสดงผลการตรวจสอบและการท างาน – ทจะท าการแสดงผลลพธของบนทกการตรวจจบการบกรกในรปแบบของกราฟและแผนภาพบนเวบไซต รวมถงจดท ารายงานการตรวจจบการบกรกในแตละวนสงใหผดแลระบบผานอเมล
1.4 วตถประสงค
1. เพอตรวจจบการบกรกจากภยคกคามไดอยางทนทวงท 2. เพอศกษากลไกการท างานของระบบตรวจจบการบกรก 3. เพอศกษาภยคกคามทเกดขนในระบบเครอขายของบรษท 4. เพอพฒนาเครอขายใหมความมนคงปลอดภย และความนาเชอถอมากยงขน
1.5 ประโยชนทคำดวำจะไดรบ 1. ผดแลไดทราบถงภยคกคามทเกดขนบนระบบเครอขายของบรษทไดอยางทนทวงท 2. ผดแลไดขอมลเพอน าไปปรบปรงอปกรณและระบบตางๆบนระบบเครอขายของ
บรษท 3. ระบบเครอขายของบรษทมความมนคงปลอดภยมากขน รวมถงสามารถด าเนน
ธรกจไดอยางตอเนอง 1.6 ขอบเขตของสำรนพนธ
1. ศกษาภยคกคามทเกดขนในระบบเครอขาย 2. ศกษาโครงสรางและวธการตรวจจบการบกรกจากภยคกคามของระบบตรวจจบการ
บกรก 3. สามารถตรวจจบการบกรกและการโจมตทเกดขนภายในระบบเครอขายของ
กรณศกษาได 4. สามารถน าผลการตรวจจบการบกรกทเกดขนตามเวลาจรงมาแสดงในรปแบบเวบ
แอพพลเคชนได 5. ไดรายงานบนทกการตรวจจบการบกรกหรอการโจมต
3
1.7 โครงสรำงของสำรนพนธ สารนพนธนจะแบงเนอหาออกเปน 5 บท ซงสามารถสรปไดดงน
บทท 1 กลาวถงภาพรวมของสารนพนธ วตถประสงคของการจดทา ปญหาทพบ ขอบเขตของการศกษาของสารนพนธฉบบน
บทท 2 กลาวถงลกษณะของภยคกคามและการโจมต ลกษณะ,ชนดและองคประกอบโดยทวไปของระบบตรวจจบการบกรก
บทท 3 กลาวถงพฒนาระบบ ลกษณะระบบเครอขายในปจจบนของกรณศกษา ขอบเขตและขนตอนการท างานสารนพนธองคประกอบ,โครงสราง,การตดตง และการท างานของระบบทพฒนา
บทท 4 กลาวถงผลการทดลองของระบบตรวจจบผบกรกทงในสวนของผลของการตรวจจบ บนทกลอก หนาจอจอเวบแอพพลเคชน
บทท 5 กลาวถงผลสรปผลการทดลองจากการใชงานจากระบบทออกแบบขน และขอเสนอแนะในการพฒนาระบบใหมความสามารถมากขน
4
บทท 2
พนฐำนและทฤษฎทเกยวของ
2.1 ภยคกคำมบนระบบเครอขำย
2.1.1กำรสอดสองเครอขำย (Network Reconnaissance)
การสอดสองเครอขายเปนวธการทผบกรกหรอแฮคเกอรใชในหาขอมลเกยวกบโครงสรางของเครอขาย ระบบปฎบตการบนแตละเครอง บรการทมในระบบเครอขายนนๆ รวมถงเสนทางในการทจะเขาไปในระบบเครอขายอกดวย ขอมลทไดนนผบกรกหรอแฮคเกอรจะใชประกอบในการบกรกหรอโจมจตอไป
การสอดสองเครอขายนนท าไดหลายวธ ยกตวอยางเชนการใชเครองมอทเรยกวา traceroute (ลนกซ) หรอ tracert (วนโดว) ซงเปนเครองมอทใชในการแสดงเสนทางทแพคเกจขอมลขอมลวงจากผานระบบเครอขายจากจดเรมตนไปถงหมายเลขไอพปลายทางไปทละจดทสามารถวงผานไดโดยไมถกบลอคจากไฟลวอรหรอฟงกชนทใชในการควบคมการเขาออกในระบบนนๆ โดยอาศยคาไทมทลฟ (time-to-live) ในแพคเกจซงคานเราทเตอรจะลดคานทกครงทแพคเกจวงผานจนกระทงคานนมคาเปนศนย แลวจงท าการสงขอความทชอวาไทมเอคซด (TIME EXCEEDED)[1]กลบไป
2.1.2 กำรสแกนดวยค ำสงพง (Ping Scanning/Ping Sweeps)
การสแกนดวยวธพงนจะใชในการตรวจสอบวาเครองทจดหมายปลายทางนนเปดอย
หรอไมโดยการสงแพคเกจไอซเอมพ (ICMP) ทเรยกวาไอซเอมพเอคโครเควสท (ICMP Echo
Request) ซงถาเครองทจดหมายปลายทางเปดอย เครองนนจะท าการสงแพคเกจทเรยกวา
(ICMP Echo Reply)[2] กลบมา
2.1.3 แพคเกจเรยกหำขอมลเพมเตมของโปรโตคอลไอซเอมพ (ICMP Query)
วธการนจะเปนการสแกนดวยการสงแพคเกจของโปรโตคอลไอซเอมพทมความพเศษ
มากกวาวธทใชในหวขอ 2.1.2 โดยการวธรการนจะท าใหผบกรกหรอแฮคเกอรสามารถรถงเวลา
เนตมารคทใชบนการดเนตเวรคของเครองหมายปลายทางโดยการสงแพคไอซเอมพชนดทสบ
สาม (TIMESTAMP) และ ชนดทสบเจด (ADDRESS MASK REQUST) ตามล าดบ โดยการสง
5
แพคเกจชนดทสบเจดนนจะท าใหผบกรกทราบถงเลขอบรอดคลาสซงหมายเลขทจะใชในการ
โจมตดวยการโจมตแบบปฏเสธการใหบรการ (Denial of Service) ตอไป[3]
2.1.4 กำรสแกนชองทำงเขำ/ออก (Port Scanning)
วธการนจะเปนการตรวจสอบวาเครองปลายทางนนเปดอยหรอไมรวมถงท าใหผบกรก
หรอแฮกเกอรรมากขนวาเครองนนมบรการทผบกรกตองการจะโจมตหรอขโมยขอมลท
เฉพาะเจาะจงหรอไม อกทงใชเมอไฟลวอรหรอเราทเตอรมการปองกนวธการในหวขอ 2.1.3โดย
วธการนจะใชการสแกนดวยสงแพคเกจขอมลของโปรโตคอลไอซเอมพหรอทซพตามแตบรการ
นนพรอมกบหมายเลขชองทางของแตละบรการ ถาเครองทจดหมายปลายทางสงขอมความตอบ
กลบมากท าใหทราบไดวาเครองนนเปดอย และถาตอบกลบมาดวยขอความทมผานหมายเลข
ชองทางของแตละบรการกจะท าใหทราบดวยวาเครองนนท าหนาทอะไรบาง ซงท าใหสามารถหา
เครองมอในการโจมตชองโหวตามรนของบรการนนๆ รวมถงของระบบปฎการทบรการนน
ท างานไดถกตองและท าใหการโจมตนนประสบความส าเรจ
การสแกนดวยวธจะมอยหลายชนดโดยแยกตามชนดของตวบงช(Flag) ทเปนตว
ก าหนดการท างานของแพคเกจของการสอสารนนๆ เชนการสงแพคเกจดวยคาแฟลค ซง
(SYN) ฟน (FIN) พช (PUSH) หรอวาเออ(URG) เปนตน ซงสาเหตทใชกเพราะบางบรการม
การตอบกลบดวยขอความทไมเหมอนกน[4]
2.1.5 กำรปฎเสธกำรใหบรกำร (Denial of Service)
วธเปนการโจมตทท าใหบรการของเครองไมสามารถใหบรการแกผใชคนอนๆไดอยางม
ประสทธภาพ ท าการขดขางการใชบรการ หรอท าใหไมสามารถใหบรการไดเลย โดยวธน จะ
อาจจะท าการจองทรพยากรเชน แบนดวดท (Bandwidth) ความเรว หรอเนอทไวจนหมด ท าให
ไมมเหลอใหผใชคนอนได หรอบางครงท าใหบรการนนตองปดตวลงและท าการเปดตวใหม
หลงจากทผดแลระบบสามารถกคนทรพยากรของเครองกลบมาไดจนสามารถใหบรการไดเปน
ปกต[5] ดงรปท 2.1
6
รปท 2.1 การโจมตแบบปฎเสธการใหบรการ (Denial of Service)
ทมำ: http://www.physics.udel.edu/~watson/scen103/colloq2000
/denialofservice.html
2.2 ระบบตรวจจบผบกรก (Intrusion Detection System)[6]
ระบบตรวจจบผบกรกนนถกใชในการตรวจจบการใชงาน การเขาถง และการท างานบนคอมพวเตอรและระบบเครอขาย เมอมเหตการณใดทฝาฝนความมนคงปลอดภยทางสารสนเทศรวมไปถงการโจมตทางระบบตรวจจบจะท าการสงสญานแจงเตอนไปใหผดแลระบบทราบโดยการแสดงการเตอนขนบนหนาจอหรอสงอเมลไปหาผดแลระบบ
ในการตรวจจบของระบบนน ระบบจะท าการมองหาบทของขอมลทอาจจะแสดงถงการกระท า เหตการณหรอบนทกการเขาใชของระบบทนาสงสย สงเหลานไมจ าเปนตองเปนการบกรกเสมอไป อาจเปนพฤตกรรมทไมปกตกได
แมวาระบบตรวจจบจะมหลายยหอ หลายชนด แตทกระบบมสวนประกอบ 3 สงทเหมอนกนนนกคอ
1.ตวรบร (Sensor)– ท าหนาทเกบขอมลกจกรรมปรมาณการใชงานในระบบ
7
2.ตววเครำะห (Analyzer)– ท าหนาทวเคราะหขอมลกจกรรมจากตวรบรวามกจกกรรมอะไรทนาสงสยหรอไม ถามกจะสงการแจงเตอนไปทสวนตดตอผใชของผดแลระบบ
3. สวนตอประสำนของผดแลระบบ (Administrator Interface)– ท าหนาทแสดงการแจงเตอนและผลการวเคราะหจากตววเคราะหในระบบในรปแบบทอานแลวเขาใจได
ระบบตรวจจบผบกรกนนสามารถแบงออกไดเปน 2 ชนด
1. ระบบตรวจจบผบกรกบนเครอขำย (Network-based Intrusion Detection System)–ระบบชนดนจะใหตวรบรซงเปนคอมพวเตอรทมซอฟแวรทจ าเปนตอระบบกบการดเนตเวรกทท างานในโหมดการทงานโพรมสควเอส (Promiscuous mode) ซงจะจบขอมลปรมาณการใชงานในระบบเครอขายแลวท าส าเนา 2 ชด โดยชดหนงสงใหตววเคราะหท าการวคราะหหาผบกรก ระบบชนดนจะสามารถตรวจจบปรมาณการใชงานของเครองอนไดทกเครองยกเวนเครองตวเองซงตองใชระบบตรวจจบผบกรกในขอท 2
2. ระบบตรวจจบผบกรกภำยในเครอง (Host-based Intrusion Detection System) - ระบบชนดนจะตดตงอยบนเซรฟเวอรหรอสถานงานเพอดกจกรรมของระบบทผดปกตหรอไมเหมาะสม เชน มการลบไฟลหรอปรบตงคาทส าคญในชวงเวลาทไมปกตหรอผดขนตอน ภายในเครองนนๆ
2.2.1 วธกำรตรวจจบผบกรก
ระบบตรวจจบผบกรกนนไมวาจะเปนชนดทอยบนเครอขายหรอภายในเครอง
สามารถจดประเภทวธการตรวจจบผบกรกไดดงน
8
2.2.1.1 ซกเนเจอรเบส (Signature-based)
รปท 2.2 การท างานของวธตรวจจบแบบซกเนเจอรเบส[7]
จากรปท 2.2 วธนจะท าการเอาขอมลปรมาณการใชงานทไดจากตวรบรมาเปรยบเทยกบฐานขอมลของซกเนเจอรซงเกบรปแบบเฉาพะของการโจมตและการบกรกของแตละอนไว ถาตรงกนกจะท าการสงการแจงเตอน วธน เปนทนยมในทกวนนและมประสทธภาพโดยขนอยกบการปรบปรงซกเนเจอรเปนประจ า แตวธนมจดออนตรงทไมสามารถตรวจกบการบกรกหรอการโจมตใหมๆ ทไมมอยในฐานขอมล
2.2.1.2 สเตจเบส (State-based) กอนทจะทราบถงการท างานของวธตรวจจบชนดน จ าเปนทจะตอง
เขาใจวาอะไรคอสถานะหรอสเตจของระบบหรอแอพพลเคชนจรงๆเสยกอน ทกการเปลยนแปลงทระบบปฎบตการไดเจอเชนผใชท าการเขาใชงาน ผใชเปดแอพพลเคชน แอพพลเคชนตดตอกบแอพพลเคชนอนๆ ผใชปอนขอมลเขาแอพพเคชนและอนๆจะถกพจารณาเปนการเปลยนสถานะ
การเปลยนสถานะโดยเฉพาะจะเกดขนกบการโจมตหรอการบกรกบางชนดอยางชดเจน ถาผบกรหรอแฮคเกอรจะท าใหทพกขอมลของเครองเปาหมายระยะไกล ผบกรกตองท าใหข นตอนการเปลยนสถานะเหลานเกดขนใหได
1. ผใชระยะไกลเชอมตอกบระบบ 2. ผใชระยะไกลท าการสงขอมลทมขนาดเกนกวาทพกขอมลท
แอพพลเคชนจะรบไดไปใหแอพพลเคชน
9
3. ขอมลไดรบการถกท าและถกเขยนทบบนทพกขอมลและอาจจะลนไปยงหนวยความจ าสวนอนๆ
4. โคดอนตรายถกกระท า
ดงนนสถานะหรอสเตจคอสถานะของคาของระบบปฎบตการทอยบนสถานทของหนวยความจ าไมวาจะถาวรหรอชวคราว วธการตรวจจบชนดนจะมกฎหลายอนทจะตกรอบวากระบวนการเปลยนแปลงของสถานะไหนทควรสงสญญานเตอน โดยวธนจะท าการเปรยบเทยบกจกรรมทเกดขนระหวางสถานะเรมตนทเกดกอนการโจมตไปจนถงสถานะทหลงจากถกโจมตเปนสงทระบบกบกฎทมอย ถาตรงกนกท าการสงการแจงเตอนไปหาผดแลระบบ
2.2.1.3 วธกำรตรวจจบควำมผดปกต (Anomaly–Based)
ชอเรยกอกอยางหนงของวธนคอวธตรวจจบทางดานทเกยวกบพฤตกรรม (Behavioral-based System)
รปท 2.3 การท างานของการตรวจจบความผดปกต[8]
10
จากรปท 2.3 วธการนจะไมใชฐานขอมลซกเนเจอรแตจะท างานในโหมดเรยนรมากกวาเพอทจะสรางโพรไฟล (Profile) ของกจกรรมตางๆทปกตบนเครองหรอเครอขาย โพรไฟลนจะถกสรางโดยการเกบตวอยางของกจกกรมเหลานนอยางตอเนอง หลงจากโพรไฟลนถกสรางเสรจ แพคเกจของปรมาณการใชงานและกจกรรมตางๆทเกดขนบนคอมพวเตอรและเครอขายในอนาคตจะถกน ามาเปรยบเทยบกบโพรไฟลน ถาเทยบแลวไมตรงกบโพรไฟล ระบบตรวจจบจะถอวาเปนการโจมตหรอบกรก และจะท าการแจงเตอนไปทผดแลระบบตามแผนภาพ แพคเกจเหลานนทระบบไดตรวจจบมาจะถกก าหนดคะแนนความผดปกตซงแสดงถงระดบความไมปกต ถาคะแนนนนสงเกนกวาขดแบงระดบของพฤตกรรมปกตทก านดไว ระบบกจะท าการจดการแพคเกจนนตามทก าหนดไวกอนหนาทจะตรวจเจอ
ขอดของวธนคอสามารถปองกนการโจมตหรอการบกรกใหมๆทเกดขนกอนฐานขอมลซกเนเจอรจะมการปรบปรงไดอยางทนทวงท แตในทางกลบกนถาเกดการโจมตหรอการบกรกเกดขนตอนทระบบก าลงสรางโพรไฟล กจะท าใหระบบนนไมสามารถตรวจเจอการโจมตรอการบกรกนนได เพราะระบบถอวาเปนพฤตกรรมปกตของระบบไปแลว ซงผดแลระบบจะตองมนใจวาในชวงทระบบตรวจจบท างานในโหมดเรยนรนนไมมการโจมตหรอการบกรกเกดขน
11
2.2.1.4 รลเบส (Rule-based)
รปท 2.4 ระบบตรวจจบแบบรลเบสและระบบผเชยวชาญ[9]
จากรปท 2.4วธการนจะแตกตางจาก 3วธทกลาวมาขางตน ตรงทวธนจะมลกเลนมากกวาขนอยกบความซบซอนของกฎหรอเงอนไขทใช วธการนจะท างานรวมกบระบบผเชยวชาญ (Expert System) ซงท าจากองคความร (Knowledge base) กลไกลอนมาน (Inference Engine) และการเขยนโคดโปรแกรมโดยใชกฏและเงอนไขเปนฐาน (rule-based programming) ฐานขอม,ความรนนจะถกน าเสนออยในรปแบบของกฎและเงอนไข และขอมลทไดจากตวรบรจะถอเปนเชนขอเทจจรง ความรของระบบผเชยวชาญนนจะถกเขยนอยในรปของกฎและเงอนไข (ถาเกดเหตการณนแลวจะกระท าอะไรตอ) กฎและเงอนไขเหลานจะถกน ามาใชกบขอเทจจรงเหลาน ถาขอเทจจรงนนตรงกบกฎและเงอนไขแลว การแจงเตอนกจะถกสงไปใหผดแลระบบทนท
ในการท างานของวธการตรวจจบนจะมกลไลอนมานทจะชวยโดยการน าปญญาประดษฐ (artificial intelligence) มาชวยคดหาเหตผล เรยนรและอนมานขอมลใหมจากขอเทจจรงทได โดยใชกฎหรอเงอนไขการอนมานเพอใหไดวธการแกไขใหมๆจากขอเทจจรงทไดรบมา
12
2.3 โปรโตคอลไอจเอมพ (IGMP)[10]
เปนโปรโตคอลทใชโดยอปกรณคอมพวเตอรเชน เซรฟเวอร คอมพวเตอรตงโตะ หรอ คอมพวเตอรพกพาในการเขารวมกลมทขนสงขอมลแบบแบบเฉพาะกลมหรอทเรยกวามลตแคส (Multicast) กบเราทเตอรใกลๆ เครอขายคอมพวเตอรบรเวณเฉพาะทหรอแลน (LAN)
โดยในการเขารวมกลมของอปกรณคอมพวเตอรนน ตวอปกรณจะตองท าการสงขอความชนดหนงทเรยกวาขอความรายงานสมาชกภาพ (Membership report message)สงไปยงเราทเตอรทเปดฟงกชนการท างานมลตแคสไวซงจะท าการฟงขอความนจากอปกรณคอมพวเตอรทมนเชอมตอดวย และมนกจะท าการสงขอค าถามหรอควร (query) เพอตรวจสอบวากลมหรออปกรณคอมพวเตอรเครองนนๆยงตองการรบแพคเกจขอมลทสงแบบมลตคลาสของกลมอยอกหรอไหม ถาไมมการตอบรบจากอปกรณนนๆโดยการสงขอความรายงายสมาชกภาพกลบมาหาเราทเตอร เราทเตอรกจะท าการหยดสงขอมลไปในเสนทางทอปกรณตวนนอยทนท
โปรโตคอลนมการพฒนามาแลว 3 รน ไดแก
1. เวอรชนท 1 – จะมการสงขอวความอย 2 ชนด คอ ขอความรายงานสมาชกภาพ กบ ขอความขอค าถามการเปนสมาชกภาพ
2. เวอรชนท 2- ไดท าการเพมขอความชนดใหมทเรยกวาขอความการออกจากกลมทใหอปกรณคอมพวเตอรสามารถออกจากกลมได ท าใหหยดปรมาณการใชงานทไมจ าเปนจากการทเราทเตอรท าการสงขอความขอค าถามไปในระบบเครอขายในเสนทางตางๆไดเรวขน
3. เวอรชนท 3 – ไดท าการเพมการท างานทท าใหอปกรณคอมพวเตอรทรบขอมลสามารถเลอกรบขอมลปรมาณการใชงานและอปกรณคอมพวเตอรทสงขอมลตวไหนกได
13
2.4 โปรโตคอลพไอเอม (PIM)
เปนหนงในโปรโตคอลทใชในการขนสงขอมลบนระบบเครอขายแบบเฉพาะกลมซงท าการสงแพคเกจขอมลจากโฮสทเครองหนงไปกลมของอปกรณคอมพวเตอร แทนทจะขนสงขอมลไปแคอปกรณตวเดยวหรออปกรณทกตวทอยบนระบบเครอขาย (Broadcast)
โปรโตคอลพไอเอมรปแบบการท างานอย3 แบบคอ
1. Dense–รปแบบนจะท าการสงแพคเกจของโปรโตคอลไปทกทางบนระบบเครอขายหรอทเรยกวาฟลด (Flood) แลวท าการยกเลกเสนทางบางเสนทไมมอปกรณท างานอยออกหรอทเรยกวาการพรน (Prune)โดยเราทเตอรหรอสวชตเลเยอร 3 จะน าขอมลทไดจากการฟลดและการพรนมาใชในการสรางตารางสงตอขอมลแบบมลตแคส (Multicast Forwarding Table)
2. Sparse – รปแบบนจะไมเหมอนกบรปแบบ Dense ทจะท าการฟลดไปทวระบบเครอขาย แตจะรอใหเราทเตอรหรอสวชตเลเยอร 3 ทมกลมอปกรณผรบท างานอย สงค ารองเขารวมกลมในการขนสงขอมลแบบมลตแสกบเราทเตอรหรอสวชตเลเยอร 3 ทท าหนาทเปนจดนดพบหรอทเรยกวาจดรานดว (Rendezvous Point) เราเตอรหรอสวทชตวนจะท าการสรางแผนทเสนทางระหวางตวรบและตวสงขอมล และท าการสงค ารองเขารวมกลมรวมถงขอมลวดระยะเสนทางจากเราทเตอรตวรบขอมลกบจดนดพบทดทสดสงไปหาเราทเตอรทมอปกรณคอมพวเตอรทจะการสงขอมลแบบกลม[10]
3. Sparse-Denseรปแบบการท างานนจะเปนรปแบบทบรษทซลโกเปนผครอบครองจงท าใหสามารถใชไดกบเราทเตอรหรอสวทชเลเยอร 3 ของซลโกเทานนโดยรปแบบนจะน าเอารปแบบการท างานของ 2 รปแบบขางตนมาใชรวมกน โดยรปแบบนจะใชเมอมกลมของอปกรณคอมทจะขนสงขอมลแบบมลตแคสทท าการเซตเปนรปแบบ Sparseแตไมขนตรงกบจดนดพบจดไหนเลยในระบบเครอขายโดยกลมนจะท าการฟลดแพคเกจในรปแบบ Dense ไปทวระบบเครอขายเพอหาจดนดพบในระบบเครอขายเมอพบจดนดพบกลมอปกรณนกจะเปลยนรปแบบการท างานเปนแบบ Sparse เพอท าการสงค ารองในการเขารวมกลมไปยงจดนดพบจดนน[11]
14
2.4.1 หลกกำรท ำงำนพนฐำนของโปรโตคอลพไอเอม เมออปกรณคอมพวเตอรเชน เครองคอมพวเตอรเดสกทอปตองการรบขอมล
จากอปกรณคอมพวเตอรตวอนทเปนตนทางในการสงขอมลทอยในกลมการสงขอมลแบบมลตแคส (Multicast) เครองคอมพวเตอรเดสกทอปตวนนจะท าการสงขอความรายงานสมาชกภาพของโปรโตคอลไอจเอมพไปยงเราทเตอรทอปกรณคอมพวเตอรทเปนตนทางของขอมลนนเชอมตออย เราทเตอรตวนนกจะใชโปรโตคอลพไอเอมท าการสรางทรของกลมนนโดยเพมเดสกทอปตวนนเขามาอยในกลมดวยในตอนนเดสกทอปเครองนนกจะสามารถรบขอมลจากอปกรณคอมพวเตอรตนทางของขอมลไดโดยจะไดรบขอมลตามเสนทางทถกก าหนดไวเทานน
15
บทท 3
กำรด ำเนนงำน
3.1 ภำพรวมของระบบและขนตอนกำรด ำเนนงำน 3.1.1 ภำพรวมของระบบ
3.1.1.1 องคประกอบของระบบ
รปท 3.1 ภาพรวมของระบบ
ระบบปองกนผบกรกนนประกอบดวยสามสวนหลกใหญดงรปท 3.1 คอ 1.สนอรท (Snort) – เครองมอหรอสวนชดค าสง
(Software)ชนดโอเพนซอรซทมความสามารถในการวเคราะหปรมาณขอมลตามเวลาจรงและดกจบแพคเกจทว งอยในระบบเครอขาย เครองมอชนนสามารถยงสามารถวเคราะหโปรโตคอล การจบคหรอคนหาเนอหาของแพคเกจและยงใชในการตรวจจบการโจมตตางๆอกดวย [10]
2.พลพอรค (Pullporked) – เพรลสครปทท าหนาทปรบปรงซกเนเจอรของสนอรทบนเครองเซรฟเวอรใหทนสมยอยสม าเสมอ โดยจะตงใหรนสครปนทกวน
3.บารนยารด2 (Barnyard2) – เครองมอทใชในการประสานงานระหวางบนทกการตรวจจบของสนอรทกบฐานขอมลของสนอบาย
4.สนอบาย (Snorby) -เวบแอพพลเคชนส าหรบแอพพลเคชนหรอเครองมอทบนทกเหตการณตางๆทอยรปแบบไบนารยนไฟลสองน ามาแสดงผลในรปแบบของเวบไซต[11]
16
3.1.2 ขนตอนกำรด ำเนนงำน
1. เครองเซรฟเวอรและตดตงระบบปฎบตการ 2. จดวางเครองเซรฟเวอรไวทหองเซรฟเวอรและท าการเชอมตอเครองเซรฟเวอร
เขาสระบบเครอขาย 3. ท าการปรบปรงหรออพเดทแพคเกจและแอพพลเคชนลงตางๆของระบบปฎบต
การลงบนเครองเซรฟเวอร 4. ตดตงและตงคาขององคประกอบตางๆทจ าเปนตอระบบตรวจจบผบกรก 5. ทดสอบการท างานของระบบตรวจจบผบกรกวาท างานไดอยางถกตองหรอไม 6. วเคราะหผลจากระบบตรวจจบผบกรกและคนหาวธการปรบปรงระบบเครอขาย 7. ปรบปรงระบบเครอขายและดผลการตรวจจบของระบบตรวจจบผบกรกอกครง
3.2 ระบบเครอขำยกรณศกษำในปจจบน ระบบเครอขายของบรษทเวนดา ซอฟแวร ดเวลอปเมนท จ ากด เปยการเชอมตอแบบ
สตารทอปโปโลย โดยมการเชอมตอแยกออกเปน 3 วง ดงรปท 3.1 คอ 3.2.1 เครอขำยเซรฟเวอร เครอขายนจะประกอบไปดวยเซรฟเวอรตางๆทใชในการ
ท างานรวมการใชงานพนฐานขององคกรไววาจะเปน เวบเซรฟเวอร ดเฮชซพเซรฟเวอร เมลเซรฟเวอร ฐานขอมลของแตละเวบเซรฟเวอร ระบบควบคมรนของไฟล (Control Version System) เปนตน ระบบเครอขายนจะท าการตงไอพแอดเดรสของแตะเซรฟเวอรไวคงทถาวร จะไมมการรบอแอดเดรสจากดเฮชซพเซรฟเวอรเดดขาด
3.2.2 เครอขำยเชอมตอภำยนอก เครอขายนจะใชรองรบการเชอมตอจากภายนอกบรษทของพนกงานไมวาจะเปนการใชเมลของบรษทบนคอมพวเตอร/โทรศพทสวนตว รวมถงการเขาใชทรยากรของบรษทจากระยะไกลผานเครอขายสวนตวเสมอน (VPN: Virtual Private Network)
3.2.3 เครอขำยผใช เครอขายนจะมแตคอมพวเตอรของผใชเทานนโดยไอพแอดแดรสของแตละเครองนนจะถกก าหนดโดยดเฮชซพเซรฟเวอรทอยบนเครอขายเซรฟเวอรและจะท าการจบคไอพแอดเดรสกบหมายเลขเครอง (MAC Address)เพอใหงายในการจดการ
เครอขายทงสามจะถกแยกออกจากกนโดยใชเครอขายเสมอน (VLAN: Virtual Local Area Network) และเนองจากบรษทตองมการตดตอกบส านกงานใหญทประเทศองกฤษและบรษทสาขาทประเทศสหรฐอเมรกา เครอขายทงสามจะใชสวตเลเยอรสามทเชอมตอกบไฟลวอร
17
ของบรษทและเชอมตอกบเราทเตอรของผใหบรการซงตงคาใหเชอมตอกบส านกงานใหญของบรษทดวยเครอขายสวนตวเสมอนของผใหบรการ ระบบเครอขายของบรษทนนยง เชอมตอกบอนเตอรเนตโดยผานเราทเตอรของผใหบรการอกรายหนง ดงรปท 3.1
รปท 3.2 ระบบเครอขายกรณศกษา
18
3.3 กำรตดตงและกำรท ำงำนของระบบ 3.3.1 กำรตดตงระบบ
ขนตอนแรกท าการตงไอพแบบคงทใหกบเครองเซรฟเวอรโดยตงใหอยในเครอขายเซรฟเวอร หลงจากนนท าการตดตงระบบปฎบตการลงบนเครองเซรฟเวอรในทนไดท าการตดตงระบบปฎบตการ CentOS เวอรชน 7 หลงจากนนน าเครองไปวางไวในหองเซรฟเวอรพรอมทงท าการเชอมตอเครองเซรฟเวอรเขากบเครอขาย ตอไปกท าการตดตงแพคเกจทจ าเปนตอระบบไมวาจะเปน สนอรท บารนยารด2 สนอบาย มายเอสควแล (MySQL)อะแพช (Apache) และ ทซพดมพ(tcpdump)
3.3.2 กำรท ำงำนของระบบ
การท างานจะเรมจากสนอรทท าการดกจบแพคเกจขอมลปรมาณการใชงานทว งอยในระบบเครอขายโดยไดรบความชวยเหลอจากแพคเกจชอทซพดมพ หลงจากนนสนอรทจะน าแพคเกจทดกจบไดมาถอดรหสเพอระบโครงสรางขอมลของแพคเกจวาเปนชนดไหนรวมถงระบโปรโตคอลเครอขายทใชในแตละแพคเกจกอน หลงจากนนจะใชปลกอนเพอท าการปรบใหแพคเกจนนตรงกบบรรทดฐานของชนดและโครงสรางทไดท าการถอดรหสไวเพอใหท าการตรวจกบซกเนเจอรทสนอรทเกบไวมความถกตองแมนย ามากขน หลงจากท าการตรวจกบซกเนเจอรถาเจอสงทตรงกนกบซกเนเจอรแลว สนอรทจะท าการบนทกผลการตรวจสอบลงในรปแบบไฟลลอก (log) ชนดไบนารยนไฟลสอง (unifed2 binary format) หลงจากนนบารนยารด2จะท าการโดยท าการแปลงขอความทอยในบนทกไปอยในรปแบบทสามารถน าเขาฐานขอมลของสนอบายได สนอบายจะดงขอมลนนมาแสดงในรปแบบของเวบไซตตามเวลาจรงทตรวจจบไดรวมถงจดท ารายงานสรปผลการตรวจสอบประจ าวน ประจ าสบดาห และประจ าเดอนสงไปยงอเมลของผดแลระบบอกดวยดงรปท 3.3
19
รปท 3.3 การท างานของระบบ
20
บทท 4
ผลกำรด ำเนนงำน
4.1กลำวน ำ
ในบทนจะแสดงถงผลการด าเนนงานของระบบตรวจจบผบกรกโดยจะมบนทกการตรวจจบ การปรบปรงซกเนเจอร หนาจอแสดงผลของเวบแอพพลเคขน รวมถงหนาจอแสดงผลของรายงานสรปผลการตรวจสอบซงผลการด าเนนงานนไดมาจากสภาพแวดลอมของระบบทมระบบปฎบตการหลายระบบทง วนโดวส(XP,Windows Server 2003,7) ลนกซ(CentOS 6-7) และ แมคโอเอสเอกซ(Snow Leopard – Lion) อกทงยงมเซอรวสหรอบรการทใชสอสารกนหลายตว ไมวาจะเปน เวบไซต(Apache) ฐานขอมล(PostgreSQL) การแชรไฟล(Samba) อเมล(Windows Exchange Server) ระบบจดเกบเวอรชนไฟล(GIT) การจดการไอพของพซ(DNS,DHCP) และ ระบบการคนหาภายในของเวบไซต (Apache Solr)
ในการด าเนนงานนตวระบบตรวจจบจะท าการตรวจจบตงแตเวลาเทยงคนจนถง 5 ทม 59 นาทของวนท 3 ธนวาคม ค.ศ.2014ซงวนเวลานท าใหไดขอมลจรงเนองจากเปนวนทบรษทท างานและด าเนนการทางธรกจของบรษท ท าใหขอมลทไดเปนขอมลตามจรง
4.2หนำจอแสดงผลของบนทกกำรตรวจจบ
4.2.1 หนำจอแสดงผลบนทกกำรตรวจบทวไป
ในบนทกจะแสดงรายละเอยดการตรวจจบดงรปท 4.1 อยางเชน
- กลมหมายเลขไอดของเหตการณ โดยเปนหมายเลขประจ าตวของเหตการณทตวสนอรทไดท าการเกบไวแลวน ามาจบคกบเหตการณทไดตรวจจเจอในระบบเครอขายของบรษท ซงกลมตวเลขนมตวเลขทงหมด 3 ตวซงใชบอกถง
1. สวนโปรแกรมของสนอรททสรางการแจงเตอนในบนทกนซงในทนคอในสวนของการถอดรหส (Decoder)
2. หมายเลขไอดของซกเนเจอรของเหตการณซงซกเนเจอรในทนคอDECODE_IP4_DST_RESERVED
3. หมายเลขการปรบปรงของเหตกาณนทอยในสนอรท ในทนคอปรบปรงไปเปนรนท 1 เทานน
21
- รายละเอยดของเหตการณทตรวจจบในรปแบบภาษาทเขาใจงายส าหรบมนษย
- ชนดของเหตการณทตรวจจบไดตามแตทระบไวในซกเนเจอร - ระดบความรนแรงของเหตการณ ในทนคอระดบ 3 ซงเปนระดบต าสด - เวลาทตรวจจบ โดยบอกถงเดอน,วนทและเวลาซงละเอยดถงระดบ
ไมโครวนาท ตามล าดบ ซงในทนคอวนท 3 ธนวาคม เวลา 4 นาฬกา 40 นาท22.016541วนาท
- หมายเลขไอพแอดเดรสตนทางและปลายทางรวมถงบอกหมายเลชชองทางเขาออกของไอพแอดเดรสทง 2 อน
- รายละเอยดโปรโตคอลของแพคเกจของเหตการณทจบได ไมวาจะเปนชนดของโปรโตคอล, ชนดของบรการของโปรโคอล เปนตน
รปท 4.1 หนาจอแสดงผลบนทกการตรวจบทวไป
22
4.2.2 หนำจอบนทกกำรตรวจจบทอยรปแบบไบนำรยนไฟลสอง เปนรปแบบของบนทกการตรวจจบทเครองมอวเคราะหและดกจบ
แพคเกจเชนสนอรท หรอ ซรคคาตาใชในการบนทก โดยจะอยในรปแบบทมนษยไมสามารถอานเขาใจโดยงายดงรปท 4.2 จ าเปนตองใชเครองมอทใชแปลอยางเชน barnyard2 หรอ U2Boatเปนตน
รปท 4.2 บนทกการตรวจจบทอยรปแบบไบนารยนไฟลสอง
23
4.3 หนำจอเวบแอพพลเคชนแสดงผลกำรตรวจจบกำรบกรก 4.3.1 หนำจอส ำหรบเขำสหนำแสดงผลกำรตรวจจบกำรบกรก
หนานจะเปนหนาแรกเมอเขาเวบแอพพลเคชน โดยจะตองท าการลอคอนชวยอเมลและรหสผานกอนทเขาไปสหนาจอแสดงผลการตรวจจบตอไปดงรปท 4.3
รปท 4.3 หนาจอส าหรบเขาสหนาแสดงผลการตรวจจบการบกรก
24
4.3.2 หนำจอแสดงภำพรวมของผลกำรตรวจจบกำรบกรก หนาจอนจะแสดงภาพรวมของการตรวจจบการบกรก ดงรปท 4.4 โดยจะแสดง
ถง 1. จ านวนเหตการณการตรวจจบการบกรกทเกดขนโดยแยกตามความรนแรง
ทเกดขนภายใน 24ชวโมงของวนท 3 ธนวาคม ค.ศ. 2014ทแสดงอยดานบนสดของหนาจอแสดงผล โดยมเหตการณทมความรนแรง สง กลาง และต า จ านวน 04887 และ 72795 ตามล าดบ
2. กราฟแสดงจ านวนเหตการณทเกบไดตามตวรบรท งหมดทไดตงไวในระบบเครอขายใน 24 ชวโมงของวนท 3 ธนวาคม ค.ศ. 2014ทอยดานลางของขอท 1โดยมอยหลายกราฟซงแยกตามประเภทดงน
a. จ านวนตวเลขของเหตการณทตรวจจบได b. จ านวนตวเลขของระดบความรนแรงโดยแยกเสนกราฟตาม
ประเภท สง ปานกลาง และต า c. จ านวนตวเลขของโปรโตคอลจากแพคเกตทตรวจจบทงหมด โดย
แยกเปนโปรโตคอลทซพ ยดพและ ไอซเอมพ d. จ านวนตวเลขของซกเนเจอรโดยแยกเปนแตละซกเนเจอรของ
เหตการณทตรวจจบได e. จ านวนตวเลขของแตละไอพแอดเดรสทเปนตนทางของเหตการณ
โจมตและการบกรก f. จ านวนตวเลขของแตละไอพแอดเดรสทเ ปนปลายทางของ
เหตการณโจมตและการบกรก 3. 5 อบดบสงสดของตวรบรทมการตรวจจบการบกรกหรอโจมตทอยดานขงา
ลนสดของหนาจอแสดงผล ซง เ ปนประโยชนมากในการจดล าดบความส าคญในการแกไขและปองกนวาจดไหนทตวรบรอยนนตองไดรบความสนใจกอนเปนอยางแรก
4. 5 อบดบสงสดของผใชทเขาหนาเวบของสนอบายเพอมาดตดตามผลการตรวจจบการบกรกหรอโจมตซงในทนคอผใชทเปนผดแลเขามาดมากสดเปนแบดบหนง โดยสวนนจะอยถดลงมาจากขอท 3
5. 5 อบดบสงสดของซกเนอรทตรวจพบจากเหตการณทงหมด ซงซกเนเจอรทช อ IPV4 packet to broadcast dest addressมจ านวนสงสดโดยสวนนจะอยถดลงมาจากขอท 4
25
6. ชนดของเหตกาณโจมตและบกรก รวมถงผลบวกลวง โดยสวนนอยถดมาจากขอท 5
รปท 4.4 หนาจอแสดงภาพรวมของผลการตรวจจบการบกรก
26
4.3.3 หนำจอยอยแสดงจ ำนวนชนดควำมรนแรงของกำรบกรกทตรวจจบได หนานจะแสดงจ านวนของเหตการณตามชนดความรนแรงของการบกรกท
ตรวจจบไดภายใน 24 ชวโมงของวนท 3 ธนวาคม ค.ศ. 2014ในรปแบบของแผนภมกราฟเสน โดยจะมเสนกราฟอย 3 เสน แยกสเสนกราฟตามชนดของความรนแรง โดยจะมความรนแรงต า กลาง สง แสดงดวยสเขยว สเหลอง และสแดง ตามล าดบดงรปท 4.5ซงจะเหนไดวาความรนแรงของเหตการณชนดต าทแสดงผลเปนเสนกราฟสเขยวมจ านวนเหตการณสงสดตลอดทงวน โดยมความรนแรงของเหตการณชนดกลางทแสดงผลเปนเสนกราฟสเหลองตามมาเปนอบดบท 2 และมความรนแรงของเหตการณชนดสงสดทแสดงผลเปนเสนกราฟสแดงตามมาเปนอบดบสดทาย
รปท 4.5 หนาจอยอยแสดงจ านวนชนดความรนแรง
27
4.3.4 หนำจอยอยแสดงจ ำนวนชนดโปรโตคอลของแพคเกจทตรวจจบได หนานจะแสดงแผนภมกราฟเสนของจ านวนของเหตการณตามชนดโปรโตคอล
ของแพคเกจทตรวจจบไดใน 24 ชวโมงของวนท 3 ธนวาคม ค.ศ. 2014 โดยจะแยกเสนกราฟออกเปน 3 เสน 3 ส โดยม ทซพ ยดพ และไอซเอพ แสดงดวยเสนกราฟสน าเงน แดงและเขยวตามล าดบ ดงรปท 4.6ซงจะเหนไดวามแพคเกจทตองสงสยวาเปนแพคเกจทเปนการโจมตหรอการบกรกซงเปนของโปรโตอลชนดยดพทแสดงผลเปนกราฟเสนสเขยวนนมจ านวนสงสด โดยรองลงมาเปนของโปรโตคอลทซพ
รปท 4.6 หนาจอยอยแสดงจ านวนชนดโปรโตคอลของแพคเกจ
28
4.3.5 หนำจอยอยแสดงจ ำนวนซกเนเจอรทตรงกบแพคเกจกำรตรวจจบได หนานจะแสดงแผนภมวงกลมทแสดงซกเนเจอรของระบบตรวจจบและจ านวน
แพคเกจทตรงกบซกเนเจอรแตละอนของวนท 3 ธนวาคม ค.ศ. 2014โดยจะแสดงเปนจ านวนเปอรเซนต แตถาเอาลกศรไปวางบนพนทบางสวนของแผนภม กจะแสดงผลการตรวจจบเปนจ านวนตวเลขให และถาคลกเขาไปกจะน าผดแลระบบเขาไปสหนาจอแสดงตรวจจบในแตละแพคเกจในรปแบบรายชอดงรปท 4.7
รปท 4.7 หนาจอยอยแสดงจ านวนซกเนเจอรทตรงกบแพคเกจทตรวจจบ
29
4.3.6 หนำจอยอยแสดงไอพแอดเดรสตนทำงทสงสยวำท ำกำรบกรกหรอโจมต หนานจะแสดงแผนภมวงกลมทแสดงไอพแอดเดรสตนทางในการบกรกและ
จ านวนแพคเกจทมไอพแอดเดรสนนๆโดยจะแสดงจ านวนในรปแบบของเปอรเซนตและจะแสดงจ านวนตวเลขเมอน าเมาสไปวางบนพนทของแตละไอพแอดเดรสดงรปท 4.8
รปท 4.8 หนาจอยอยแสดงไอพแอดเดรสตนทางทสงสยวาท าการบกรก
30
4.3.7 หนำจอยอยแสดงไอพแอดเดรสปลำยทำงทสงสยวำเปนเปำหมำยในกำรบกรกหรอโจมต หนานจะแสดงแผนภมวงกลมทแสดงไอพแอดเดรสปลายทางในการบกรกและ
จ านวนแพคเกจทมไอพแอดเดรสนนๆโดยจะแสดงจ านวนในรปแบบของเปอรเซนตและจะแสดงจ านวนตวเลขเมอน าเมาสไปวางบนพนทของแตละไอพแอดเดรสดงรปท 4.9ซงไอพแอดรส 255.255.255.255 นนมจ านวนสงสดคดเปน 93% ของทงหมด
รปท 4.9 หนาจอยอยแสดงไอพแอดเดรสปลายทางทสงสยวาท าการบกรก
31
4.3.8 หนำจอรำยชอแพคเกจทตรวจจบกำรบกรก หนาจอนจะแสดงรายละเอยดของแตละแพคเกจทไดจากผลการตรวจจบของ
วนท 3 ธนวาคม ค.ศ. 2014 โดยในรายชอจะมล าดบในการตรวจจบ ระดบความรนแรง ชอตวรบร หมายเลขไอพแอดเดรสตนทาง หมายเลขไอพแอดเดรสปลายทาง และชอของซกเนเจอรทตรงกบแพคเกจนน และเมอคลกเขาไปในแตละรายชอ กจะแสดงเปนตารางทใหรายละเอยดของการตรวจจบมากขน โดยจะมรายละเอยดอยางเชนรหสของซกเนเจอรทสามารถน าไปคนหารายละเอยดเพมเตมของการบกรกและการโจมตไดจากเวบไซตของระบบตรวจจบดงรปท 4.10
รปท 4.10 หนาจอรายชอแพคเกจทตรวจจบการบกรก
32
4.4 รำยงำนกำรตรวจจบกำรบกรก
ในรายงานการตรวจจบการบกรกทสงใหผดแลระบบทางอเมลในทกวน ทกสปดาหและทกเดอนจะแสดงรายละเอยดตางๆดงน
1. ชอบรษทวนเวลาทระบบตรวจจบท าการสงรายงานมาใหผดแลระบบ และ วนเวลาทระบบตรวจจบการบกรกดงรปท 4.11ซงในทนเปนของวนท 3 ธนวาคม ค.ศ. 2014 ตงแตเวลา 12:00 am ถง 11.59pm
รปท 4.11 ชอบรษท วนเวลาทระบบตรวจจบท าการสงรายงานมาใหผดแลระบบ และ วนเวลาทระบบตรวจจบการบกรก
33
2. แผนภมกราฟแสดงจ านวนเหตการณการบกรกจากตวรบรของวนท 3 ธนวาคม 2557 จ านวน 78590 เหตการณดงรปท 4.12
รปท 4.12 จ านวนเหตการณการบกรกจากตวรบร
34
3. แผนภมกราฟแสดงจ านวนเหตการณการบกรกของวนท 3 ธนวาคม ค.ศ.2014 โดยแยกตามความรนแรง ดงรปท 4.13โดยมเหตการการบกรกชนดความรนแรงต าเปนจ านวน 74,633 เหตการณ เหตการการบกรกชนดความรนแรงกลางเปนจ านวน 3956 เหตการณ และเหตการการบกรกชนดความรนแรงสงสดเปนจ านวน 1 เหตการณตามล าดบ
รปท 4.13 จ านวนเหตการณการบกรกโดยแยกตามความรนแรง
35
4. แผนภมกราฟแสดงจ านวนเหตการณการบกรกโดยแยกตามโปรโตคอลของวนท 3 ธนวาคม ค.ศ. 2014 ดงรปท 4.14โดยจ านวนเหตการณทเปนโปรโตคอลยดพซงสงสดเปนจ านวน 63516 เหตการณ เปนโปรโตคอลทซพเปนจ านวน 546 เหตการณและ เปนโปรโตคอลไอซเอมพเปนจ านวน 371 เหตการณ
รปท 4.14 จ านวนเหตการณการบกรกโดยแยกตามโปรโตคอล
36
5. จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบซกเนเจอร 15 อบดบสงสดของวนท3 ธนวาคม ค.ศ. 2014ดงรปท 4.15โดยจะเหนไดวาเหตการณของงซกเนเจอรทช อ IPV4 packet to broadcast dest addressและ IPV4 packet to reserved dest addressมจ านวนสงสดถง 22851 เหตการณ
รปท 4.15 จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบซกเนเจอร 15 อบดบ
สงสด
37
6. จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบไอพแอดเดรสตนทางทตองสงสยวาเปนการบกรกหรอโจมต10 อบดบสงสดของวนท 3 ธนวาคม ค.ศ. 2014ดงรปท 4.16โดยจะเหนไดวาไอพแอดเดรส 0.0.0.0 มจ านวนสงสดถง 53442 เหตการณ
รปท 4.16 จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบไอพแอดเดรสตนทาง 10 อบดบสงสด
38
7. จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบไอพแอดเดรสปลายทางทตองสงสยวาเปนการบกรกหรอโจมต 10 อบดบสงสดของวนท 3 ธนวาคม ค.ศ. 2014ดงรปท 4.17โดยจะเหนไดวาไอพแอดเดรส 255.255.255.255 มจ านวนสงสดถง 63516 เหตการณ
รปท 4.17 จ านวนตวเลข เปอรเซนตของเหตการณทตรงกบไอพแอดเดรสปลายทาง 10 อบดบสงสด
4.5 กำรวเครำะหและกำรแกปญหำผลกำรตรวจจบของระบบ
จากผลการตรวจจบทไดจากระบบตรวจจบการบกรกนน พบวาผลการตวจจบหลายอนนนเปนปญหาทสงผลตอประสทธภาพ,การท างาน และความมนคงปลอดภยของของระบบเครอขาย รวมถงความแมนย าของระบบตรวจจบไมวาจะเปน
- ปรมาณแบนดวดททผใช, เซรฟเวอร และบรการสมควรไดใชงานเตมประสทธภาพ กลบถกลดทอนลง
- ภยคกคามทเกดกบโปรโตคอลทว งอยในระบบเครอขายทไมไดรบการตงคาหรอการปองกนทถกตองเหมาะสมซงผบกรกหรอแฮคเกอรอาจใชชองโหวของโปรโตคอล
39
นนในการท ารายผใชและงานตางๆของบรษทจนท าใหการด าเนนธรกจอาจหยดชะงก
- การปรบแตงคาตางๆของระบบตรวจจบทไมถกตองและเหมาะสมท าใหไดผลการตรวจจบทผดพลาดไมวาจะเปนผลบวกลวง (False Positive) และผลลบลวง (False Negative) ได และอาจจท าใหไมเหนผลของการบกรกและการโจมตทจรงๆได
ซงจากผลการตรวจจบของระบบตรวจจบการบกรกพบปญหาดงตอไปน
4.5.1 บรอดแคสสตอรม (Broadcast Storm)
ปญหาในขอนนนไดมาจากผลการตรวจจบของซกเนเจอรทช อ “snort_decoder:
WARNING: IPV4 packet to reserved dest address” และ “snort_decoder: WARNING: IPV4 packet to broadcast dest address”ซงเกดจาการทไอพของเซรฟเวอรทข นตนดวย 10.4.1 จ านวน 4 ไอพไดท าการสงแพคเกจไปหาไอพแอดเดรส 255.255.255.255 ซงเปนไอพแอดเดรสชนดบรอดแครสทจะท าการสงแพคเกจเหลานไปหาไอพทกไอพทอยในระบบเครอขายโดยมปรมาณการตรวจจบชนดนประมาณ23,000 ตอวนเลยทเดยวโดยในแตละนาทใน 1 วน จะมการสงแพคเกจไปยงบรอดแคสแอดเดรสถง 6 แพคเกจ ดงรปท 4.18 – 4.20
รปท 4.18จ านวนการตรวจจบเหตการณสงแพคเกจไปบรอดแคสแอดเดรส
40
รปท 4.19 รายละเอยดการตรวจจบเหตการณสงแพคเกจไปบรอดแคสแอดเดรส 1
รปท 4.20 รายละเอยดการตรวจจบเหตการณสงแพคเกจไปบรอดแคสแอดเดรส 2
ซงสาเหตของปญหานทไดจากการดในรายละเอยดของการตจรวจหนงในทงหมดและการท างานภายในของเครองทท าการสงแพตเกจไปยงบรอดแคสแอดเดรสพบวาเกด
41
จากเซอรวสของโปรแกรม APC Powechute network shutdownทท าหนาทในการจดการการปดเปดเครอง รวมไปถงเรมตนเครองใหมของเครองทไดท าการตดตงโปรแกรมและเปดการท างานของเซอรวสน โดยเซอรวสนจะท าการสงแพคเกจไปยงไอพแอดเดรสชนดบอรดแคสผานพอรต 3052 เพอเปนการแจงใหผดแลระบบทเปดหนาเวบของโปรแกรมนทราบสถานะของเครองวาเครองนนยงคงท างานอยเสมอนเปนการสงแพคเกจฮารทบต ( heart beat)ดงรปท 4.21 และยงเกดจากโพรเซจทชอquerysrv.exe ของเครองทมไอพแอดเดรส 10.4.1.35 ท าหนาทเปนรพอรตแอพพลเคชนเซรฟเวอรอกดวย
รปท 4.21 แสดงใหเหนเซอรวสทท าการสงแพคเกจไปบรอดแคสแอดเดรส
ส าหรบวธแกปญหาน นท าไดโดยการปด เซอรวสของโปรแกรม APC Powechute network shutdown เนองจากทางบรษทไมมความจ าเปนตองใชเซอรวสและโปรแกรมนแลวเนองจากเซรฟเวอรสวนใหญไดบายไปอยบนเครองเสมอน (Virtual Machine) หมดแลว แตส าหรบเซอรวส querysrv.exe นนไมสามารถปดหรอใหหยดการท างานไดเนองจากเปนโพรเซจจ าเปนทใชในการท ารายงานชนดตางๆของแตละเวบไซตของลกคา ซงหลงจาการแกไข จ านวนการตรวจจบของซกเนเจอรทช อ “snort_decoder: WARNING: IPV4 packet to
42
reserved dest address”นนลดลงอยางมากโดยลดจาก 10,024 เปน116 หรอลดไปประมาณ 90% ดงรปท 4.22
รปท 4.22จ านวนเหตการณการตรวจจบเหตการณสงแพคเกจไปบรอดแคสแอดเดรสหลงการแกปญหา
4.5.2 สวชทเลเยอร 3กบกำรสอสำรแบบมลคแคส(Multicast)
ปญหาขอนไดมาจากการทสวตชเลเยอร 3 ของบรษทไดท าการสงแพคเกจโปรโตคอล PIM (Protocol Independent Module) ไปยงไอพแอดเดรสชนดมลตคลาสแอดเดรส(Multiclass Address)224.0.0.13ซงเปนของโปรโตคอล PIM เวอรชน 2 ทก 1 นาทแลวระบบตรวจจบแจงวาไดถอวการสงนตรงกบซกเนเจอรทชอ “snort_decoder: WARNING: BAD-TRAFFIC Bad IP protocol” แตจากการคนควาในอนเตอรเนตและการสอบถามผร การสงแพคเพจชนดนไมถอวาเปนการโจมตหรอการบกรก เพราะจากการดในตวถอดรหสขอตวสนอรทในระบบตรวจจบทชอวา deocoder.c ตวสนอรทจะท าการสงค าเตอน “WARNING: BAD-TRAFFIC Bad IP protocol” ใหกบผดแลระบบทกครงไมวาโปรโตคอล PIM จะท างานอยโหมดเดนซ, สแปรซ หรอวา เดนซ-สแปรซ กตาม
43
รปท 4.23 รายละเอยดเหตการณทโปรโตคอล PIM วงเขาในระบบตรวจจบการบกรก
รปท 4.24แสดงชอซกเนเจอรและจ านวนของเหตกาณเมอมโปรโตคอล PIM วงเขามา
แตถงยงไงกตามโปรโตคอล PIM ทว งอยในระบบเครอขายของบรษทนนยงมชองโหวทผโจมตหรอแฮคเกอรท าการโจมตแบบปฎเสธการใหบรการหรอ Denial of Service (DOS) ผานทางไกลโดยไมตองมการพสจนตวตนของแพคเกจและไมแสดงผลใหผใชทราบไดซงท าใหผใชหรอผดแลระบบสามารถหาตนตอของปญาทมาจากชองโหวนไดในระยะเวลอนสนทอาจสงผลใหสวตชเลเยอร 3 คางไมสามารถท างานตอไปไดสงผลกระทบตอการตดตอสอสารหยดชะงกไดและท าใหตองเปดปดสวตชของบรษทใหมแฮคเกอรหรอผโจมตจะท าการสรางแพคเกจโปรโตคอล PIM ขนมาแลวสงไปยง 224.0.0.13ซ าๆ
ซงวธการแกไขปญหาในขอนนนท าโดยการเขยนแอคเลสคอนโทรลลสใหตวสวตสจ ากดไอพทจะสามารถสงแพคเกจของโปรโตคอล PIM ไปทไอพมลตคลาส 224.0.0.13ได โดยใหไอพเนตเวรคของฝ งไคลเอนตและเซรฟเวอรเทานนทสงไดและท าการเปดกลไลการปองกนการปลอมแปลงทชอ Unicast Revert Path Forwarding (Unicast RPF)ซงชวยลดความเสยงทสวตซคางไดในระดบหนง รวมถงการปลอมแปลงแพคเกจดวยไอพปลอมได
4.5.3 จ ำนวนกำรรำยงำนควำมผดพลำดในกำรสอสำรสงผดปกต
ปญหานเกดจากเซรฟเวอรทตดตงซอฟแวรทชอวา Zabbix ทท าหนาทเฝาสงเกตประสทธภาพรวมถงสขภาพของเซรฟเวอรทอยในระบบของบรษท ท าการสงแพคเกจโปรโตคอลไอซเอมพ (ICMP) ไปหาเซรฟเวอรตางๆทมเอเจนทของ Zabbix อย เพอเชคสถานะของเซรฟเวอรนนวายงเปดท างานอย ซงเมอเซรฟเวอร Zabbix ไมไดรบการตอบกลบจากเซรฟเวอรนน ซงเกดจากเซรฟเวอรเครองนนปดเนองจากไมไดใชแลว รวมถงเกดจากการทตวเอเจนทของ Zabbix หยดท างานกรระทนหน จงท าใหเกดแพคเกจโปรโตคอลไอซเอมพ ชนด 3
44
Destination Unreachable ท าใหระบบตรวจจบผบกรกสงการเตอนของเหตการณนมาหาผดแลระบบดวยซกเนเจอรของระบบตรวจจบผบกรกทชอ “snort_decoder: WARNING: ICMP DestinationUnreachable Communication with Destination Host is AdministrativelyProhibited”
ผดแลระบบจงท าการลบคาตวแปรของเซรฟเวอรทท าการเผาสงเกตทไมไดใชออกจากตวเซรฟเวอร Zabbix เพอไมให Zabbix ท าการเชคสถานะอก รวมถงท าการตรวจสอบและแกไขตวเอเจนทของตวมนเองบนเซรฟเวอรทยงใชงานอยใหกลบมาท างานไดอยางปกต
รปท 4.25 เหตกำรณเตอนของกำรเกดขนของโปรโตคอลไอซเอมพชนดทสำมในระบบ
45
4.5.4 จ ำนวนกำรรำยงำนแพคเกจทไมสมบรณสงผดปกต
ในกรณนระบบตรวจจบผรกมการสงการแจงเตอนเกยวกบคณสมบตของแพคเกจไมวาจะเปน
- Reset outside Windows - TCP Small Segment Threshold Exceeded - TCP Timestamp is outside of PAWS window
โดยการแจงเตอนเหลานจะมสงมาหาผดแลระบบทกวน ทางผดแลระบบจงไดเขาไปตรวจสอบการตงคาระบบของระบบตรวจจบผบกรกจงพบวาในสวนของตวถอดรหสทชอ stream5_tcp นนไดถกตงคาใหรองรบแพคเกจของโปรโตคอลทซพของวนโดวสเทานน ซงเครองพซและเซรฟเวอรนนไมไดใชแคระบบปฎบตการวนโดวส แตยงใชระบบปฎบตการลนกสและแมคโอเอส จงท าใหระบบตรวจจบผบกรกท าการตรวจจบผดพลาดจงท าใหเกดผลบวกลวงเปนจ านวนมากขนมา ทางผดแลระบบจงท าการตงคาของระบบตรวจจบผบกรกใหรองรบอพคเกจโปรโตคอลทซพของระบบปฎบตการอนๆนอกจากวนโดวส เพอแกไขปญาน
46
บทท 5
สรปผลกำรด ำเนนงำน
5.1 สรปผลกำรด ำเนนงำน
จากขอบเขตสารนพนธทกลาวในบทท 1 ผพฒนาระบบสามารถท าใหระบบตรวจจบผบกรกท างานไดอยางเหมาะสม โดย
1. สามารถตรวจจบการบกรกและการโจมตบนเครอขายของกรณศกษา ไดตามเวลาจรง
2. แสดงผลการตรวจจบในรปแบบของบนทกลอก เวบแอพพลเคชน รวมถงเอกสารรายงานทสงไปยงอเมลของผดแลระบบได
ประโยชนทไดรบคอผดแลระบบสามารถเฝาดสถานการณทเกดขนบนระบบเครอขาย อกทงยงสามารถทราบถงความผดปกต ภยคกคาม การบกรกหรอโจมตไมวาเกาหรอใหมบนระบบเครอขายไดอยางทนทวงทจากหนาจอแสดงผลและเอกสารการตรวจจบทระบบไดสงไปยงผดแลระบบซงผดแลระบบสามารถน าสงเหลานมาใชในการปรบปรงไฟลวอลลและ ระบบเครอขายของบรษทซงชวยเพมความมนคงปลอดภยดานเครอขายของบรษทใหมากยงขน อกทงยงชวยสงเสรมใหบรษทสามารถด าเนนธรกจไดอยางตอเนอง ไมหยดชะงก
5.2 ปญหำและอปสรรคจำกกำรพฒนำสำรนพนธ
1. เครองมอทใชในการแปลงบนทกลอกการตรวจจบไปเปนขอมลทสามารถใสลงไปในฐานขอมลของสนอบายไดหรอ บารนยารด2 ไมสามารถใสขอมลลงไปในฐานขอมลไดเนองจากมขอมลบางคอลมนทส าคญซ ากน ท าใหหนาเวบแอพพลเคชนแสดงผลการตรวจจบการบกรกของวนนนผดพลาด โดยสาเหตมาจากการสงใหบารนยารด2เรมตนการท างานใหมกระทนหน ท าใหการใสขอมลเกดความผดพลาด
2. ผพฒนาระบบไมสามารถท าใหระบบตรวจจบการบกรกสามารถท างานเสมอนระบบการปองกนการบกรกได ทงทสามารถท าได เนองจากตดทตองใชระบบเครอขายในการท างานเกอบจะตลอดเวลา ท าใหระบบเครอขายตองท างานตลอดเวลา และจะหยดเมอมเหตจ าเปน ซงในบางครงระบบปองกนการบกรกอาจหยดท างานกระทนหน ท าใหไมสามารถท างานไดในชวงเวลาหนง สงผลท าใหความลาชาในการสงงานใหลกคา
47
5.3 ขอเสนอแนะ
5.3.1ในการพฒนาระบบตรวจจบการบกรกไมวาในสวนของซกเนเจอรของสนอรทเองหรอในสวนอนๆสามารถท าไดเนองจากระบบนเปนระบบเปดทยอมใหเหนโคดโปรแกรมรวมถงสามารถใสโคดทพฒนาเองลงไปในระบบได แตการพฒนาตองมความรในเรองการเขยนโปรแกรมดานระบบเครอขาย การท างานของโปโตคอลตางๆคอนขางดจงจะท าใหระบบสามารถตรวจจบการบกรกของระบบเครอขายนนๆไดถกตองและแมนย า
5.3.2 ในสวนของตวสนอรทนน สามารถพฒนาในสวนของโหมดการท างานใหนอกจากสามารถตรวจจบการบกรกแลวยงสามารถใหสนอรทสามารถปองกนการบกรกหรอการโจมตไดอกดวย แตทงนตองตดตงการดแลนดตวทสองทเครองของระบบโดยทการดตวนตองรองรบการท างานแบบการสลบการดอตโนมต (Failover) ในกรณทการดตวแรกไมสามารถใชท างานได
48
เอกสำรอำงอง
[1], [2], [3], [4]S. McClure and J. Scambray and G. Kurtz (2009, Jan 5). Hacking Exposed:Network Security Secrets and Solutions. (6thed.) [Online]. Available: http://www.amazon.com/Hacking-Exposed-Network-Security-Solutions/dp/0071613749/ref=sr_1_1?s=books&ie=UTF8&qid=1417074266&sr=1-1&keywords=hacking+exposed+6
[6], [9]S. Harris (2012, Nov 8). CISSP All-in-One Exam Guide. (6thed.)[Online]. Available: http://www.amazon.com/CISSP-All---One-Exam-Guide-ebook/dp/B009WPVJJU/ref=sr_1_1?s=books&ie=UTF8&qid=1417075526&sr=1-1&keywords=CISSP+All-in-One+Exam+Guide
[7], [8]E. Dulaney (2008, Nov 3). CompTIA Security+.(4th ed.) [Online]. Available: http://www.amazon.com/CompTIA-Security-Study-Guide-SY0-201/dp/0470372974/ref=sr_1_8?s=books&ie=UTF8&qid=1417075849&sr=1-8&keywords=Emmett+Dulaney
[10] Cisco (2002, Apr 18). IP Multicast Technology Overview [Online]. Available: http://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/ip_multicast/White_papers/mcst_ovr.html
[11] Justin Menga (Oct 8, 2003). CCNP Practical Studies: Switching [Online]. Available: http://www.informit.com/library/content.aspx?b=CCNP_Studies_Switching&seqNum=62
49
ภำคผนวก ก กำรตดตงโปรแกรมสนอรท
50
ภำคผนวก ก กำรตดตงโปรแกรมสนอรท
ขนตอนการตดตงโปรแกรมสนอรทบน CentOS 7 นน สามารถดาวนโหลดเอกสารไดจากเวบไซตของสนอรท : https://www.snort.org/documents/snort-2-9-7-x-on-centos-6-x-and-7-x
1. ท าการตดตงแพคเกจทจ าเปนในการท างานของโปรแกรมสนอรทซงตองใชสทธ ไมวาจะเปน gcc 4.4.7รวมถงไลบารของ gcc, flex 2.537, bison 2.7,zlib 1.2.7, zlib-devel, libpcap1.5.3, libpcap-devel, pcre 8.32, pcre-devel,libdnet 1.12, libdnet-devel, tcpdump 4.5. โดยพมพค าสงดงน
- yum install gccflexbisonzlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump
2. ท าการดาวนโหลดตวซปไฟลของโปรแกรมสนอรทและไลบาร DAQ โดยสามารถดาวนโหลดไดท www.snort.org/downloadsโดยดานโหลดลงเซรฟเวอรไวท /usr/local/src
3. ท าการแตกซปของโปรแกรมสนอรทและไลบาร DAQโดยพมพค าสงตามล าดบดงน - cd /usr/local/src - tar -zxvf daq-2.0.x.tar.gz - tar -zxvf snort-2.9.7.x.tar.gz
4. ท าการตดตงไลบาร DAQ โดยพมพค าสงตามล าดบดงน - cd /usr/local/src/daq-2.0.x - ./configure - make - make install - cd /usr/local/lib - ldconfig –v /usr/local/lib
5. ท าการตดตงโปรแกรมสนอรท โดยพมพค าสงตามล าดบดงน - cd /etc - mkdir -p snort - cd snort - cp /usr/local/src/snort-2.9.7.x/etc/* . - tar -zvxf <path to>snortrules-snapshot-<nnnn>.tar.gz - cp ./etc/* .
51
- touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules 6. ท าการดาวนโหลดซกเนเจอรของโปรแกรมสนอรทซงตองสมครเปนสมาชกของ
เ ว บ ไ ซ ต ส น อ ร ท ก อ น ห ล ง จ า ก น น ท า ก า ร ด า ว น โ ห ล ด จ า ก www.snort.org/downloadsภายใตหวขอ Rules แลวพมพค าสงตามล าดบดงน
- cd /etc - mkdir -p snort - cd snort - cp /usr/local/src/snort-2.9.7.x/etc/* . - tar -zvxf <path to>snortrules-snapshot-<nnnn>.tar.gz - cp ./etc/* . - touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
7. ท าการเพมยสเซอรเนมกบกลมส าหรบโปรแกรมสนอรทลงในเซรฟเวอร โดยพมพค าสงดงน
- groupadd -g 40000 snort - useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c
SNORT_IDS –g snort - cd /etc/snort - chown -R snort:snort * - chown -R snort:snort /var/log/snort
8. ท าการปรบแตงคาเหลานในไฟลคอนฟคทชอ snort.conf ซงอยท /etc/snort เพอใหโปรแกรมสนอรสามารถท างานไดถกตองแมนย า โดยในทนโปรแกรมสนอรทจะท าการตรวจสอบบนเครอขาย 192.168.1.0/24
- var RULE_PATH /etc/snort/rules - ipvar HOME_NET 192.168.1.0/24 - ipvar EXTERNAL_NET !$HOME_NET - var SO_RULE_PATH /etc/snort/so_rules - var PREPROC_RULE_PATH /etc/snort/preproc_rules - var WHITE_LIST_PATH /etc/snort/rules - var BLACK_LIST_PATH /etc/snort/rules
9. ท าการเปลยนแปลงสทธและเจาของของไฟลซปและโหสเดอรตดตงโปรแกรมสนอรทและไลบาร DAQ โดยพมพค าสงดงน
- cd /usr/local/src
52
- chown -R snort:snort daq-2.0.x - chmod -R 700 daq-2.0.x - chown -R snort:snort snort-2.9.7.x - chmod -R 700 snort-2.9.7.x - chown -R snort:snort snort_dynamicsrc - chmod -R 700 snort_dynamicsrc
10. ท าการสรางไฟลสครปชอ snort ทใชในการเรมตนหรอหยดการท างานของโปรแกรม Snort โดยสรางไวท /etc/init.d และตงคาไฟลนใหยสเซอรเนมชอ snort สามารถเขยนอาน และรนไดแตเพยงผเดยว จากนนเขยนรายละเอยดเหลานลงในไฟลสครป
- #!/bin/bash - # - # snort - Start up the SNORT Intrusion Detection System daemon - # - # chkconfig: 2345 55 25 - # description: SNORT is a Open Source Intrusion Detection System - # This service starts up the snort daemon. - # - # processname: snort - # pidfile: /var/run/snort_eth0.pid - ### BEGIN INIT INFO - # Provides: snort - # Required-Start: $local_fs $network $syslog - # Required-Stop: $local_fs $syslog - # Should-Start: $syslog - # Should-Stop: $network $syslog - # Default-Start: 2 3 4 5 - # Default-Stop: 0 1 6 - # Short-Description: Start up the SNORT Intrusion Detection System
daemon
53
- # Description: SNORT is an application for Open Source Intrusion Detection.
- # - This service starts up the Snort IDS daemon. - ### END INIT INFO - # source function library - . /etc/rc.d/init.d/functions - # pull in sysconfig settings - [ -f /etc/sysconfig/snort ] && . /etc/sysconfig/snort - RETVAL=0 - prog="snort" - lockfile=/var/lock/subsys/$prog - # Some functions to make the below more readable - SNORTD=/usr/local/bin/snort - #OPTIONS="-A fast -b -d -D -i eth0 -u snort -g snort -c
/etc/snort/snort.conf -l - /var/log/snort" - #PID_FILE=/var/run/snort_eth0.pid - # Convert the /etc/sysconfig/snort settings to something snort can - # use on the startup line. - if [ "$ALERTMODE"X = "X" ]; then - ALERTMODE="" - else - ALERTMODE="-A $ALERTMODE" - fi - if [ "$USER"X = "X" ]; then - USER="snort" - fi - if [ "$GROUP"X = "X" ]; then - GROUP="snort" - fi - if [ "$BINARY_LOG"X = "1X" ]; then
54
- BINARY_LOG="-b" - else - BINARY_LOG="" - fi - if [ "$LINK_LAYER"X = "1X" ]; then - LINK_LAYER="-e" - else - LINK_LAYER="" - fi - if [ "$CONF"X = "X" ]; then - CONF="-c /etc/snort/snort.conf" - else - CONF="-c $CONF" - fi - if [ "$INTERFACE"X = "X" ]; then - INTERFACE="-i eth0" - PID_FILE="/var/run/snort_eth0.pid" - else - PID_FILE="/var/run/snort_$INTERFACE.pid" - INTERFACE="-i $INTERFACE" - fi - if [ "$DUMP_APP"X = "1X" ]; then - DUMP_APP="-d" - else - DUMP_APP="" - fi - if [ "$NO_PACKET_LOG"X = "1X" ]; then - NO_PACKET_LOG="-N" - else - NO_PACKET_LOG="" - fi - if [ "$PRINT_INTERFACE"X = "1X" ]; then
55
- PRINT_INTERFACE="-I" - else - PRINT_INTERFACE="" - fi - if [ "$PASS_FIRST"X = "1X" ]; then - PASS_FIRST="-o" - else - PASS_FIRST="" - fi - if [ "$LOGDIR"X = "X" ]; then - LOGDIR=/var/log/snort - fi - # These are used by the 'stats' option - if [ "$SYSLOG"X = "X" ]; then - SYSLOG=/var/log/messages - fi - if [ "$SECS"X = "X" ]; then - SECS=5 - fi - if [ ! "$BPFFILE"X = "X" ]; then - BPFFILE="-F $BPFFILE" - fi - runlevel=$(set -- $(runlevel); eval "echo \$$#" ) - start() - { - [ -x $SNORTD ] || exit 5 - echo -n $"Starting $prog: " - daemon --pidfile=$PID_FILE $SNORTD $LINK_LAYER
$DUMP_APP -e -D $PRINT_INTERFACE $INTERFACE -u $USER -g $GROUP $CONF && success || failure
- RETVAL=$? - [ $RETVAL -eq 0 ] && touch $lockfile
56
- echo - return $RETVAL - } - stop() - { - echo -n $"Stopping $prog: " - killproc $SNORTD - if [ -e $PID_FILE ]; then - chown -R $USER:$GROUP $PID_FILE && - rm -f $PID_FILE - fi - RETVAL=$? - # if we are in halt or reboot runlevel kill all running sessions - # so the TCP connections are closed cleanly - if [ "x$runlevel" = x0 -o "x$runlevel" = x6 ] ; then - trap '' TERM - killall $prog 2>/dev/null - trap TERM - fi - [ $RETVAL -eq 0 ] && rm -f $lockfile - echo - return $RETVAL - } - restart() { - stop - start - } - rh_status() { - status -p $PID_FILE $SNORTD - } - rh_status_q() { - rh_status >/dev/null 2>&1
57
- } - case "$1" in - start) - rh_status_q && exit 0 - start - ;; - stop) - if ! rh_status_q; then - rm -f $lockfile - exit 0 - fi - stop - ;; - restart) - restart - ;; - status) - rh_status - RETVAL=$? - if [ $RETVAL -eq 3 -a -f $lockfile ] ; then - RETVAL=2 - fi - ;; - *) - echo $"Usage: $0 {start|stop|restart|status}" - RETVAL=2 - esac - exit $RETVAL
11. ท าการสรางไฟลสครปชอ snort โดยสรางไวท /etc/sysconfigและตงคาไฟลนใหยส
เซอรเนมชอ snort สามารถเขยน อาน และรนไดแตเพยงผเดยว จากนนเขยน
รายละเอยดเหลานลงในไฟลสครป
- # /etc/sysconfig/snort
58
- # $Id: snort.sysconfig,v 1.8 2003/09/19 05:18:12 dwittenb Exp $
- #### General Configuration
- INTERFACE=eth0
- CONF=/etc/snort/snort.conf
- USER=snort
- GROUP=snort
- PASS_FIRST=0
- #### Logging & Alerting
- LOGDIR=/var/log/snort
- ALERTMODE=fast
- DUMP_APP=1
- BINARY_LOG=1
- NO_PACKET_LOG=0
- PRINT_INTERFACE=0
12. ท าการพมพค าสงนเพอใหโปรแกรมสนอรทนนท างานเมอเซรฟเวอรเรมท างาน - chkconfig --add snort
13. สรางโฟสเดอรส าหรบเกบบนทกการท างานของโปรแกรมสนอรท ซงท าการตงคาสทธและกลมใหยสเซอรสนอรทสามารถจดการไฟลใตโฟสเดอรนแตเพยงผเดยว โดยพมพค าสงดงน
- cd /var/log - mkdir snort - chmod 700 snort - chown -R snort:snort snort - cd /usr/local/lib - chown -R snort:snort snort* - chown -R snort:snort snort_dynamic* - chown -R snort:snort pkgconfig - chmod -R 700 snort* - chmod -R 700 pkgconfig - cd /usr/local/bin
59
- chown -R snort:snort daq-modules-config - chown -R snort:snort u2* - chmod -R 700 daq-modules-config - chmod 700 u2* - cd /etc - chown -R snort:snort snort - chmod -R 700 snort
14. ปรบตงคาในไฟล snor.conf ใหท าการบนทกไฟลบนทกในรปแบบ unified2 โดยท าการลบเครองหมาย # ออกจากบรรทดน
- output unified2: filename snort.u2, limit 500 15. ท าการทดสอบวาโปรแกรมสนอรทนนตดตงไดถกตองหรอไมโดยพมพค าสงดงน
- cd /usr/local/bin - ./snort -T -i eth0 -u snort -g snort -c /etc/snort/snort.conf
16. ผลจากการพมพค าสงในขอท 14 ตองเปนดงน - Snort successfully validated the configuration! - Snort exiting
60
ภำคผนวกข
กำรตดตงสครปพลพอรค (PulledPork)
61
ภำคผนวก ข กำรตดตงสครปพลพอรค (PulledPork)
วธกำรตดตงสครปพลพอรคมขนตอนดงน 1. ตดตงแพคเกจทจ าเปนตอการท างานพลพอรค โดยพมพค าสงดงน
- yum -y install perl-libwww-perl perl-Crypt-SSLeay perl-Archive-Tar 2. ดาวนโหลดไฟลซปของพลพารค โดยพมพค าสงดงน
- cd /usr/local/src - wget https://pulledpork.googlecode.com/files/pulledpork-0.7.0.tar.gz - tar -zxf pulledpork-0.7.0.tar.gz - cd pulledpork--0.7.0 - cp pulledpork.pl /usr/sbin ; chmod 755 /usr/sbin/pulledpork.pl - cp etc/* /etc/snort/
3. ท าการสรางรหสทชอ Oinkcode ซงเปนรหสสวนตวของผใชสนอรทแตละทใชในการดาวนโหลดซกเนเจอรจากเวบไซตสนอรท โดยมขนตอนดงน
- ลอคอนทเวบไซตwww.snort.org - คลกชอเมลทสมครตรงดานขวาของหนาแรกของเวบไซต - คลกเมนดานซายของหนาปจจบนทชอ Oinkcode - ท าการคดลอกรหส ทอยใตหวขอ Oinkcode ทอยตรงกลางหนาปจจบน - ท าการแกไขไฟล pulledpork.conf ทอยท /etc/snort ตรงบรรทดท
rule_url=https://www.snort.org/reg-rules/|snortrules-snapshot.tar.gz|
- ท าการวาง Oinkcode ตอทายบรรทดนน 4. ปรบแตงคาตางๆในไฟล pulledpork.confโดยท าการลบ # และตงคาดงน
- snort_path=/usr/sbin/snort - rule_path=/etc/snort/rules/snort.rules - out_path=/etc/snort/rules/ - local_rules=/etc/snort/rules/local.rules - config_path=/etc/snort/snort.conf - sorule_path=/usr/local/lib/snort_dynamicrules/ - sid_changelog=/var/log/sid_changes.log - sid_msg_version=2 - ignore=deleted.rules,experimental.rules,local.rules
62
- sid_msg=/etc/snort/sid-msg.map - /etc/snort/snort.conf - distro=Centos-7-0 - black_list=/etc/snort/rules/blacklist.rules - #IPRVersion=/usr/local/etc/snort/rules/iplists - snort_control=/usr/bin/snort_control - enablesid=/etc/snort/enablesid.conf - dropsid=/etc/snort/dropsid.conf - disablesid=/etc/snort/disablesid.conf - modifysid=/etc/snort/modifysid.conf
5. ตงคาใหพลพอรคอพเดทซกเนเจอรของสนอรททกวน โดยพมพค าสงดงน - vi /etc/crontab - 0 0 * * * root /usr/sbin/pulledpork.pl -c /etc/snort/pulledpork.conf
63
ภำคผนวกค กำรตดตงบำรนยำค 2(Barnyard2)
64
ภำคผนวกค
กำรตดตงบำรนยำค 2(Barnyard2)
วธกำรตดตงบำรนยำค 2 มขนตอนดงน 1. ท าการตดตง MySQL โดยพมพค าสงดงน
- yum install mysql mysql-devel git libtool –y 2. ดาวนโหลดบารนยาค 2 และท าการรนสครปของบารนยาค 2 โดยพมพค าสงดงน
- cd /usr/local/src/ - git clone https://github.com/firnsy/barnyard2.git barnyard2 - cd barnyard2 - ./autogen.sh
3. ตงคาและตดตงบารนยาค 2 โดยพมพค าสงดงน - ./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql - make - make install
4. ตงคาใหบารนยาค 2 ท างานตงแตเซรฟเวอรเปดเครอง - cp rpm/barnyard2 /etc/init.d/ - chmod +x /etc/init.d/barnyard2 - cp rpm/barnyard2.config /etc/sysconfig/barnyard2 - chkconfig --add barnyard2
5. สรางชอรคคตและสรางทเกบบนทกการท างานของบารนยาค 2 โดยพมพค าสงดงน - ln -s /usr/local/etc/barnyard2.conf /etc/snort/barnyard.conf - ln -s /usr/local/bin/barnyard2 /usr/bin/ - mkdir /var/log/snort/eth0/archive/
6. แกไขคาในไฟล barnyard2 ทอยท /etc/init.d/ ดงน - BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR/${INT} -w
$WALDO_FILE -l $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS"
7. ปรบแตงคาในสวนของบนทกการท างานของ sysconfig ของบารนยาค 2ใหท าการดงไฟลบนทกของสนอรดไดถกตองโดยท าการแกไขท /etc/sysconfig/barnyard2 ทบรรทดขางลางน
65
- LOG_FILE=”snort.u2″ 8. ปรบแตงไฟลชอ barnyard.confทอยท /etc/snort/ ใหเอาทพตของสนอบายใสลงไป
ในฐานขอมลของสนอบายไดโดยการลบ # และแกไขดงน - output database: log, mysql, user=root password=<พาสเวรด
dbname=snorby host=localhost - config logdir: /var/log/barnyard2 - config hostname: <ip or url> - config interface: <network interface> - config daemon - config waldo_file: /var/log/snort/barnyard2.waldo - input unified2 - output alert_full
9. เขยนเชลสครปท /root โดยใชชอ script.sh เพอใหบารนยาค 2ท างานไดถกตองโดยมเนอหาดงน
- #!/bin/bash - /usr/local/bin/barnyard2 -c /usr/local/etc/barnyard2.conf -d
/var/log/snort -w /var/log/snort/barnyard2.waldo -f snort.u2 -a /var/log/snort/enp2s0/archive
- sleep 300 - cd /var/www/html/snorby/ - ruby script/delayed_job start RAILS_ENV=production
10. ตงเวลา crontab ใหเซรฟเวอรรนสครปนทกครงทเซรฟเวอรเรมท างานเพอใหบารนยาค 2ท างานไดถกตองนนกคอท าการแปลงบนทกของสนอรดไปใสในฐานขอมลของสนอบายโดยพมพค าสงดงน
- Crontab –e - @reboot sleep 300;bash /root/script.sh
66
ภำคผนวกง กำรตดตงสนอบำย (Snorby)
67
ภำคผนวกง กำรตดตงสนอบำย (Snorby)
วธกำรตดตงสนอบำยมขนตอนดงน
1. ตดตงแพคเกจทจ าเปนตอการท างานสนอบาย โดยพมพค าสงดงน - yum install gcc g++ make automake autoconf curl-devel openssl-devel
zlib-devel httpd-devel apr-devel apr-util-devel sqlite-devel libyaml-devel httpd git ImageMagick ImageMagick-devel libxml2-devel libxslt-devel
gcc-c++ curl-devel git 2. ตดตงและตงคา Rubyโดยจะใช Ruby Version Manager (RVM) ในการตดตง โดย
พมพค าสงดงน - curl -L get.rvm.io | bash -s stable - source /etc/profile.d/rvm.sh - rvm requirements - rvm install 1.9.3 - rvm use 1.9.3 –default
3. ท าการตดตง Rails ซงเปนเฟรมเวอรคทชวยในการท าเวบไซตดวยภาษา Ruby โดยพมพค าสงดงน
- gem update - gem update --system - gem install rails - gem install memcache-client text-format bundler sqlite3-ruby
4. ตดตงโมดล Passenger เพอใชในการแสดงผลขอมลทเขยนดวยภาษา Ruby บนเวบเซรฟเวอรและแอพพลเคชนเซรฟเวอร โดยพมพค าสงดงน
- gem install passenger - cd /usr/local/lib/ruby/gems/1.9.1/gems/passenger-4.0.35/bin - ./passenger-install-apache2-module
5. ปรบตงคา httpd.conf ของ apache ใหท างานรวมกบโมดล passenger ไดท /etc/httpd/httpd.conf โดยท าการเพมบรรทดขางลางน กอนบรรทด<VirtualHost *:80>
- LoadModule passenger_module /usr/local/rvm/gems/ruby-1.9.3-p547/gems/passenger-4.0.53/buildout/apache2/mod_passenger.so
68
- <IfModule mod_passenger.c> - PassengerRoot /usr/local/rvm/gems/ruby-1.9.3-
p547/gems/passenger-4.0.53 - PassengerDefaultRuby /usr/local/rvm/gems/ruby-1.9.3-
p547/wrappers/ruby - </IfModule>
6. ตดตงเครองมอทชอ wkhtmltopdfซงเปนเครองมอทแปลงขอมลในรปแบบ html ไปเปน PDF ซงใชในการรายงานการตรวจจบการบกรกทสงไปยงเมลของผดแลระบบได โดยพมพค าสงดงน
- wget http://wkhtmltopdf.googlecode.com/files/wkhtmltopdf-0.9.9-static-amd64.tar.bz2
- tar jxvf wkhtmltopdf-0.9.9-static-amd64.tar.bz2 - mv wkhtmltopdf-amd64 /usr/local/bin/wkhtmltopdf - chown root:root /usr/local/bin/wkhtmltopdf
7. ตดตงและตงคา apache ซงเปนเวบเซรฟเวอรทสนอบายใชในการท างานใหท างานไดตงแตเซรฟเวอรเรมท างาน
- yum -y install httpd - chkconfig --add httpd - chkconfig httpd on
8. ท าการตดตงสนอบาย โดยพมพค าสงดงน - cd /var/www/html/ - git clone git://github.com/Snorby/snorby.git - cd snorby - gem install bundler - bundle install - cd config - cp database.yml.example database.yml - cp snorby_config.yml.example snorby_config.yml - chown -R apache:apache /var/www/html/snorby - vi database.yml - vi snorby_config.yml - Domain: localhost:3000
69
- bundle exec rake snorby:setup - bundle exec rails server -e production
9. ปรบแตงคาใหสนอบายท าการสงรายงานไปยงผดแลระบบตามเมลและเวลาทถกตองโดยท าการแกไขไฟล report_mailer.rb ท /var/www/html/snorby/appmailers/ โดยแกไขทบรรทดนของการสงรายงานในแตละวน สปดาหและ ป
- def <daily/monthly/yearly>_report(email="<เมลทตองการสง>", timezone="Asia/Bangkok")
10. ปรบแตงคาของโมดลการท างานของเมลทสนอบายใชทไฟลชอ mail_config.rb ท /var/www/html/snorby/config/initializers/ ใหสามารถสงรายงานไปยงเมลผดแลระบบได โดยท าการลบ # และปรบแตงคาดงน
- ActionMailer::Base.delivery_method = :smtp - ActionMailer::Base.smtp_settings = { - :address => "10.4.1.29", - :port => 25, - :domain => "th-venda", - :user_name => "jutt", - :password => "hpHH9qsZ", - :authentication => "login", - :enable_starttls_auto => true - } - - # # - # Sendmail Example: - # - # ActionMailer::Base.delivery_method = :sendmail - # ActionMailer::Base.sendmail_settings = { - # :location => '/usr/sbin/sendmail', - # :arguments => '-i -t' - # } - - ActionMailer::Base.perform_deliveries = true
70
- ActionMailer::Base.raise_delivery_errors = true 11. เขยนเชลสครปค าสงเพอใหสนอบายท าการสงรายงานใหผดแลทกวน สปดาหและ
เดอน โดยเขยนในชอ script_d.sh, script_w.sh และ script_m.sh ท /root ตามล าดบโดยเนอหาในสครปทงสามอนมดงน
- #!/bin/bash - cd /var/www/html/snorby - rails r "ReportMailer.daily_report.deliver"
12. ตง crontab เพอใหสครปในขอท 11 ท างานตามวนเวลาทตองการ โดยพมพค าสงดงน
- Crontab –e - 0 11 * * Tue-Sat bash /root/script_d.sh - 0 11 * * Fri bash /root/script_w.sh - 0 11 28 * * bash /root/script_m.sh
13. เรมตนการท างานของ apache โดยพมพค าสง - Service httpd start
top related