Information system security wk7-2-ids-ips_2

IT346 Information System Security
Week 7-2: IDS/IPS (2)
อ.พงษ์ศกดิ์ ไผ่แดง
ั

Faculty of Information Technology

Page

1

การโจมตีที่มกถูกรายงานโดย IDS
ั





Scanning Attack
Denial of Service Attacks
Penetration Attacks
Remote vs. Local Attacks


Page

2

Scanning Attack
 Scanning attack เป็ น การทดสอบว่าใช้งานอะไรได้บาง ซึ่งทาได้โดยการ
้

่
ส่งแพ็กเก็ตประเภทต่างๆ ไปยังระบบ เพื่อหยังเชิง (probing)
‣ เมื่อ probe packets ถูกส่งไปถึงระบบเปาหมาย ระบบจะทาการตอบกลับ
้
‣ ข้อมูลที่ได้จากแพ็กเก็ตที่ตอบกลับมาจากการสแกนนัน จะใช้เป็ นข้อมูล
้

สาหรับเรียนรูคุณสมบัติเฉพาะของระบบ และจุดอ่อนหรือช่องโหว่
้
‣ Scanning attack เป็ นหนทางในการระบุเหยื่ อของการโจมตี
 ประเภทของการสแกน
‣ Network scanners
‣ Port scanners
‣ Vulnerability scanners


Page

3

Scanning Attack
 ข้อมูลที่อาจได้จากการสแกน
‣ Topology ของเครือข่ายที่จะโจมตี
‣ ประเภทของ traffic ที่อนุ ญาตให้
ผ่าน Firewall
‣ Host ที่เปิ ดใช้งานอยู่
‣ ประเภทและเวอร์ชนของ OS ที่ host ใช้
ั
‣ Software ที่รนบน server
ั
‣ Version ของ software


Page

4

Denial of Service Attack
 DoS เป็ นการพยายามที่จะทาให้ระบบที่เป็ นเปาหมายทางานช้าลงหรือ
้

ถึงกับให้บริการไม่ได้เลย
 DoS แบ่งออกได้เป็ น 2 ประเภท
‣ การโจมตีช่องโหว่
(Flaw Exploitation DoS Attack)
‣ การโจมตีแบบฟลัดดิ่ง
(Flooding DoS Attack)


Page

5

Flaw Exploitation DoS Attack
 เป็ นการโจมตี ช่องโหว่ของระบบ เพื่อให้เกิดข้อผิ ดพลาด หรือทาให้

resource ของระบบถูกใช้งานจนหมด ตัวอย่างเช่น
‣ Ping of Death เป็ นการปิ งที่ส่งแพ็กเก็ตขนาดใหญ่มากไปยังระบบที่เป็ น

วินโดวส์บางเวอร์ชน ทาให้ระบบที่ถกโจมตีไม่สามารถจัดการกับแพ็กเก็ตที่
ั
ู
ผิ ดปกติได้ ทาให้ระบบล่มในที่สุด
 ผลของการโจมตีคือ ทาให้ resource ของระบบถูกใช้งานหมดไป
 Resource อาจหมายถึง CPU, memory, hard drive, buffer, bandwidth
 วิธีการปองกันคือ การปิ ดช่องโหว่หรืออัพเกรดซอฟต์แวร์
้


Page

6

Flooding DoS Attack
 เป็ นการโจมตี โดยการส่งข้อมูลไปยังระบบหรือส่วนของระบบเกินกว่าที่

ระบบจะรับไหว บางครัง ผูบกรุกไม่สามารถส่งข้อมูลเกินกว่าที่ระบบจะรับ
้ ้ ุ
ได้ แต่อาจใช้แบนด์วิดธ์ของเครือข่ายนันหมดไป ทาให้ผูใช้อื่นไม่สามารถ
้
้
ใช้ได้
 การโจมตีแบบแยกกระจาย (Distributed DoS)
‣ เป็ นซับเซตของ DoS หมายถึง

การโจมตีที่ผูโจมตีนนใช้คอมพิวเตอร์
้
ั้
หลายๆ เครื่อง ในการโจมตีเปาหมายเดียว
้
โดยคอมพิวเตอร์ท่ีใช้โจมตีนนจะถูก
ั้
ควบคุมจากศูนย์กลาง โดยมี
เครื่องคอมพิวเตอร์ของผูบุกรุก
้
เป็ นเครื่องควบคุม

Page

7

Penetration Attacks
 ผูโจมตี สามารถเข้ามาในระบบ และควบคุมระบบได้โดยที่ ไม่ได้รบอนุ ญาต
้
ั

เช่น สามารถเปลี่ ยนแปลงสิ ทธิ์การใช้งาน resource และ ข้อมูลการตังค่า
้
ข้อมูลสถานะ และข้อมูลอื่นๆที่อยู่ในระบบ
‣ โดยส่วนใหญ่ ผูโจมตีใช้ประโยชน์จากช่องโหว่ของระบบ หรือข้อผิ ดพลาดใน
้

ซอฟท์แวร์ของระบบ ซึ่งทาให้ผูโจมตีสามารถเข้าใช้งาน หรือติดตังไวรัส
้
้
หรือมัลแวร์ประเภทอื่นในระบบได้
 การโจมตี แบบนี้ เป็ นการโจมตี โดยการหลี กเลี่ ยงหรือฝ่ าฝื นระบบควบคุม

การเข้าถึง และเป็ นการทาลายความคงสภาพ (Integrity) ของระบบ


Page

8

Remote vs. Local Attacks
 การโจมตีแบบ DoS และการโจมตี แบบเจาะเข้าระบบ มีแหล่งที่มาของการ

โจมตี 2 แหล่ง
‣ Authorized User Attacks : เกิดจากบุคคลภายใน
‣ Public User Attacks: เกิดจากบุคคลภายนอกหรือผูใช้ทวไป
้ ั่


Page

9

IDS Principles
 สมมติว่าพฤติกรรมของผูบกรุก แตกต่างจากพฤติกรรมของผูใช้
้ ุ
้
 พฤติ กรรมคาบเกี่ยวบางส่วนอาจก่อให้เกิดปั ญหาได้
‣ False positives: ผูใช้ตามสิทธิ์ถกระบุเป็ นผูบุกรุก
้
ู
้
‣ False negatives:ผูบุกรุกถูกมองเป็ นผูใช้ตามสิทธิ์
้
้


Page

10

การแจ้งเตือน
 เมื่อมีการแจ้งเตื อนจากระบบ IDS การแจ้งเตือนนันอาจถูกต้องหรือไม่
้

ถูกต้อง ขึ้นอยู่กบความแม่นยาในการตรวจจับของระบบ
ั
 การแจ้งเตือนทีถูกต้อง
่
‣ True Positive:

มีการแจ้งเตือนว่ามีการบุกรุกเกิดขึ้น และมีการบุกรุกเกิดขึ้นจริง
‣ True Negative:
ไม่มีการแจ้งเตือนว่ามีการบุกรุก และไม่มีการบุกรุกเกิดขึ้นจริง
 การแจ้งเตือนทีผิดพลาด
่
‣ False Positive:
มีการแจ้งเตือนว่ามีการบุกรุกเกิดขึ้น แต่ไม่มีการบุกรุกเกิดขึ้น
‣ False Negative:
ไม่มีการแจ้งเตือนว่ามีการบุกรุก แต่มีการบุกรุกเกิดขึ้น

Page

11

การวิเคราะห์และตรวจจับการบุกรุก
 IDS สามารถแบ่งตามหลักในการวิเคราะห์เพื่อตรวจจับการโจมตี แบ่ง

ได้เป็ น 2 ประเภท
‣ การตรวจจับการใช้งานในทางที่ผิด (Misuse Detection)
‣ การตรวจจับเหตุการณ์ผิดปกติ (Anomaly Detection)

12

Page

Misuse Detection
 การตรวจจับการใช้งานในทางทีผิด (Misuse Detection)
่
‣ การวิเคราะห์เหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ เพื่อค้นหาเหตุการณ์ที่ตรงกับ
เหตุการณ์ท่ีกาหนดไว้ว่าเป็ นการโจมตี
‣ ข้อมูลที่กาหนดว่าเป็ นการโจมตีเรียกว่า signature บางทีทาให้เรียกการ
ตรวจจับวิธีน้ ี ว่า signature-based detection

x90x90x90x90

IDS

signature


ALERT

Command:
(x90)+

Page

13

ข้อดีของ Misuse detection
 เป็ นการตรวจจับการบุกรุกที่มีประสิ ทธิภาพ เนื่ องจากไม่แจ้งเตื อนที่ผิด

บ่อยครังเกินไป (False Positive)
้
 สามารถวิเคราะห์ได้ง่ายว่าผูบกรุกใช้เครื่องมืออะไรในการบุกรุก ทาให้
้ ุ
ผูดแลระบบสามารถเลื อกใช้เครื่องมือเพื่อแก้ไข ปองกัน และตอบโต้ได้
้ ู
้
ทัน
 ช่วยอานวยความสะดวกให้กบผูบริหารระบบสามารถระบุปัญหาหรือ
ั ้
จุดอ่อนของระบบ และเริ่มกระบวนการเพื่อแก้ไขและปองกันเหตุการณ์
้
ดังกล่าว โดยที่ผูบริหารระบบไม่จาเป็ นต้องมีความรูความชานาญทางการ
้
้
รักษาความปลอดภัยมากนัก


Page

14

ข้อเสียของ Misuse detection
 สามารถตรวจจับได้เฉพาะการบุกรุกที่ IDS รูจกเท่านัน ดังนัน เพื่อให้วิธีน้ ี
้ ั
้
้

ได้ผลก็จาเป็ นต้องมีการอัพเดต signature เป็ นประจา
 ส่วนใหญ่จะถูกออกแบบให้รจกบาง signature ต่อหนึ่ งการโจมตี เท่านัน
ู้ ั
้
ซึ่งเป็ นการยากที่จะตรวจจับการโจมตีเดียวกันแต่ดวยวิธีท่ีแตกต่าง
้


Page

15

Anomaly Detection
 เป็ นการวิเคราะห์และรายงานสิ่ งที่ผิดปกติ ท่ี เกิดขึ้ นกับระบบเครือข่าย
 แนวคิ ดการตรวจจับแบบนี้ ตงอยู่บนสมมติ ฐานที่ว่า การโจมตีคอ การกระทา
ั้
ื

ทีไม่ถือว่าเป็ นการทางานปกติ
่
 IDS จะมีขอมูลที่ระบุว่าเป็ นพฤติ กรรมที่ถือว่าเป็ นสิ่ งปกติ ของ user, host
้
และ traffic ของเครือข่าย ซึ่งข้อมูลนี้ จะเก็บรวบรวมในช่วงเวลาที่การทางาน
ปกติของระบบเครือข่าย แล้ว IDS จะใช้เทคนิ คการมอนิ เตอร์แบบต่างๆ
เพื่อวิเคราะห์และแยกแยะว่าเหตุการณ์ใดที่ผิดปกติ


Page

16

Anomaly Detection
GET / HTTP/1.0

IDS

(1) Training models
Models
Model

Unknown pattern

IDS

ALERT

(2) Detect abnormal pattern
Models
Model


Page

17

Anomaly Detection
 เทคนิ คการตรวจจับสิ่ งที่ผิดปกติ
‣ Threshold detection เป็ นการนับจานวนครังของบางเหตุการณ์ที่เกิดขึ้ น และ
้
เปรียบเทียบกับจานวนที่ถือว่าอยู่ในระดับที่ปกติ ค่านี้ อาจะเป็ นค่าคงที่หรืออาจ
เปลี่ยนแปลงได้เพื่อให้เหมาะสมกับระบบ
‣ Statistical Measure คือ การวัดค่าความกระจายของคุณสมบัติของ profile
โดยเทียบเคียงกับค่าคงที่ที่กาหนดขึ้นเอง หรือเทียบกับค่าที่ได้วดจากในอดีต
ั
‣ Rule-based measure คือ ข้อมูลที่ได้จากการสังเกตจากเหตุการณ์ปกติ แต่
เป็ นข้อมูลที่เป็ นกฎ ไม่ใช่จานวนตัวเลข
‣ การวัดโดยใช้โมเดลแบบอื่น เช่น neural network, genetic algorithm,
immune system


Page

18

ข้อดีของ Anomaly Detection
 เทคนิ คนี้ จะตรวจพบพฤติ กรรมที่ผิดปกติ และสามารถตรวจพบเหตุการณ์

ที่อาจเป็ นการบุกรุกโดยไม่ตองมีความรูเ้ กี่ยวกับการโจมตีนนๆ
้
ั้
 สามารถเก็บข้อมูลที่ใช้สาหรับสร้าง signature สาหรับ IDS แบบ
signature-based detection


Page

19

ข้อเสียของ Anomaly Detection
 การตรวจจับแบบนี้ ส่วนใหญ่จะแจ้งเตื อนผิ ดเป็ นประจา เนื่ องจาก

พฤติกรรมของผูใช้ หรือเครือข่าย บางทีไม่สามารถคาดเดาได้
้
 การตรวจจับวิธีน้ ี จะต้องอาศัยการศึกษาอย่างละเอียดของเหตุการณ์ต่างๆ
ที่เกิดขึ้ นในเครือข่ายหรือระบบ เพื่อที่จะสามารถแยกแยะได้ว่าเหตุการณ์
ใดคือเหตุการณ์ปกติหรือไม่ปกติ


Page

20

รายงานการแจ้งเตือน
 ส่วนใหญ่ IDS จะเก็บรายละเอี ยดเกี่ยวกับการโจมตี หรือสิ่ งผิ ดปกติ โดย

สรุปเป็ นข้อความสันๆ ภายใน 1 บรรทัด
้
 ข้อมูลที่รายงาน อาจมีดงนี้
ั
‣ วัน เวลา
‣ IP ของ IDS ที่รายงาน
‣ ชื่ อของการโจมตี
‣ Source and destination address
‣ Source and destination ports
‣ ชื่ อโปรโตคอลที่ใช้สาหรับการโจมตี


Page

21

การรายงานแจ้งเตือนภัย
 IDS จะรายงานเฉพาะสิ่ งที่กาหนดให้รายงานเท่านัน
้
 สิ่ งที่ผูดแลต้อง configure ให้ IDS
้ ู
‣ Signature ของการบุกรุก
‣ เหตุการณ์ที่ผูดแลระบบให้ความสาคัญ หรือเหตุการณ์ที่คาดว่าจะเป็ นผลไปสู่
้ ู
การบุกรุกในภายหน้า
 เมื่อ IDS ได้ configure แล้ว เหตุการณ์ที่รายงานจะแบ่งได้
‣ การสารวจเครือข่าย
‣ การโจมตี
‣ เหตุการณ์ท่ีน่าสงสัยหรือผิ ดปกติ

Page

22

การสารวจเครือข่าย






IP Scans
Port Scans
Trojan Scans
Vulnerability Scans
File Snooping


Page

23

การโจมตี
 การโจมตีเครือข่ายควรมีการลาดับความสาคัญหรือความรุนแรง
‣ เมื่อ IDS รายงานเหตุการณ์ที่มีความรุนแรงสูง ผูดแลระบบต้องตอบสนองกับ
้ ู
เหตุการณ์นนทันที เพื่อปองกันความเสียหายไปมากกว่านี้
ั้
้
 เหตุการณ์อื่นที่ผิดปกติ และไม่ได้จดอยู่ในประเภททังสองก่อนหน้านี้ ถื อ
ั
้

ว่าเป็ นเหตุการณ์ที่น่าสงสัยว่าอาจจะมีการโจมตีเครือข่ายเกิดขึ้ น


Page

24

การออกแบบและติดตัง IDS
้
 การติดตัง IDS จาเป็ นที่ตองมีการวางแผนอย่างรอบคอบ การเตรียมการที่
้
้

ดี การทดลองใช้ก่อนใช้งาน และ การฝึ กอบรมผูดแลระบบให้มีความ
้ ู
ชานาญ
 ก่อนติดตังและใช้งาน ควรมีการสารวจความต้องการ ศึกษาวิธีในการ
้
ตรวจจับการบุกรุก แล้วค่อยเลื อกวิธีที่เหมาะสมกับโครงสร้างเครือข่าย
ขององค์กรและนโยบายรักษาความปลอดภัย
 องค์กรควรเลื อกใช้ทง host-based และ network-based IDS รวมทังมี
ั้
้

การใช้ honeypot ด้วย


Page

25

การเชื่อมต่อ IDS เข้ากับเครือข่าย





รูปแบบการเชื่อมต่อ IDS ที่เป็ นที่นิยม ได้แก่
Port Mirroring
Hub
Taps


Page

26

Port Mirroring
 ปั จจุบนสวิทซ์ส่วนใหญ่สามารถทา port mirroring หรือ spanning port
ั

คือ การที่สวิตซ์จะส่งต่อทุกแพ็กเก็ตที่รบจากพอร์ตหนึ่ งไปยังอีกพอร์ต
ั
หนึ่ ง


Page

27

ข้อดีของ Port Mirroring
 ง่ายต่อการติ ดตัง เนื่ องจาก เชื่ อมต่อ IDS เข้ากับพอร์ตของสวิตซ์โดยที่ไม่
้

ต้องเปลี่ ยนแปลงโครงสร้างของเครือข่าย
 ไม่มีผลกระทบต่อการยกเลิ ก session และการ config ไฟร์วอลล์


Page

28

ข้อเสียของ Port Mirroring
 ทา port mirroring ได้แบบพอร์ตต่อพอร์ตเท่านัน การทา port mirroring
้







จากหลายๆ พอร์ตมาพอร์ตเดียว อาจทาให้ port mirroring ไม่สามารถ
รองรับแพ็กเก็ตได้
ถ้าไม่ซ่อน IDS ตัว IDS อาจถูกโจมตีเองได้ การซ่อน IDS จะใช้เทคนิ คที่
เรียกว่า Stealth mode
ประสิทธิภาพของสวิตซ์ลดลง
แพ็กเก็ตจะวิ่งทางเดียว คือ จากพอร์ตที่ถกมอนิ เตอร์ไปยังพอร์ตของ IDS
ู
จึงไม่สามารถยกเลิกเซสชันได้
สวิตซ์จะส่งเฉพาะแพ็กเก็ตที่สมบูรณ์เท่านัน แต่แพ็กเก็ตที่เล็ กหรือใหญ่
้
เกินไปอาจมีขอมูลที่สาคัญสาหรับการวิเคราะห์การบุกรุกได้
้
การบริหาร IDS จะต้องติดตังฮาร์ดแวร์เพิ่มเติม
้


Page

29

Hub
 Hub จะส่งต่อแพ็กเก็ตที่ได้รบ ไปยังทุกๆ พอร์ตที่เหลื อ
ั
 โดยปกติ วิธีน้ ี จะไม่นิยมใช้


Page

30

ข้อดีของ Hub





ง่ายต่อการ config เนื่ องจากไม่ตองใช้ความรูพิเศษในการ config
้
้
การบริหาร IDS อาจไม่จาเป็ นต้องใช้ฮาร์ดแวร์เพิ่มเติม
ไม่มีผลกระทบต่อการยกเลิ ก session และการ config ไฟร์วอลล์
Hub ขนาดเล็กมักมีราคาถูก


Page

31

ข้อเสียของ Hub
 เนื่ องจากคุณสมบัติของ Hub เราไม่สามารถใช้การเชื่ อมต่อแบบนี้ ถ้าลิ งค์

ระหว่าง router กับ switch เป็ นแบบ full duplex การใช้ Hub จะทาให้
กลายเป็ นแบบ half duplex ซึ่งเป็ นการลดประสิ ทธิภาพของเครือข่าย
 ถ้าเราบริหาร IDS ผ่าน Hub ตัวเดียวกัน ทราฟิ กของการบริหาร IDS อาจ
ทาให้เพิ่ม collision ใน Hub ซึ่งเป็ นการลดประสิ ทธิภาพของเครือข่ายลง
อีก
 Hub แม้มีราคาถูก แต่เสี ยง่าย


Page

32

Taps
 ข้อเสี ยของสองวิธีแรกคือ ทาให้ประสิ ทธิภาพของเครือข่ายลดลง และการ

ทา port mirroring สวิตซ์จะไม่ส่งต่อแพ็กเก็ตที่มีขอผิ ดพลาดในตัว เช่น
้
แพ็กเก็ตขนาดเล็กหรือใหญ่เกินไป

 ใช้ Tap ในการแก้ปัญหานี้ ได้
 Tap คื อ อุปกรณ์ที่ทาหน้าที่คล้ายๆ Hub แต่ tap เป็ นอุปกรณ์ที่ทนต่อ

ข้อผิ ดพลาด (Fault Tolerance) คือ การเชื่อมต่อจะเป็ นแบบถาวร
(hardwired) ระหว่าง 2 พอร์ตหลัก ถ้าไฟดับ ลิ งค์ระหว่าง 2 พอร์ตหลักก็
จะสามารถใช้งานได้


Page

33

Tap


Page

34

ข้อดีของ Tap







เป็ นอุปกรณ์ท่ีทนต่อความผิ ดพลาด
ไม่มีผลกระทบต่อการไหลของทราฟิ ก
ไม่ทาให้โครงสร้างของเครือข่ายเปลี่ ยนไป
ปองกันการเชื่อมต่อโดยตรงจากเครือข่าย
้
ไม่ทาให้ประสิทธิภาพของเครือข่ายลดลง
สามารถมอนิ เตอร์แพ็กเก็ตที่ผิดปกติได้


Page

35

ข้อเสียของ Tap
 Tap มีราคาแพง
 การสิ้ นสุดเซสชันอาจต้องมีการคอนฟิ กเพิ่ม
 IDS ต้องทางานใน stealth mode เท่านัน
้


Page

36

Information system security wk7-2-ids-ips_2

Recommended

Recommended

More Related Content

Similar to Information system security wk7-2-ids-ips_2

Similar to Information system security wk7-2-ids-ips_2 (8)

More from Bee Lalita

More from Bee Lalita (14)

Recently uploaded

Recently uploaded (8)

Information system security wk7-2-ids-ips_2