Information system security wk7-1-ids-ips

IT346 Information System Security
Week 7-1: IDS/IPS (1)
อ.พงษ์ศกดิ์ ไผ่แดง
ั

Faculty of Information Technology

Page

1

Intrusion
 Intrusion (การบุกรุก)
่
่
‣ เหตุการณ์ดานความมันคง หรือกลุ่มของเหตุการณ์ดานความมันคงที่ก่อให้เกิด
้
้
อุบติการณ์ (incident) ที่ผูบุกรุกได้รบอนุ ญาต หรือพยายามให้ได้รบอนุ ญาต
ั
้
ั
ั
เข้ามาในระบบ (หรือเข้าถึงทรัพยากรของระบบ) โดยไม่ได้รบสิทธิ์ที่ถกต้อง
ั
ู
 Intrusion Detection (การตรวจจับการบุกรุก)
่
‣ บริการด้านความมันคง (Security Service) ที่ตรวจตรา (monitor) และ
วิเคราะห์เหตุการณ์ในระบบ เพื่อที่จะค้นหา และแจ้งเตือนแบบ real-time หรือ
ใกล้เคียง real-time เมื่อมีความพยายามที่จะเข้าถึงทรัพยากรของระบบ โดย
ไม่ได้รบสิทธิ์ที่ถกต้อง
ั
ู


Page

2

IDS
 ระบบตรวจจับการบุกรุก (Intrusion Detection System: IDS) เป็ น







เครื่องมือสาหรับการรักษาความปลอดภัยที่ใช้สาหรับตรวจจับความ
พยายามที่จะบุกรุกเครือข่าย โดยระบบจะแจ้งเตือนผูดแลระบบเมื่อมีการ
้ ู
บุกรุกหรือมีการพยายามที่จะบุกรุกเครือข่าย
IDS ไม่ใช่ระบบที่ปองกันการบุกรุก แต่เป็ นระบบที่คอยแจ้งเตือนภัย
้
เท่านัน
้
หน้าที่หลักของ IDS คือ แจ้งเตือนการเข้าใช้เครือข่ายที่ผิดปกติ
ในการออกแบบ IDS นัน เหตุการณ์ใดคือสิ่ งผิ ดปกติ นันเป็ นประเด็ น
้
้
สาคัญ
แต่ IDS ไม่สามารถปองกันการบุกรุกได้โดยทันทีแบบ Real time เช่น
้
การโจมตีแบบ DoS
ระบบปองกันการโจมตี =Intrusion Protection System: (IPS)
้


Page

3

IPS
 IPS สามารถตรวจจับการบุกรุกและหยุดการบุกรุกได้ทนที
ั
 IPS มีการใช้เทคโนโลยี ขนสูงในการวิเคราะห์ขอมูล เช่น Neural
ั้
้

Network, Fuzzy Logic ซึ่งจะทาให้ลดปั ญหาการแจ้งเตือนที่ผิดพลาดลง
ได้อย่างมาก และทาให้ IPS บางรุ่น สามารถปองกันการโจมตีแบบ DDoS
้
ได้ดวย
้
 การทางานของ IPS จะใช้หลักการที่เรียกว่า Inline หรือ Gateway IDS คือ
มีการนา IPS ไปกันกลางบนเส้นทางการส่งข้อมูล โดยไม่ตองมีการ
้
้
กาหนด IP Address ให้กบ IPS
ั
‣ ปั ญหาเกิด ถ้า IPS เสีย
‣ ถ้า IPS ตัดสินใจผิ ด


Page

4

Honeypot
 Honeypot มักใช้ร่วมกับ IDS/IPS ในการดักจับการบุกรุก
 Honeypot หรือเปาหมายลวง ซึ่งหมายถึ ง เครื่องเซิรฟเวอร์ที่เราปล่อยให้
้
์

มีช่องโหว่ เพื่อลวงให้แฮกเกอร์เข้ามาเจาะระบบ ทาให้เราได้เรียนรูวิธีการ
้
เจาะระบบของแฮกเกอร์อย่างละเอียด อาจจะตรวจสอบจนสื บหาตัวได้
ก่อนที่จะเจาะระบบจริง
 ปกติ Honeypot จะใช้ความสามารถ “stealth logging” ของระบบในการ
บันทึกหลักฐานเพื่อใช้ในการสื บจับแฮกเกอร์
 ข้อมูลเพิ่มเติ ม http://project.honeynet.org


Page

5

Vulnerability Analysis
 เครืองมือสาหรับวิเคราะห์จุดอ่อน (Vulnerability Analysis) บางทีเรียกว่า
่

เครืองมือประเมินจุดอ่อน (Vulnerability Assessment) เป็ นเครื่องมือที่ใช้
่
ทดสอบว่า โฮสต์หรือเครือข่ายมีจุดอ่อนหรือช่องโหว่ที่อาจถูกโจมตี
หรือไม่
 การวิเคราะห์หาจุดอ่อนของระบบนันเป็ นสิ่ งที่สาคัญของการรักษาความ
้
ปลอดภัยในเครือข่าย แต่จะทาหน้าที่ต่างจาก IDS จึงไม่สามารถทดแทน
IDS ได้
 เครื่องมือวิเคราะห์จุดอ่อนใช้เพียงช่วงเวลาใดเวลาหนึ่ ง ไม่ได้ใช้งาน
ตลอดเหมือนกับ IDS


Page

6

ทาไมต้องมี IDS/IPS
 ระบบ IDS คื อ ระบบที่ใช้สาหรับการเฝาระวังหรือมอนิ เตอร์เหตุการณ์
้

ต่างๆ ที่เกิดขึ้ นในระบบคอมพิวเตอร์หรือเครือข่าย แล้ววิเคราะห์เพือหา
่
ร่องรอยของการบุกรุก ซึ่งหมายถึง การพยายามที่จะทาลายความลับ
ความคงสภาพ และ ความพร้อมใช้งาน ของข้อมูล
 การตรวจจับ การบุกรุกที่เกิดจากการที่ผูบุกรุกเข้าถึ งระบบจาก
้
อินเตอร์เน็ ต หรือ การที่ผูใช้ภายในพยายามที่จะทาในสิ่ งที่ไม่ควรจะทา
้
หรือไม่ได้รบอนุญาต หรือไม่มีสิทธิ์ หรือการที่ใช้สิทธิพิเศษของตนในทาง
ั
ที่ผิด


Page

7

 เพื่อเป็ นเครื่องมือสาหรับการสื บสวนหาบุคคลที่ โจมตี บุกรุก หรือใช้ระบบ

ในทางที่ผิด ซึ่งอาจนาไปสู่การจับกุมและลงโทษบุคคลเหล่านี้
 เพื่อตรวจจับการโจมตี หรือการฝ่ าฝื นข้อบังคับของระบบรักษาความปลอดภัย
ที่ไม่สามารถปองกันได้จากระบบการรักษาความปลอดภัยอื่น
้
 เพื่อตรวจจับความพยายามที่จะบุกรุกเครือข่ายและปองกันก่อนที่จะเกิดการ
้
โจมตีจริงๆ
 เพื่อเก็บรวบรวมสถิตเกี่ยวกับความพยายามหรือการโจมตี และนาข้อมูลไป
ิ
วิเคราะห์ภยคุกคามที่อาจเกิดขึ้ นกับองค์กรได้
ั


Page

8

 เพื่อเป็ นเครื่องมือในการวัดประสิทธิภาพในการปองกันภัยของระบบรักษา
้

ความปลอดภัยอืนๆ เช่น ไฟร์วอลล์
่
 เพื่อเป็ นข้อมูลที่เป็ นประโยชน์เมื่อมีการบุกรุกเกิดขึ้ นจริงๆ ซึ่งจะช่วยใน
การค้นหาส่วนที่ถกโจมตี การกูคืนระบบหรือข้อมูล และการแก้ไขผลเสี ย
ู
้
ที่เกิดจากการบุกรุก และการปองกันในอนาคตได้
้


Page

9

สาเหตุที่ช่องโหว่หรือจุดอ่อนยังไม่ได้แก้ไข
 ระบบปฏิ บติการที่เก่าหรือล้าสมัยไปแล้ว ไม่สามารถแก้ไขช่องโหว่หรือ
ั

จุดอ่อนที่พบได้
 ถึงแม้ว่าระบบปฏิบติการจะมีแพตซ์ (patch) สาหรับแก้ไขช่องโหว่ แต่
ั
ผูดแลระบบอาจไม่มีเวลา
้ ู
 ไม่มีเครื่องมือที่จะคอยติ ดตามว่าเครื่องไหนที่ได้ติดตังแพตซ์หรืออัพเดต
้
เรียบร้อยแล้ว ซึ่งเป็ นปั ญหาประจา โดยเฉพาะกับเครือข่ายที่มีโฮสต์มาก
 ผูใช้อาจมีความจาเป็ นที่ตองใช้ช่องโหว่หรือจุดอ่อนในการปฏิ บติงาน ซึ่ง
้
้
ั
อาจเป็ นช่องโหว่ท่ีผูไม่หวังดีอาจใช้ช่องโหว่เดียวกันในการทาลายระบบ
้


Page

10

สาเหตุที่ช่องโหว่หรือจุดอ่อนยังไม่ได้แก้ไข
 ข้อผิ ดพลาดอาจเกิดจากผูใช้หรือผูดแลระบบ ซึ่งอาจเกิดขึ้ นเนื่ องจาก
้
้ ู

ความไม่ได้ตงใจหรือเข้าใจผิ ด หรือผูดแลอาจจะตังค่า (configure) ระบบ
ั้
้ ู
้
ไม่ถกต้อง
ู
 ในการ configure ระบบควบคุมการเข้าถึ งระบบ (Access Control) เพื่อให้
เป็ นไปตามนโยบายการรักษาความปลอดภัยหรือระเบียบใช้งาน
คอมพิวเตอร์นน มักมี ขอขัดแย้งเกิดขึ้ นเสมอ ซึ่งความขัดแย้งนี้ อาจทาให้
ั้
้
ผูใช้บางคนสามารถใช้งานระบบมากกว่าสิ ทธิ์ท่ีได้รบอนุ ญาตก็ได้
้
ั


Page

11

ขันตอนการโจมตีเครือข่ายส่วนใหญ่
้
 การสแกน (probing) เพื่อเรียนรูระบบหรือเครือข่าย พร้อมทังค้นหาช่องโหว่ที่
้
้

สามารถโจมตีได้
 หลังจากพบช่องโหว่แล้ว ผูบุกรุกก็สามารถใช้เครื่องมือเฉพาะสาหรับใช้ช่องโหว่
้
ดังกล่าวเพื่อเข้าถึง และทาลายระบบในที่สุด
 การเก็บสถิติของการโจมตีเครือข่ายเป็ นสิ่งสาคัญ ซึ่งข้อมูลนี้ อาจใช้สาหรับการ

วางแผนด้านการปรับปรุงระบบรักษาความปลอดภัยในเครือข่าย อย่างน้อย IDS ก็
จะเป็ นเครื่องมือสาหรับแจ้งเตื อนว่ามีความพยายามที่จะบุกรุก หรือมีการบุกรุก
เกิดขึ้นจริงในเครือข่าย


Page

12

ขีดความสามารถของ IDS
 มอนิ เตอร์และวิเคราะห์เหตุการณ์ที่เกิดขึ้นในระบบและพฤติ กรรมของผูใช้
้
 ทดสอบระดับความปลอดภัยของระบบ
 บอกถึงระดับมาตรฐานความปลอดภัยของระบบ และเฝาติดตามการเปลี่ยนแปลง
้






จากระดับดังกล่าว
เรียนรูลาดับเหตุการณ์ของระบบที่เกิดจากการโจมตีท่ีรล่วงหน้า
้
ู้
เรียนรูลาดับเหตุการณ์ของระบบที่แตกต่างจากเหตุการณ์ปกติ
้
จัดการข้อมูลเกี่ยวกับอีเวนต์ล็อก (Event Log) และ ออดิทล็อก (Audit Log) ของ
ระบบปฏิบติการ
ั
รายงานข้อมูลเกี่ยวกับนโยบายการรักษาความปลอดภัยพื้นฐาน
อนุ ญาตให้ผูท่ียงไม่มีความชานาญทางด้านการรักษาความปลอดภัยสามารถ
้ ั
มอนิ เตอร์ความปลอดภัยได้


Page

13

ข้อจากัดของ IDS
 ไม่สามารถปิ ดช่องโหว่หรือจุดอ่อนของระบบที่ไม่ได้ปองกันโดยระบบรักษา
้








ความปลอดภัยอื่น
ไม่สามารถตรวจจับ รายงาน และตอบโต้การโจมตีได้ในช่วงเวลาที่มีการใช้
เครือข่ายอย่างหนาแน่ น หรือ โหลดของเครือข่ายมากเกินไป
ไม่สามารถตรวจจับการโจมตีใหม่ๆ หรือการโจมตีเก่าแต่เปลี่ยนรูปแบบการ
โจมตี
ไม่สามารถตอบโต้การโจมตีได้อย่างมีประสิทธิภาพต่อผูบกรุกที่มีความชานาญ
้ ุ
สูง
ไม่สามารถสืบหาผูบกรุกได้โดยอัตโนมัติ การสืบหาผูบกรุกนันต้องอาศัยคน
ุ้
้ ุ
้
ช่วยในการวิเคราะห์ เพื่อสืบสวนเรื่องราว
ไม่สามารถขัดขวางไม่ให้ IDS ถูกโจมตี เอง
ไม่สามารถปองกันปั ญหาเกี่ยวกับความถูกต้องของแหล่งข้อมูล
้
ไม่สามารถทางานได้ดีในระบบเครือข่ายที่ใช้สวิตซ์


Page

14

ประเภทของ IDS
 Host-based IDS
‣ เป็ นระบบที่ติดตังที่โฮสต์ คอยเฝาระวังและตรวจจับความพยายามที่จะถูกบุก
้
้
รุกโฮสต์นน
ั้
 Network-based IDS
‣ เป็ นระบบที่ตรวจดูทราฟฟิ ค (traffic) ที่ว่ิงอยู่ในเครือข่ายและแจ้งเตือน ถ้าพบ
หลักฐานที่คาดว่าจะเป็ นการบุกรุกเครือข่าย
‣ ได้จากการตรวจตราและวิเคราะห์โปรโตคอลในระดับ network, transport และ
application


Page

15

ประเภทของ IDS


Page

16

IDS Components
 Sensor ทาหน้าที่เก็บข้อมูล
‣ Input สาหรับ sensor เป็ นข้อมูลจากส่วนต่างๆของระบบที่อาจบรรจุหลักฐาน
ของการบุกรุก
‣ ชนิ ดของ input สาหรับ sensors ได้แก่ network packets, log files และsystem
call traces
‣ Sensors เก็บรวบรวมข้อมูลและส่งต่อไปยัง analyzer
 Analyzer วิเคราะห์เพื่อระบุว่ามีการบุกรุกเกิดขึ้ นหรือไม่
‣ รับ input จาก sensors หรือจาก analyzer ตัวอื่น
‣ Output ของ analyzer บ่งชี้ ว่ามีการบุกรุกเกิดขึ้นหรือไม่
‣ Output อาจรวมหลักฐานที่สนับสนุ นว่ามีการบุกรุกเกิดขึ้ นจริง
‣ Analyzer อาจระบุแนวทางเกี่ยวกับการดาเนิ นการ (action) ที่ควรใช้เพื่อ
ตอบสนองต่อการบุกรุก

Page

17

IDS Components
 User Interface ใช้ในการดู output หรือควบคุมพฤติกรรมต่างๆของระบบ
‣ ในบางระบบ user interface อาจนาเสนอหรือนาข้อมูลไปให้กบผูจดการระบบ
ั ้ ั
ผูบริหาร หรือองค์ประกอบ console อื่นๆ
้


Page

18

Host-based IDS
 Host-based IDS เป็ นซอฟต์แวร์ท่ีรนบนโฮสต์ โดยปกติ แล้ว IDS นี้ จะ
ั

วิเคราะห์ล็อก (Log) เพื่อค้นหาข้อมูลเกี่ยวกับการบุกรุก
‣ ในระบบยูนิกซ์ Log ที่ IDS จะตรวจสอบเช่น Syslog, Messages, Lastlog,

Wtmp
‣ ในระบบวินโดวส์ Log ที่ IDS จะตรวจสอบเช่น System, Application, Security
 โดยปกติ IDS จะอ่านเหตุการณ์ใหม่ท่ีเกิดขึ้ นใน Log และเปรียบเทียบกับ

กฎที่กาหนดไว้ก่อนหน้า ถ้าตรงก็จะแจ้งเตือนทันที
 ดังนัน การที่ IDS จะตรวจจับการบุกรุกได้ ระบบจะต้องบันทึกเหตุการณ์
้
ต่างๆ ที่สาคัญที่เกิดขึ้ นกับระบบในล็ อกไฟล์ มิเช่นนัน IDS ก็ไม่มีขอมูลที่
้
้
ใช้วิเคราะห์ว่ามีการบุกรุกหรือไม่


Page

19

ข้อดีของ Host-based IDS
 สามารถตรวจพบทุกการบุกรุกกับโฮสต์นนๆ ได้เสมอ ถ้าระบบสามารถ
ั้

บันทึกเหตุการณ์ดงกล่าวใน Log ได้ หรือ การบุกรุกมีการเรียกใช้ System
ั
Calls
 สามารถบอกได้ว่าการบุกรุกนันสาเร็จหรือไม่ โดยการวิเคราะห์ขอความ
้
้
ใน Log หรือจากหลักฐานอื่นๆ เช่น มีการแก้ไขไฟล์ที่สาคัญของระบบ
เป็ นต้น
 สามารถระบุได้ว่ามีการเข้าใช้งานระบบอย่างผิ ดปกติ โดยผูใช้ของระบบเอง
้


Page

20

ข้อเสียของ Host-based IDS
 โพรเซสของ IDS อาจถูกโจมตีเองจนไม่สามารถแจ้งเตือนได้
 Host-based IDS จะแจ้งเตื อนก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้ นนันตรงกับที่
้

กาหนดไว้ก่อนหน้า ถ้าแฮกเกอร์มีเทคนิ กใหม่ๆ IDS อาจไม่แจ้งเตือนการ
บุกรุกก็ได้
 การทางานของ Host-based IDS อาจมีผลกระทบต่อประสิ ทธิภาพของ
โฮสต์เอง เนื่ องจากต้องตรวจสอบ Log File และ System Calls


Page

21

Network-Based IDS (NIDS)
 ระบบ NIDS ที่ตรวจตรา traffic ณ จุดบางจุดบนเครือข่าย
‣ พิจารณา packet ทีละ packet แบบ real-time หรือใกล้เคียง real-time
‣ อาจพิจารณาการทางานในระดับ network, transport และ/หรือ applicationlevel protocol
‣ พิจารณา packet traffic ที่เข้าไปสู่ระบบหรือเครือข่ายที่มีความเปราะบาง หรือ
มีความสาคัญ
 NIDS ประกอบด้วย sensors หลายตัว เครื่อง server หรือกลุ่มของ server

ที่ทาหน้าที่จดการระบบ NIDS และ management console สาหรับติดต่อ
ั
กับผูดแลระบบ
้ ู
‣ การวิเคราะห์รปแบบ (pattern) ของ traffic อาจทาที่ sensors, management
ู

server หรือที่ทงสองส่วนประสานกัน
ั้

Page

22

NIDS Sensor Deployment
 Inline sensor
‣ แทรกอยู่ในส่วนของเครือข่าย (network segment) เพื่อให้ traffic ที่ได้รบการ
ั
monitor วิ่งผ่าน sensor
‣ รวมตรรกะการทางานของ NIDS sensor เข้าไปในอุปกรณ์เครือข่ายอื่นๆ เช่น
firewall หรือ LAN switch
‣ หรือใช้ inline NIDS sensor
แบบ stand-alone
 Passive sensors
‣ Monitor สาเนา (copy) ของ traffic
‣ Sensor เชื่ อมต่อกับสายส่งสัญญาณด้วย
physical tap ที่ส่ง copy ของ traffic มาให้
‣ Network card ของ tap ไม่มี IP address

Page

23

Network-based IDS (NIDS)
 อาจใช้ซอฟต์แวร์พิเศษที่รนบนคอมพิวเตอร์เครื่องหนึ่ งต่างหาก IDS นี้ จะ
ั

มี network card ที่ทางานใน Promiscuous mode
 Promiscuous Mode : โหมดการทางานซึ่ง network card จะรับทุกๆ แพ็ก
เก็ตที่ว่ิงอยู่บนเครือข่าย แล้วส่งต่อไปให้แอพพลิ เคชันเพื่อจัดการต่อไป
 เมื่อทุกๆแพ็กเก็ตส่งผ่านไปให้แอพพลิ เคชัน IDS จะวิเคราะห์ขอมูลใน
้
แพ็กเก็ตเหล่านัน กับข้อมูลที่เป็ นรูปแบบของการบุกรุกที่เก็บไว้ใน
้
ฐานข้อมูลก่อนหน้า ถ้าตรง IDS จะแจ้งเตือนทันที
 ในแต่ละ IDS จะมีฐานข้อมูลที่ใช้สาหรับเปรียบเทียบ เรียกว่า Signature


Page

24

Network-based IDS (NIDS)
 ส่วนใหญ่ IDS นี้ จะมี 2 network card
‣ อันแรก จะเชื่ อมต่อเข้ากับเครือข่ายที่ตองการเฝาระวังหรือตรวจจับการบุกรุก
้
้
และไม่มี ไอพีแอดเดรส ดังนันเครื่องอื่นๆ ไม่สามารถมองเห็นเครื่องนี้
้
‣ อันที่สอง จะเชื่ อมต่อเข้ากับอีกเครือข่าย เพื่อใช้สาหรับส่งการแจ้งเตื อนไปยัง
เซิรฟเวอร์ โดยเครือข่ายนี้ ตองไม่เชื่ อมต่อกับเครือข่ายหลัก เพื่อปองกันการ
์
้
้
โจมตีเอง


Page

25

NISD Sensor Deployment Example
NIDS sensor inside external firewall:
• See attack that can penetrate external firewall.
• Highlights problems with network firewall policy
or performance
• Sees attacks that might target Web server or ftp
server
• IDS can sometimes recognize outgoing traffic
that results from compromised server

Internet traffic passes
through external firewall
that protects the entire
facility
Traffic from outside
world is monitored
Internal firewalls
provides more
specific protection
to certain parts of
network

Page

26

NIDS sensor on backbone:
• Monitors large amount of network’s traffic,
increasing the possibility of spotting attacks
• Detects unauthorized activity by authorized
users within organization

NIDS sensor between
external firewall and
WAN:
• can monitor all
network traffic,
unfiltered
• Documents number
and type of attacks
originating on Internet
that target the network

Page

27


NIDS sensor in important LAN:
• Detects attacks targeting critical systems and resources
• Allows focusing of limited resources to network assets
considered of greatest value

Page

28

ติดตัง IDS หน้า/หลังไฟร์วอลล์
้
 ข้อดีของการติดตัง IDS หน้าไฟร์วอลล์
้
‣ สามารถตรวจจับการบุกรุกจากภายนอกที่สามารถเจาะผ่านไฟร์วอลล์ได้
‣ ตรวจสอบความถูกต้องในการคอนฟิ กไฟร์วอลล์ หรือ ประสิทธิภาพของไฟร์
วอลล์ในการปองกันการบุกรุก
้
‣ สามารถตรวจจับการโจมตีเซิรฟเวอร์ที่อยู่ใน DMZ เช่น web server, mail
์
server หรือ DNS server
‣ บางที IDS อาจตรวจไม่เจอแพ็กเก็ตการบุกรุกที่ส่งจากภายนอก แต่ก็อาจ
ตรวจเจอแพ็กเก็ตที่ส่งไปข้างนอกซึ่งเป็ นผลมาจากการโจมตี
 ข้อดีของการติดตัง IDS หลังไฟร์วอลล์
้
‣ เก็บสถิติเกี่ยวกับจานวนครังการโจมตีที่มาจากภายนอก หรืออินเทอร์เน็ ตที่มี
้
เปาหมายเป็ นเครือข่ายภายใน
้
‣ เก็บสถิติเกี่ยวกับประเภทการโจมตี ท่ีมาจากภายนอก หรืออินเทอร์เน็ ตที่มี
เปาหมายเป็ นเครือข่ายภายใน
้

Page

29

จุดการติดตัง IDS บนเครือข่าย
้
 ข้อดีของการติดตัง IDS บน backbone หลักของเครือข่าย
้
‣ มอนิ เตอร์ทราฟิ กหลักที่ไหลเวียนภายในเครือข่าย ซึ่งจะเป็ นข้อมูลที่ช่วยใน
การวิเคราะห์และค้นหาที่มา หรือเปาหมายของการโจมตี
้
‣ ตรวจจับกิจกรรมที่ไม่ได้รบอนุ ญาตของผูใช้ทวไปที่อยู่ในเครือข่าย
ั
้ ั่
 ข้อดีของการติดตัง IDS บนซับเน็ ตที่มีความเสี่ ยงสูง
้
‣ ตรวจจับการโจมตีท่ีมีเปาหมายเป็ นระบบหรือ resource ที่สาคัญ
้
‣ เป็ นการลดจานวน IDS ที่ตองใช้ และเป็ นการมอนิ เตอร์เฉพาะจุดที่สาคัญๆ
้
เพื่อจะได้เป็ นการคุมค่าต่อการใช้งาน IDS
้

30

Page

ข้อดีของ Network-based IDS
 Network-based IDS จะถูกซ่อนไว้ในเครือข่าย ทาให้ผูบกรุกไม่รว่ากาลัง
้ ุ
ู้

ถูกเฝามองอยู่
้
 Network-based IDS หนึ่ งเครื่อง สามารถใช้เฝาระวังการบุกรุกได้กบ
้
ั
หลายระบบ หรือ โฮสต์
 สามารถตรวจจับทุกๆ แพ็กเก็ตที่วิ่งไปยังระบบที่ ถกเฝาระวังภัยอยู่
ู ้


Page

31

ข้อเสียของ Network-based IDS
 จะแจ้งเตื อนก็ต่อเมื่อตรวจพบแพ็กเก็ตที่ตรงกับ signature ที่กาหนดไว้






ก่อนหน้าเท่านัน
้
อาจไม่สามารถตรวจจับแพ็กเก็ตได้ทงหมด ในกรณี ที่มาการใช้เครือข่าย
ั้
หนาแน่ น จนทาให้ IDS วิเคราะห์แพ็กเก็ตที่ว่ิงอยู่บนเครือข่ายไม่ทน หรือ
ั
มีเส้นทางอื่นที่ไม่ผ่าน IDS
ไม่สามารถสรุปได้ว่าการบุกรุกนันสาเร็จหรือไม่
้
ไม่สามารถตรวจวิเคราะห์แพ็กเก็ตที่ถกเข้ารหัสไว้ได้
ู
เครือข่ายที่มีสวิตซ์ตองตังค่า (Configure) เพื่อให้พอร์ตที่เชื่อมต่อกับ IDS
้ ้
นันสามารถมองเห็นทุกแพ็กเก็ตที่วิ่งผ่านสวิตซ์ได้ หรือการทา port
้
mirroring


Page

32

Adaptive Cooperative IDS
 ข้อเสี ยของกลไกปองกันในระดับขอบเขต (Perimeter defense) เช่น
้

IDSs, firewalls, etc.
‣ เครื่องมือที่ใช้อาจไม่รจก threats ใหม่ๆ หรือ threats เดิมที่ถกดัดแปลงไปบ้าง
ู้ ั
ู
‣ ยากต่อการ update อย่างรวดเร็ว เพื่อให้ตอบสนองต่อ attacks ที่กระจายตัวเร็ว
‣ องค์กรสมัยใหม่อาจไม่มีขอบเขตขององค์กรที่แน่ นอน เช่น มีเครื่องเข้าออก

มาก หรือมีการเชื่ อมต่อผ่าน wireless connection
 ข้อจากัดของ distributed host-based IDS
‣ Anomaly detectors ที่แต่ละ local nodes พบเหตุการณ์ผิดปกติ
่
• เช่น เครื่ องถูกสังให้เชื่ อมต่อออกไปภายนอกด้วยอัตราการเชื่ อมต่อสูงผิ ดปกติ
‣ หลักฐานจากเครื่องเดียวอาจไม่เพียงพอ
• อาจนาไปสู่ false positive ถ้าตัดสิ นทันทีว่ามีการบุกรุก
• อาจนาไปสู่ false negative ถ้ารอหลักฐานเพิ่มเติ ม

Page

33

Adaptive Cooperative IDS
 ระบบแบบ Adaptive cooperative
‣ Node ติดต่อกันผ่าน peer-to-peer “gossip” protocol เพื่อแจ้งข่าวสารต่อกัน
เกี่ยวกับเหตุการณ์ท่ีน่าสงสัย โดยระบุความเป็ นไปได้ของการบุกรุก
‣ หาก node หนึ่ งๆได้รบข่าวสารเกี่ยวกับการโจมตี ใดๆมากเพียงพอ เกินกว่าที่
ั
กาหนด node นันอาจตังสมมติฐานได้ว่ากาลังมีการบุกรุก และเตรียมรับมือ
้
้
‣ Node อาจรับมือเองหรือส่ง alert ไปยังส่วนกลาง
 ตัวอย่าง: autonomic enterprise security โดย Intel.
‣ End host และ network device (เช่น routers) เป็ น sensor โดยมี sensor
software module ติดตังอยู่
้
‣ Sensors ในระบบแบบกระจายนี้ แลกเปลี่ยนข้อมูล เพื่อพิจารณาสถานะของ
เครือข่ายร่วมกัน
‣ หลักฐานจาก node หลายๆ node ทาให้ได้หลักฐานที่น่าเชื่ อถือในเวลาสันๆ
้

Page

34

Information system security wk7-1-ids-ips

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to Information system security wk7-1-ids-ips

Similar to Information system security wk7-1-ids-ips (20)

More from Bee Lalita

More from Bee Lalita (10)

Information system security wk7-1-ids-ips