Information system security wk7-1-ids-ips
-
Upload
bee-lalita -
Category
Education
-
view
607 -
download
2
description
Transcript of Information system security wk7-1-ids-ips
Faculty of Information Technology Page
IT346 Information System Security
Week 7-1: IDS/IPS (1)
อ.พงษศกด ไผแดง
1
Faculty of Information Technology Page
Intrusion
Intrusion (การบกรก)
‣ เหตการณดานความมนคง หรอกลมของเหตการณดานความมนคงทกอใหเกด
อบตการณ (incident) ทผบกรกไดรบอนญาต หรอพยายามใหไดรบอนญาต
เขามาในระบบ (หรอเขาถงทรพยากรของระบบ) โดยไมไดรบสทธทถกตอง
Intrusion Detection (การตรวจจบการบกรก)
‣ บรการดานความมนคง (Security Service) ทตรวจตรา (monitor) และ
วเคราะหเหตการณในระบบ เพอทจะคนหา และแจงเตอนแบบ real-time หรอ
ใกลเคยง real-time เมอมความพยายามทจะเขาถงทรพยากรของระบบ โดย
ไมไดรบสทธทถกตอง
2
Faculty of Information Technology Page
IDS
ระบบตรวจจบการบกรก (Intrusion Detection System: IDS) เปน
เครองมอส าหรบการรกษาความปลอดภยทใชส าหรบตรวจจบความ
พยายามทจะบกรกเครอขาย โดยระบบจะแจงเตอนผดแลระบบเมอมการ
บกรกหรอมการพยายามทจะบกรกเครอขาย
IDS ไมใชระบบทปองกนการบกรก แตเปนระบบทคอยแจงเตอนภย
เทานน
หนาทหลกของ IDS คอ แจงเตอนการเขาใชเครอขายทผดปกต
ในการออกแบบ IDS นน เหตการณใดคอสงผดปกต นนเปนประเดน
ส าคญ
แต IDS ไมสามารถปองกนการบกรกไดโดยทนทแบบ Real time เชน
การโจมตแบบ DoS
ระบบปองกนการโจมต =Intrusion Protection System: (IPS)
3
Faculty of Information Technology Page
IPS
IPS สามารถตรวจจบการบกรกและหยดการบกรกไดทนท
IPS มการใชเทคโนโลยขนสงในการวเคราะหขอมล เชน Neural
Network, Fuzzy Logic ซงจะท าใหลดปญหาการแจงเตอนทผดพลาดลง
ไดอยางมาก และท าให IPS บางรน สามารถปองกนการโจมตแบบ DDoS
ไดดวย
การท างานของ IPS จะใชหลกการทเรยกวา Inline หรอ Gateway IDS คอ
มการน า IPS ไปกนกลางบนเสนทางการสงขอมล โดยไมตองมการ
ก าหนด IP Address ใหกบ IPS
‣ ปญหาเกด ถา IPS เสย
‣ ถา IPS ตดสนใจผด
4
Faculty of Information Technology Page
Honeypot
Honeypot มกใชรวมกบ IDS/IPS ในการดกจบการบกรก
Honeypot หรอเปาหมายลวง ซงหมายถง เครองเซรฟเวอรทเราปลอยให
มชองโหว เพอลวงใหแฮกเกอรเขามาเจาะระบบ ท าใหเราไดเรยนรวธการ
เจาะระบบของแฮกเกอรอยางละเอยด อาจจะตรวจสอบจนสบหาตวได
กอนทจะเจาะระบบจรง
ปกต Honeypot จะใชความสามารถ “stealth logging” ของระบบในการ
บนทกหลกฐานเพอใชในการสบจบแฮกเกอร
ขอมลเพมเตม http://project.honeynet.org
5
Faculty of Information Technology Page
Vulnerability Analysis
เครองมอส าหรบวเคราะหจดออน (Vulnerability Analysis) บางทเรยกวา
เครองมอประเมนจดออน (Vulnerability Assessment) เปนเครองมอทใช
ทดสอบวา โฮสตหรอเครอขายมจดออนหรอชองโหวทอาจถกโจมต
หรอไม
การวเคราะหหาจดออนของระบบนนเปนสงทส าคญของการรกษาความ
ปลอดภยในเครอขาย แตจะท าหนาทตางจาก IDS จงไมสามารถทดแทน
IDS ได
เครองมอวเคราะหจดออนใชเพยงชวงเวลาใดเวลาหนง ไมไดใชงาน
ตลอดเหมอนกบ IDS
6
Faculty of Information Technology Page
ท าไมตองม IDS/IPS
ระบบ IDS คอ ระบบทใชส าหรบการเฝาระวงหรอมอนเตอรเหตการณ
ตางๆ ทเกดขนในระบบคอมพวเตอรหรอเครอขาย แลววเคราะหเพอหา
รองรอยของการบกรก ซงหมายถง การพยายามทจะท าลายความลบ
ความคงสภาพ และ ความพรอมใชงาน ของขอมล
การตรวจจบ การบกรกทเกดจากการทผบกรกเขาถงระบบจาก
อนเตอรเนต หรอ การทผใชภายในพยายามทจะท าในสงทไมควรจะท า
หรอไมไดรบอนญาต หรอไมมสทธ หรอการทใชสทธพเศษของตนในทาง
ทผด
7
Faculty of Information Technology Page
ท าไมตองม IDS/IPS
เพอเปนเครองมอส าหรบการสบสวนหาบคคลทโจมต บกรก หรอใชระบบ
ในทางทผด ซงอาจน าไปสการจบกมและลงโทษบคคลเหลาน
เพอตรวจจบการโจมตหรอการฝาฝนขอบงคบของระบบรกษาความปลอดภย
ทไมสามารถปองกนไดจากระบบการรกษาความปลอดภยอน
เพอตรวจจบความพยายามทจะบกรกเครอขายและปองกนกอนทจะเกดการ
โจมตจรงๆ
เพอเกบรวบรวมสถตเกยวกบความพยายามหรอการโจมต และน าขอมลไป
วเคราะหภยคกคามทอาจเกดขนกบองคกรได
8
Faculty of Information Technology Page
ท าไมตองม IDS/IPS
เพอเปนเครองมอในการวดประสทธภาพในการปองกนภยของระบบรกษา
ความปลอดภยอนๆ เชน ไฟรวอลล
เพอเปนขอมลทเปนประโยชนเมอมการบกรกเกดขนจรงๆ ซงจะชวยใน
การคนหาสวนทถกโจมต การกคนระบบหรอขอมล และการแกไขผลเสย
ทเกดจากการบกรก และการปองกนในอนาคตได
9
Faculty of Information Technology Page
สาเหตทชองโหวหรอจดออนยงไมไดแกไข
ระบบปฏบตการทเกาหรอลาสมยไปแลว ไมสามารถแกไขชองโหวหรอ
จดออนทพบได
ถงแมวาระบบปฏบตการจะมแพตซ (patch) ส าหรบแกไขชองโหว แต
ผดแลระบบอาจไมมเวลา
ไมมเครองมอทจะคอยตดตามวาเครองไหนทไดตดตงแพตซหรออพเดต
เรยบรอยแลว ซงเปนปญหาประจ า โดยเฉพาะกบเครอขายทมโฮสตมาก
ผใชอาจมความจ าเปนทตองใชชองโหวหรอจดออนในการปฏบตงาน ซง
อาจเปนชองโหวทผไมหวงดอาจใชชองโหวเดยวกนในการท าลายระบบ
10
Faculty of Information Technology Page
สาเหตทชองโหวหรอจดออนยงไมไดแกไข
ขอผดพลาดอาจเกดจากผใชหรอผดแลระบบ ซงอาจเกดขนเนองจาก
ความไมไดตงใจหรอเขาใจผด หรอผดแลอาจจะตงคา (configure) ระบบ
ไมถกตอง
ในการ configure ระบบควบคมการเขาถงระบบ (Access Control) เพอให
เปนไปตามนโยบายการรกษาความปลอดภยหรอระเบยบใชงาน
คอมพวเตอรนน มกมขอขดแยงเกดขนเสมอ ซงความขดแยงนอาจท าให
ผใชบางคนสามารถใชงานระบบมากกวาสทธทไดรบอนญาตกได
11
Faculty of Information Technology Page
ขนตอนการโจมตเครอขายสวนใหญ
การสแกน (probing) เพอเรยนรระบบหรอเครอขาย พรอมทงคนหาชองโหวท
สามารถโจมตได
หลงจากพบชองโหวแลว ผบกรกกสามารถใชเครองมอเฉพาะส าหรบใชชองโหว
ดงกลาวเพอเขาถง และท าลายระบบในทสด
การเกบสถตของการโจมตเครอขายเปนสงส าคญ ซงขอมลนอาจใชส าหรบการ
วางแผนดานการปรบปรงระบบรกษาความปลอดภยในเครอขาย อยางนอย IDS ก
จะเปนเครองมอส าหรบแจงเตอนวามความพยายามทจะบกรก หรอมการบกรก
เกดขนจรงในเครอขาย
12
Faculty of Information Technology Page
ขดความสามารถของ IDS
มอนเตอรและวเคราะหเหตการณทเกดขนในระบบและพฤตกรรมของผใช
ทดสอบระดบความปลอดภยของระบบ
บอกถงระดบมาตรฐานความปลอดภยของระบบ และเฝาตดตามการเปลยนแปลง
จากระดบดงกลาว
เรยนรล าดบเหตการณของระบบทเกดจากการโจมตทรลวงหนา
เรยนรล าดบเหตการณของระบบทแตกตางจากเหตการณปกต
จดการขอมลเกยวกบอเวนตลอก (Event Log) และ ออดทลอก (Audit Log) ของ
ระบบปฏบตการ
รายงานขอมลเกยวกบนโยบายการรกษาความปลอดภยพนฐาน
อนญาตใหผทยงไมมความช านาญทางดานการรกษาความปลอดภยสามารถ
มอนเตอรความปลอดภยได
13
Faculty of Information Technology Page
ขอจ ากดของ IDS
ไมสามารถปดชองโหวหรอจดออนของระบบทไมไดปองกนโดยระบบรกษา
ความปลอดภยอน
ไมสามารถตรวจจบ รายงาน และตอบโตการโจมตไดในชวงเวลาทมการใช
เครอขายอยางหนาแนน หรอ โหลดของเครอขายมากเกนไป
ไมสามารถตรวจจบการโจมตใหมๆ หรอการโจมตเกาแตเปลยนรปแบบการ
โจมต
ไมสามารถตอบโตการโจมตไดอยางมประสทธภาพตอผบกรกทมความช านาญ
สง
ไมสามารถสบหาผบกรกไดโดยอตโนมต การสบหาผบกรกนนตองอาศยคน
ชวยในการวเคราะห เพอสบสวนเรองราว
ไมสามารถขดขวางไมให IDS ถกโจมต เอง
ไมสามารถปองกนปญหาเกยวกบความถกตองของแหลงขอมล
ไมสามารถท างานไดดในระบบเครอขายทใชสวตซ 14
Faculty of Information Technology Page
ประเภทของ IDS
Host-based IDS
‣ เปนระบบทตดตงทโฮสต คอยเฝาระวงและตรวจจบความพยายามทจะถกบก
รกโฮสตนน
Network-based IDS
‣ เปนระบบทตรวจดทราฟฟค (traffic) ทวงอยในเครอขายและแจงเตอน ถาพบ
หลกฐานทคาดวาจะเปนการบกรกเครอขาย
‣ ไดจากการตรวจตราและวเคราะหโปรโตคอลในระดบ network, transport และ
application
15
Faculty of Information Technology Page
ประเภทของ IDS
16
Faculty of Information Technology Page
IDS Components
Sensor ท าหนาทเกบขอมล
‣ Input ส าหรบ sensor เปนขอมลจากสวนตางๆของระบบทอาจบรรจหลกฐาน
ของการบกรก
‣ ชนดของ input ส าหรบ sensors ไดแก network packets, log files และsystem
call traces
‣ Sensors เกบรวบรวมขอมลและสงตอไปยง analyzer
Analyzer วเคราะหเพอระบวามการบกรกเกดขนหรอไม
‣ รบ input จาก sensors หรอจาก analyzer ตวอน
‣ Output ของ analyzer บงชวามการบกรกเกดขนหรอไม
‣ Output อาจรวมหลกฐานทสนบสนนวามการบกรกเกดขนจรง
‣ Analyzer อาจระบแนวทางเกยวกบการด าเนนการ (action) ทควรใชเพอ
ตอบสนองตอการบกรก
17
Faculty of Information Technology Page
IDS Components
User Interface ใชในการด output หรอควบคมพฤตกรรมตางๆของระบบ
‣ ในบางระบบ user interface อาจน าเสนอหรอน าขอมลไปใหกบผจดการระบบ
ผบรหาร หรอองคประกอบ console อนๆ
18
Faculty of Information Technology Page
Host-based IDS
Host-based IDS เปนซอฟตแวรทรนบนโฮสต โดยปกตแลว IDS นจะ
วเคราะหลอก (Log) เพอคนหาขอมลเกยวกบการบกรก
‣ ในระบบยนกซ Log ท IDS จะตรวจสอบเชน Syslog, Messages, Lastlog,
Wtmp
‣ ในระบบวนโดวส Log ท IDS จะตรวจสอบเชน System, Application, Security
โดยปกต IDS จะอานเหตการณใหมทเกดขนใน Log และเปรยบเทยบกบ
กฎทก าหนดไวกอนหนา ถาตรงกจะแจงเตอนทนท
ดงนน การท IDS จะตรวจจบการบกรกได ระบบจะตองบนทกเหตการณ
ตางๆ ทส าคญทเกดขนกบระบบในลอกไฟล มเชนนน IDS กไมมขอมลท
ใชวเคราะหวามการบกรกหรอไม
19
Faculty of Information Technology Page
ขอดของ Host-based IDS
สามารถตรวจพบทกการบกรกกบโฮสตนนๆ ไดเสมอ ถาระบบสามารถ
บนทกเหตการณดงกลาวใน Log ได หรอ การบกรกมการเรยกใช System
Calls
สามารถบอกไดวาการบกรกนนส าเรจหรอไม โดยการวเคราะหขอความ
ใน Log หรอจากหลกฐานอนๆ เชน มการแกไขไฟลทส าคญของระบบ
เปนตน
สามารถระบไดวามการเขาใชงานระบบอยางผดปกตโดยผใชของระบบเอง
20
Faculty of Information Technology Page
ขอเสยของ Host-based IDS
โพรเซสของ IDS อาจถกโจมตเองจนไมสามารถแจงเตอนได
Host-based IDS จะแจงเตอนกตอเมอเหตการณทเกดขนนนตรงกบท
ก าหนดไวกอนหนา ถาแฮกเกอรมเทคนกใหมๆ IDS อาจไมแจงเตอนการ
บกรกกได
การท างานของ Host-based IDS อาจมผลกระทบตอประสทธภาพของ
โฮสตเอง เนองจากตองตรวจสอบ Log File และ System Calls
21
Faculty of Information Technology Page
Network-Based IDS (NIDS)
ระบบ NIDS ทตรวจตรา traffic ณ จดบางจดบนเครอขาย
‣ พจารณา packet ทละ packet แบบ real-time หรอใกลเคยง real-time
‣ อาจพจารณาการท างานในระดบ network, transport และ/หรอ application-
level protocol
‣ พจารณา packet traffic ทเขาไปสระบบหรอเครอขายทมความเปราะบาง หรอ
มความส าคญ
NIDS ประกอบดวย sensors หลายตว เครอง server หรอกลมของ server
ทท าหนาทจดการระบบ NIDS และ management console ส าหรบตดตอ
กบผดแลระบบ
‣ การวเคราะหรปแบบ (pattern) ของ traffic อาจท าท sensors, management
server หรอททงสองสวนประสานกน
22
Faculty of Information Technology Page
NIDS Sensor Deployment
Inline sensor
‣ แทรกอยในสวนของเครอขาย (network segment) เพอให traffic ทไดรบการ
monitor วงผาน sensor
‣ รวมตรรกะการท างานของ NIDS sensor เขาไปในอปกรณเครอขายอนๆ เชน
firewall หรอ LAN switch
‣ หรอใช inline NIDS sensor
แบบ stand-alone
Passive sensors
‣ Monitor ส าเนา (copy) ของ traffic
‣ Sensor เชอมตอกบสายสงสญญาณดวย
physical tap ทสง copy ของ traffic มาให
‣ Network card ของ tap ไมม IP address
23
Faculty of Information Technology Page
Network-based IDS (NIDS)
อาจใชซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนงตางหาก IDS นจะ
ม network card ทท างานใน Promiscuous mode
Promiscuous Mode : โหมดการท างานซง network card จะรบทกๆ แพก
เกตทวงอยบนเครอขาย แลวสงตอไปใหแอพพลเคชนเพอจดการตอไป
เมอทกๆแพกเกตสงผานไปใหแอพพลเคชน IDS จะวเคราะหขอมลใน
แพกเกตเหลานน กบขอมลทเปนรปแบบของการบกรกทเกบไวใน
ฐานขอมลกอนหนา ถาตรง IDS จะแจงเตอนทนท
ในแตละ IDS จะมฐานขอมลทใชส าหรบเปรยบเทยบ เรยกวา Signature
24
Faculty of Information Technology Page
Network-based IDS (NIDS)
สวนใหญ IDS นจะม 2 network card
‣ อนแรก จะเชอมตอเขากบเครอขายทตองการเฝาระวงหรอตรวจจบการบกรก
และไมม ไอพแอดเดรส ดงนนเครองอนๆ ไมสามารถมองเหนเครองน
‣ อนทสอง จะเชอมตอเขากบอกเครอขาย เพอใชส าหรบสงการแจงเตอนไปยง
เซรฟเวอร โดยเครอขายนตองไมเชอมตอกบเครอขายหลก เพอปองกนการ
โจมตเอง
25
Faculty of Information Technology Page
NISD Sensor Deployment Example
Internet traffic passes
through external firewall
that protects the entire
facility
Traffic from outside world is monitored
Internal firewalls
provides more
specific protection
to certain parts of network
NIDS sensor inside external firewall:
• See attack that can penetrate external firewall.
• Highlights problems with network firewall policy
or performance
• Sees attacks that might target Web server or ftp
server
• IDS can sometimes recognize outgoing traffic that results from compromised server
26
Faculty of Information Technology Page
NISD Sensor Deployment Example
NIDS sensor between
external firewall and
WAN:
• can monitor all
network traffic,
unfiltered
• Documents number
and type of attacks
originating on Internet that target the network
NIDS sensor on backbone:
• Monitors large amount of network’s traffic,
increasing the possibility of spotting attacks
• Detects unauthorized activity by authorized
users within organization
27
Faculty of Information Technology Page
NISD Sensor Deployment Example
NIDS sensor in important LAN:
• Detects attacks targeting critical systems and resources
• Allows focusing of limited resources to network assets
considered of greatest value
28
Faculty of Information Technology Page
ตดตง IDS หนา/หลงไฟรวอลล
ขอดของการตดตง IDS หนาไฟรวอลล
‣ สามารถตรวจจบการบกรกจากภายนอกทสามารถเจาะผานไฟรวอลลได
‣ ตรวจสอบความถกตองในการคอนฟกไฟรวอลล หรอ ประสทธภาพของไฟร
วอลลในการปองกนการบกรก
‣ สามารถตรวจจบการโจมตเซรฟเวอรทอยใน DMZ เชน web server, mail
server หรอ DNS server
‣ บางท IDS อาจตรวจไมเจอแพกเกตการบกรกทสงจากภายนอก แตกอาจ
ตรวจเจอแพกเกตทสงไปขางนอกซงเปนผลมาจากการโจมต
ขอดของการตดตง IDS หลงไฟรวอลล
‣ เกบสถตเกยวกบจ านวนครงการโจมตทมาจากภายนอก หรออนเทอรเนตทม
เปาหมายเปนเครอขายภายใน
‣ เกบสถตเกยวกบประเภทการโจมตทมาจากภายนอก หรออนเทอรเนตทม
เปาหมายเปนเครอขายภายใน
29
Faculty of Information Technology Page
จดการตดตง IDS บนเครอขาย
ขอดของการตดตง IDS บน backbone หลกของเครอขาย
‣ มอนเตอรทราฟกหลกทไหลเวยนภายในเครอขาย ซงจะเปนขอมลทชวยใน
การวเคราะหและคนหาทมา หรอเปาหมายของการโจมต
‣ ตรวจจบกจกรรมทไมไดรบอนญาตของผใชท วไปทอยในเครอขาย
ขอดของการตดตง IDS บนซบเนตทมความเสยงสง
‣ ตรวจจบการโจมตทมเปาหมายเปนระบบหรอ resource ทส าคญ
‣ เปนการลดจ านวน IDS ทตองใช และเปนการมอนเตอรเฉพาะจดทส าคญๆ
เพอจะไดเปนการคมคาตอการใชงาน IDS
30
Faculty of Information Technology Page
ขอดของ Network-based IDS
Network-based IDS จะถกซอนไวในเครอขาย ท าใหผบกรกไมรวาก าลง
ถกเฝามองอย
Network-based IDS หนงเครอง สามารถใชเฝาระวงการบกรกไดกบ
หลายระบบ หรอ โฮสต
สามารถตรวจจบทกๆ แพกเกตทวงไปยงระบบทถกเฝาระวงภยอย
31
Faculty of Information Technology Page
ขอเสยของ Network-based IDS
จะแจงเตอนกตอเมอตรวจพบแพกเกตทตรงกบ signature ทก าหนดไว
กอนหนาเทานน
อาจไมสามารถตรวจจบแพกเกตไดทงหมด ในกรณทมาการใชเครอขาย
หนาแนน จนท าให IDS วเคราะหแพกเกตทวงอยบนเครอขายไมทน หรอ
มเสนทางอนทไมผาน IDS
ไมสามารถสรปไดวาการบกรกนนส าเรจหรอไม
ไมสามารถตรวจวเคราะหแพกเกตทถกเขารหสไวได
เครอขายทมสวตซตองตงคา (Configure) เพอใหพอรตทเชอมตอกบ IDS
นนสามารถมองเหนทกแพกเกตทวงผานสวตซได หรอการท า port
mirroring
32
Faculty of Information Technology Page
Adaptive Cooperative IDS
ขอเสยของกลไกปองกนในระดบขอบเขต (Perimeter defense) เชน
IDSs, firewalls, etc.
‣ เครองมอทใชอาจไมรจก threats ใหมๆ หรอ threats เดมทถกดดแปลงไปบาง
‣ ยากตอการ update อยางรวดเรว เพอใหตอบสนองตอ attacks ทกระจายตวเรว
‣ องคกรสมยใหมอาจไมมขอบเขตขององคกรทแนนอน เชน มเครองเขาออก
มาก หรอมการเชอมตอผาน wireless connection
ขอจ ากดของ distributed host-based IDS
‣ Anomaly detectors ทแตละ local nodes พบเหตการณผดปกต
• เชน เครองถกสงใหเชอมตอออกไปภายนอกดวยอตราการเชอมตอสงผดปกต
‣ หลกฐานจากเครองเดยวอาจไมเพยงพอ
• อาจน าไปส false positive ถาตดสนทนทวามการบกรก
• อาจน าไปส false negative ถารอหลกฐานเพมเตม
33
Faculty of Information Technology Page
Adaptive Cooperative IDS
ระบบแบบ Adaptive cooperative
‣ Node ตดตอกนผาน peer-to-peer “gossip” protocol เพอแจงขาวสารตอกน
เกยวกบเหตการณทนาสงสย โดยระบความเปนไปไดของการบกรก
‣ หาก node หนงๆไดรบขาวสารเกยวกบการโจมตใดๆมากเพยงพอ เกนกวาท
ก าหนด node นนอาจตงสมมตฐานไดวาก าลงมการบกรก และเตรยมรบมอ
‣ Node อาจรบมอเองหรอสง alert ไปยงสวนกลาง
ตวอยาง: autonomic enterprise security โดย Intel.
‣ End host และ network device (เชน routers) เปน sensor โดยม sensor
software module ตดตงอย
‣ Sensors ในระบบแบบกระจายนแลกเปลยนขอมล เพอพจารณาสถานะของ
เครอขายรวมกน
‣ หลกฐานจาก node หลายๆ node ท าใหไดหลกฐานทนาเชอถอในเวลาสนๆ
34