Information system security wk7-1-ids-ips

Faculty of Information Technology Page

IT346 Information System Security

Week 7-1: IDS/IPS (1)

อ.พงษศกด ไผแดง

1


Intrusion

Intrusion (การบกรก)

‣ เหตการณดานความมนคง หรอกลมของเหตการณดานความมนคงทกอใหเกด

อบตการณ (incident) ทผบกรกไดรบอนญาต หรอพยายามใหไดรบอนญาต

เขามาในระบบ (หรอเขาถงทรพยากรของระบบ) โดยไมไดรบสทธทถกตอง

Intrusion Detection (การตรวจจบการบกรก)

‣ บรการดานความมนคง (Security Service) ทตรวจตรา (monitor) และ

วเคราะหเหตการณในระบบ เพอทจะคนหา และแจงเตอนแบบ real-time หรอ

ใกลเคยง real-time เมอมความพยายามทจะเขาถงทรพยากรของระบบ โดย

ไมไดรบสทธทถกตอง

2


IDS

ระบบตรวจจบการบกรก (Intrusion Detection System: IDS) เปน

เครองมอส าหรบการรกษาความปลอดภยทใชส าหรบตรวจจบความ

พยายามทจะบกรกเครอขาย โดยระบบจะแจงเตอนผดแลระบบเมอมการ

บกรกหรอมการพยายามทจะบกรกเครอขาย

IDS ไมใชระบบทปองกนการบกรก แตเปนระบบทคอยแจงเตอนภย

เทานน

หนาทหลกของ IDS คอ แจงเตอนการเขาใชเครอขายทผดปกต

ในการออกแบบ IDS นน เหตการณใดคอสงผดปกต นนเปนประเดน

ส าคญ

แต IDS ไมสามารถปองกนการบกรกไดโดยทนทแบบ Real time เชน

การโจมตแบบ DoS

ระบบปองกนการโจมต =Intrusion Protection System: (IPS)

3


IPS

IPS สามารถตรวจจบการบกรกและหยดการบกรกไดทนท

IPS มการใชเทคโนโลยขนสงในการวเคราะหขอมล เชน Neural

Network, Fuzzy Logic ซงจะท าใหลดปญหาการแจงเตอนทผดพลาดลง

ไดอยางมาก และท าให IPS บางรน สามารถปองกนการโจมตแบบ DDoS

ไดดวย

การท างานของ IPS จะใชหลกการทเรยกวา Inline หรอ Gateway IDS คอ

มการน า IPS ไปกนกลางบนเสนทางการสงขอมล โดยไมตองมการ

ก าหนด IP Address ใหกบ IPS

‣ ปญหาเกด ถา IPS เสย

‣ ถา IPS ตดสนใจผด

4


Honeypot

Honeypot มกใชรวมกบ IDS/IPS ในการดกจบการบกรก

Honeypot หรอเปาหมายลวง ซงหมายถง เครองเซรฟเวอรทเราปลอยให

มชองโหว เพอลวงใหแฮกเกอรเขามาเจาะระบบ ท าใหเราไดเรยนรวธการ

เจาะระบบของแฮกเกอรอยางละเอยด อาจจะตรวจสอบจนสบหาตวได

กอนทจะเจาะระบบจรง

ปกต Honeypot จะใชความสามารถ “stealth logging” ของระบบในการ

บนทกหลกฐานเพอใชในการสบจบแฮกเกอร

ขอมลเพมเตม http://project.honeynet.org

5

http://project.honeynet.org


Vulnerability Analysis

เครองมอส าหรบวเคราะหจดออน (Vulnerability Analysis) บางทเรยกวา

เครองมอประเมนจดออน (Vulnerability Assessment) เปนเครองมอทใช

ทดสอบวา โฮสตหรอเครอขายมจดออนหรอชองโหวทอาจถกโจมต

หรอไม

การวเคราะหหาจดออนของระบบนนเปนสงทส าคญของการรกษาความ

ปลอดภยในเครอขาย แตจะท าหนาทตางจาก IDS จงไมสามารถทดแทน

IDS ได

เครองมอวเคราะหจดออนใชเพยงชวงเวลาใดเวลาหนง ไมไดใชงาน

ตลอดเหมอนกบ IDS

6


ท าไมตองม IDS/IPS

ระบบ IDS คอ ระบบทใชส าหรบการเฝาระวงหรอมอนเตอรเหตการณ

ตางๆ ทเกดขนในระบบคอมพวเตอรหรอเครอขาย แลววเคราะหเพอหา

รองรอยของการบกรก ซงหมายถง การพยายามทจะท าลายความลบ

ความคงสภาพ และ ความพรอมใชงาน ของขอมล

การตรวจจบ การบกรกทเกดจากการทผบกรกเขาถงระบบจาก

อนเตอรเนต หรอ การทผใชภายในพยายามทจะท าในสงทไมควรจะท า

หรอไมไดรบอนญาต หรอไมมสทธ หรอการทใชสทธพเศษของตนในทาง

ทผด

7



เพอเปนเครองมอส าหรบการสบสวนหาบคคลทโจมต บกรก หรอใชระบบ

ในทางทผด ซงอาจน าไปสการจบกมและลงโทษบคคลเหลาน

เพอตรวจจบการโจมตหรอการฝาฝนขอบงคบของระบบรกษาความปลอดภย

ทไมสามารถปองกนไดจากระบบการรกษาความปลอดภยอน

เพอตรวจจบความพยายามทจะบกรกเครอขายและปองกนกอนทจะเกดการ

โจมตจรงๆ

เพอเกบรวบรวมสถตเกยวกบความพยายามหรอการโจมต และน าขอมลไป

วเคราะหภยคกคามทอาจเกดขนกบองคกรได

8



เพอเปนเครองมอในการวดประสทธภาพในการปองกนภยของระบบรกษา

ความปลอดภยอนๆ เชน ไฟรวอลล

เพอเปนขอมลทเปนประโยชนเมอมการบกรกเกดขนจรงๆ ซงจะชวยใน

การคนหาสวนทถกโจมต การกคนระบบหรอขอมล และการแกไขผลเสย

ทเกดจากการบกรก และการปองกนในอนาคตได

9


สาเหตทชองโหวหรอจดออนยงไมไดแกไข

ระบบปฏบตการทเกาหรอลาสมยไปแลว ไมสามารถแกไขชองโหวหรอ

จดออนทพบได

ถงแมวาระบบปฏบตการจะมแพตซ (patch) ส าหรบแกไขชองโหว แต

ผดแลระบบอาจไมมเวลา

ไมมเครองมอทจะคอยตดตามวาเครองไหนทไดตดตงแพตซหรออพเดต

เรยบรอยแลว ซงเปนปญหาประจ า โดยเฉพาะกบเครอขายทมโฮสตมาก

ผใชอาจมความจ าเปนทตองใชชองโหวหรอจดออนในการปฏบตงาน ซง

อาจเปนชองโหวทผไมหวงดอาจใชชองโหวเดยวกนในการท าลายระบบ

10


สาเหตทชองโหวหรอจดออนยงไมไดแกไข

ขอผดพลาดอาจเกดจากผใชหรอผดแลระบบ ซงอาจเกดขนเนองจาก

ความไมไดตงใจหรอเขาใจผด หรอผดแลอาจจะตงคา (configure) ระบบ

ไมถกตอง

ในการ configure ระบบควบคมการเขาถงระบบ (Access Control) เพอให

เปนไปตามนโยบายการรกษาความปลอดภยหรอระเบยบใชงาน

คอมพวเตอรนน มกมขอขดแยงเกดขนเสมอ ซงความขดแยงนอาจท าให

ผใชบางคนสามารถใชงานระบบมากกวาสทธทไดรบอนญาตกได

11


ขนตอนการโจมตเครอขายสวนใหญ

การสแกน (probing) เพอเรยนรระบบหรอเครอขาย พรอมทงคนหาชองโหวท

สามารถโจมตได

หลงจากพบชองโหวแลว ผบกรกกสามารถใชเครองมอเฉพาะส าหรบใชชองโหว

ดงกลาวเพอเขาถง และท าลายระบบในทสด

การเกบสถตของการโจมตเครอขายเปนสงส าคญ ซงขอมลนอาจใชส าหรบการ

วางแผนดานการปรบปรงระบบรกษาความปลอดภยในเครอขาย อยางนอย IDS ก

จะเปนเครองมอส าหรบแจงเตอนวามความพยายามทจะบกรก หรอมการบกรก

เกดขนจรงในเครอขาย

12


ขดความสามารถของ IDS

มอนเตอรและวเคราะหเหตการณทเกดขนในระบบและพฤตกรรมของผใช

ทดสอบระดบความปลอดภยของระบบ

บอกถงระดบมาตรฐานความปลอดภยของระบบ และเฝาตดตามการเปลยนแปลง

จากระดบดงกลาว

เรยนรล าดบเหตการณของระบบทเกดจากการโจมตทรลวงหนา

เรยนรล าดบเหตการณของระบบทแตกตางจากเหตการณปกต

จดการขอมลเกยวกบอเวนตลอก (Event Log) และ ออดทลอก (Audit Log) ของ

ระบบปฏบตการ

รายงานขอมลเกยวกบนโยบายการรกษาความปลอดภยพนฐาน

อนญาตใหผทยงไมมความช านาญทางดานการรกษาความปลอดภยสามารถ

มอนเตอรความปลอดภยได

13


ขอจ ากดของ IDS

ไมสามารถปดชองโหวหรอจดออนของระบบทไมไดปองกนโดยระบบรกษา

ความปลอดภยอน

ไมสามารถตรวจจบ รายงาน และตอบโตการโจมตไดในชวงเวลาทมการใช

เครอขายอยางหนาแนน หรอ โหลดของเครอขายมากเกนไป

ไมสามารถตรวจจบการโจมตใหมๆ หรอการโจมตเกาแตเปลยนรปแบบการ

โจมต

ไมสามารถตอบโตการโจมตไดอยางมประสทธภาพตอผบกรกทมความช านาญ

สง

ไมสามารถสบหาผบกรกไดโดยอตโนมต การสบหาผบกรกนนตองอาศยคน

ชวยในการวเคราะห เพอสบสวนเรองราว

ไมสามารถขดขวางไมให IDS ถกโจมต เอง

ไมสามารถปองกนปญหาเกยวกบความถกตองของแหลงขอมล

ไมสามารถท างานไดดในระบบเครอขายทใชสวตซ 14


ประเภทของ IDS

Host-based IDS

‣ เปนระบบทตดตงทโฮสต คอยเฝาระวงและตรวจจบความพยายามทจะถกบก

รกโฮสตนน

Network-based IDS

‣ เปนระบบทตรวจดทราฟฟค (traffic) ทวงอยในเครอขายและแจงเตอน ถาพบ

หลกฐานทคาดวาจะเปนการบกรกเครอขาย

‣ ไดจากการตรวจตราและวเคราะหโปรโตคอลในระดบ network, transport และ

application

15


ประเภทของ IDS

16


IDS Components

Sensor ท าหนาทเกบขอมล

‣ Input ส าหรบ sensor เปนขอมลจากสวนตางๆของระบบทอาจบรรจหลกฐาน

ของการบกรก

‣ ชนดของ input ส าหรบ sensors ไดแก network packets, log files และsystem

call traces

‣ Sensors เกบรวบรวมขอมลและสงตอไปยง analyzer

Analyzer วเคราะหเพอระบวามการบกรกเกดขนหรอไม

‣ รบ input จาก sensors หรอจาก analyzer ตวอน

‣ Output ของ analyzer บงชวามการบกรกเกดขนหรอไม

‣ Output อาจรวมหลกฐานทสนบสนนวามการบกรกเกดขนจรง

‣ Analyzer อาจระบแนวทางเกยวกบการด าเนนการ (action) ทควรใชเพอ

ตอบสนองตอการบกรก

17


IDS Components

User Interface ใชในการด output หรอควบคมพฤตกรรมตางๆของระบบ

‣ ในบางระบบ user interface อาจน าเสนอหรอน าขอมลไปใหกบผจดการระบบ

ผบรหาร หรอองคประกอบ console อนๆ

18


Host-based IDS

Host-based IDS เปนซอฟตแวรทรนบนโฮสต โดยปกตแลว IDS นจะ

วเคราะหลอก (Log) เพอคนหาขอมลเกยวกบการบกรก

‣ ในระบบยนกซ Log ท IDS จะตรวจสอบเชน Syslog, Messages, Lastlog,

Wtmp

‣ ในระบบวนโดวส Log ท IDS จะตรวจสอบเชน System, Application, Security

โดยปกต IDS จะอานเหตการณใหมทเกดขนใน Log และเปรยบเทยบกบ

กฎทก าหนดไวกอนหนา ถาตรงกจะแจงเตอนทนท

ดงนน การท IDS จะตรวจจบการบกรกได ระบบจะตองบนทกเหตการณ

ตางๆ ทส าคญทเกดขนกบระบบในลอกไฟล มเชนนน IDS กไมมขอมลท

ใชวเคราะหวามการบกรกหรอไม

19


ขอดของ Host-based IDS

สามารถตรวจพบทกการบกรกกบโฮสตนนๆ ไดเสมอ ถาระบบสามารถ

บนทกเหตการณดงกลาวใน Log ได หรอ การบกรกมการเรยกใช System

Calls

สามารถบอกไดวาการบกรกนนส าเรจหรอไม โดยการวเคราะหขอความ

ใน Log หรอจากหลกฐานอนๆ เชน มการแกไขไฟลทส าคญของระบบ

เปนตน

สามารถระบไดวามการเขาใชงานระบบอยางผดปกตโดยผใชของระบบเอง

20


ขอเสยของ Host-based IDS

โพรเซสของ IDS อาจถกโจมตเองจนไมสามารถแจงเตอนได

Host-based IDS จะแจงเตอนกตอเมอเหตการณทเกดขนนนตรงกบท

ก าหนดไวกอนหนา ถาแฮกเกอรมเทคนกใหมๆ IDS อาจไมแจงเตอนการ

บกรกกได

การท างานของ Host-based IDS อาจมผลกระทบตอประสทธภาพของ

โฮสตเอง เนองจากตองตรวจสอบ Log File และ System Calls

21


Network-Based IDS (NIDS)

ระบบ NIDS ทตรวจตรา traffic ณ จดบางจดบนเครอขาย

‣ พจารณา packet ทละ packet แบบ real-time หรอใกลเคยง real-time

‣ อาจพจารณาการท างานในระดบ network, transport และ/หรอ application-

level protocol

‣ พจารณา packet traffic ทเขาไปสระบบหรอเครอขายทมความเปราะบาง หรอ

มความส าคญ

NIDS ประกอบดวย sensors หลายตว เครอง server หรอกลมของ server

ทท าหนาทจดการระบบ NIDS และ management console ส าหรบตดตอ

กบผดแลระบบ

‣ การวเคราะหรปแบบ (pattern) ของ traffic อาจท าท sensors, management

server หรอททงสองสวนประสานกน

22


NIDS Sensor Deployment

Inline sensor

‣ แทรกอยในสวนของเครอขาย (network segment) เพอให traffic ทไดรบการ

monitor วงผาน sensor

‣ รวมตรรกะการท างานของ NIDS sensor เขาไปในอปกรณเครอขายอนๆ เชน

firewall หรอ LAN switch

‣ หรอใช inline NIDS sensor

แบบ stand-alone

Passive sensors

‣ Monitor ส าเนา (copy) ของ traffic

‣ Sensor เชอมตอกบสายสงสญญาณดวย

physical tap ทสง copy ของ traffic มาให

‣ Network card ของ tap ไมม IP address

23


Network-based IDS (NIDS)

อาจใชซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนงตางหาก IDS นจะ

ม network card ทท างานใน Promiscuous mode

Promiscuous Mode : โหมดการท างานซง network card จะรบทกๆ แพก

เกตทวงอยบนเครอขาย แลวสงตอไปใหแอพพลเคชนเพอจดการตอไป

เมอทกๆแพกเกตสงผานไปใหแอพพลเคชน IDS จะวเคราะหขอมลใน

แพกเกตเหลานน กบขอมลทเปนรปแบบของการบกรกทเกบไวใน

ฐานขอมลกอนหนา ถาตรง IDS จะแจงเตอนทนท

ในแตละ IDS จะมฐานขอมลทใชส าหรบเปรยบเทยบ เรยกวา Signature

24


Network-based IDS (NIDS)

สวนใหญ IDS นจะม 2 network card

‣ อนแรก จะเชอมตอเขากบเครอขายทตองการเฝาระวงหรอตรวจจบการบกรก

และไมม ไอพแอดเดรส ดงนนเครองอนๆ ไมสามารถมองเหนเครองน

‣ อนทสอง จะเชอมตอเขากบอกเครอขาย เพอใชส าหรบสงการแจงเตอนไปยง

เซรฟเวอร โดยเครอขายนตองไมเชอมตอกบเครอขายหลก เพอปองกนการ

โจมตเอง

25


NISD Sensor Deployment Example

Internet traffic passes

through external firewall

that protects the entire

facility

Traffic from outside world is monitored

Internal firewalls

provides more

specific protection

to certain parts of network

NIDS sensor inside external firewall:

• See attack that can penetrate external firewall.

• Highlights problems with network firewall policy

or performance

• Sees attacks that might target Web server or ftp

server

• IDS can sometimes recognize outgoing traffic that results from compromised server

26



NIDS sensor between

external firewall and

WAN:

• can monitor all

network traffic,

unfiltered

• Documents number

and type of attacks

originating on Internet that target the network

NIDS sensor on backbone:

• Monitors large amount of network’s traffic,

increasing the possibility of spotting attacks

• Detects unauthorized activity by authorized

users within organization

27



NIDS sensor in important LAN:

• Detects attacks targeting critical systems and resources

• Allows focusing of limited resources to network assets

considered of greatest value

28


ตดตง IDS หนา/หลงไฟรวอลล

ขอดของการตดตง IDS หนาไฟรวอลล

‣ สามารถตรวจจบการบกรกจากภายนอกทสามารถเจาะผานไฟรวอลลได

‣ ตรวจสอบความถกตองในการคอนฟกไฟรวอลล หรอ ประสทธภาพของไฟร

วอลลในการปองกนการบกรก

‣ สามารถตรวจจบการโจมตเซรฟเวอรทอยใน DMZ เชน web server, mail

server หรอ DNS server

‣ บางท IDS อาจตรวจไมเจอแพกเกตการบกรกทสงจากภายนอก แตกอาจ

ตรวจเจอแพกเกตทสงไปขางนอกซงเปนผลมาจากการโจมต

ขอดของการตดตง IDS หลงไฟรวอลล

‣ เกบสถตเกยวกบจ านวนครงการโจมตทมาจากภายนอก หรออนเทอรเนตทม

เปาหมายเปนเครอขายภายใน

‣ เกบสถตเกยวกบประเภทการโจมตทมาจากภายนอก หรออนเทอรเนตทม

เปาหมายเปนเครอขายภายใน

29


จดการตดตง IDS บนเครอขาย

ขอดของการตดตง IDS บน backbone หลกของเครอขาย

‣ มอนเตอรทราฟกหลกทไหลเวยนภายในเครอขาย ซงจะเปนขอมลทชวยใน

การวเคราะหและคนหาทมา หรอเปาหมายของการโจมต

‣ ตรวจจบกจกรรมทไมไดรบอนญาตของผใชท วไปทอยในเครอขาย

ขอดของการตดตง IDS บนซบเนตทมความเสยงสง

‣ ตรวจจบการโจมตทมเปาหมายเปนระบบหรอ resource ทส าคญ

‣ เปนการลดจ านวน IDS ทตองใช และเปนการมอนเตอรเฉพาะจดทส าคญๆ

เพอจะไดเปนการคมคาตอการใชงาน IDS

30


ขอดของ Network-based IDS

Network-based IDS จะถกซอนไวในเครอขาย ท าใหผบกรกไมรวาก าลง

ถกเฝามองอย

Network-based IDS หนงเครอง สามารถใชเฝาระวงการบกรกไดกบ

หลายระบบ หรอ โฮสต

สามารถตรวจจบทกๆ แพกเกตทวงไปยงระบบทถกเฝาระวงภยอย

31


ขอเสยของ Network-based IDS

จะแจงเตอนกตอเมอตรวจพบแพกเกตทตรงกบ signature ทก าหนดไว

กอนหนาเทานน

อาจไมสามารถตรวจจบแพกเกตไดทงหมด ในกรณทมาการใชเครอขาย

หนาแนน จนท าให IDS วเคราะหแพกเกตทวงอยบนเครอขายไมทน หรอ

มเสนทางอนทไมผาน IDS

ไมสามารถสรปไดวาการบกรกนนส าเรจหรอไม

ไมสามารถตรวจวเคราะหแพกเกตทถกเขารหสไวได

เครอขายทมสวตซตองตงคา (Configure) เพอใหพอรตทเชอมตอกบ IDS

นนสามารถมองเหนทกแพกเกตทวงผานสวตซได หรอการท า port

mirroring

32


Adaptive Cooperative IDS

ขอเสยของกลไกปองกนในระดบขอบเขต (Perimeter defense) เชน

IDSs, firewalls, etc.

‣ เครองมอทใชอาจไมรจก threats ใหมๆ หรอ threats เดมทถกดดแปลงไปบาง

‣ ยากตอการ update อยางรวดเรว เพอใหตอบสนองตอ attacks ทกระจายตวเรว

‣ องคกรสมยใหมอาจไมมขอบเขตขององคกรทแนนอน เชน มเครองเขาออก

มาก หรอมการเชอมตอผาน wireless connection

ขอจ ากดของ distributed host-based IDS

‣ Anomaly detectors ทแตละ local nodes พบเหตการณผดปกต

• เชน เครองถกสงใหเชอมตอออกไปภายนอกดวยอตราการเชอมตอสงผดปกต

‣ หลกฐานจากเครองเดยวอาจไมเพยงพอ

• อาจน าไปส false positive ถาตดสนทนทวามการบกรก

• อาจน าไปส false negative ถารอหลกฐานเพมเตม

33


Adaptive Cooperative IDS

ระบบแบบ Adaptive cooperative

‣ Node ตดตอกนผาน peer-to-peer “gossip” protocol เพอแจงขาวสารตอกน

เกยวกบเหตการณทนาสงสย โดยระบความเปนไปไดของการบกรก

‣ หาก node หนงๆไดรบขาวสารเกยวกบการโจมตใดๆมากเพยงพอ เกนกวาท

ก าหนด node นนอาจตงสมมตฐานไดวาก าลงมการบกรก และเตรยมรบมอ

‣ Node อาจรบมอเองหรอสง alert ไปยงสวนกลาง

ตวอยาง: autonomic enterprise security โดย Intel.

‣ End host และ network device (เชน routers) เปน sensor โดยม sensor

software module ตดตงอย

‣ Sensors ในระบบแบบกระจายนแลกเปลยนขอมล เพอพจารณาสถานะของ

เครอขายรวมกน

‣ หลกฐานจาก node หลายๆ node ท าใหไดหลกฐานทนาเชอถอในเวลาสนๆ

34

Information system security wk7-1-ids-ips

Education

Transcript of Information system security wk7-1-ids-ips