การสร้างระบบการป้องกันการบุกรุกโดยใช้...
9
กกกกกกกกกกกกกกก กกกกกกกกกกกกกกกกกกก กกก Open Source Software
description
การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software. การวิเคราะห์ Traffic vs. Content. ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบรายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก traffic และ content analysis IDS - PowerPoint PPT Presentation
Transcript of การสร้างระบบการป้องกันการบุกรุกโดยใช้...
การสร�างระบบการป้องก�นการ บ�กร�กโดยใช้�
Open Source Software
การวิ�เคราะห์ Traffic vs. Content• ในการเลื�อกใช้� tools ที่��เหมาะสม จำ�าเป้�นที่��จำะต้�องม�การที่ราบรายลืะเอ�ยดเก��ยว
ก�บว!ธี�การของการต้รวจำจำ�บการบ�กร�ก
• traffic แลืะ content analysis IDS
• ส%วนใหญ่%จำะใช้� content analysis เน��องจำาก network admin ไม%ม�เวลืาใน การคอยต้รวจำเช้)คข�อม*ลืซึ่,�งม�ขนาดมหาศาลืที่�.งหมดได�
• การว!เคราะห/ Content ของข�อม*ลืจำะเป้�นการต้รวจำหา signatures (rules) ใน payload ซึ่,�งการที่�างานแบบน�.จำะคลื�ายก�บการที่�างานของ anti-virus
software ซึ่,�งจำ�าเป้�นที่��ต้�องก�าหนด signatures หร�อ rules ให�ก�บ IDS
• การเข�ยน rules ให�ก�บ IDS น�.นจำ�าเป้�นที่��ต้�องใช้�ความลืะเอ�ยด เพราะไม% ต้�องการการแจำ�งเต้�อนที่��ไม%จำ�าเป้�นจำาก IDS หร�อ false alarm แลืะก)ไม%
ต้�องการให�เก!ดการต้รวจำจำ�บที่��ผิ!ดพลืาดเช้%นเด�ยวก�น
Content Analysis
• ต้�องม�การ capture packets ที่�.งหมด ซึ่,�งโดยป้กต้! แลื�วขนาดของ Ethernet Packet สามารถม�ขนาด
ได�ถ,ง1500 bytes เพราะฉะน�.นจำ�าเป้�นต้�องม� disk space แลืะ CPU time ในการ process ข�อม*ลื
• ข�อด�ของการว!เคราะห/แบบน�.ค�อง%ายแลืะรวดเร)วกว%า แลืะเป้�น real-time detection มากกว%า
• ข�อเส�ยค�อ โอกาสของความผิ!ดพลืาดของการแจำ�ง เต้�อนน�.นส*งกว%าแลืะต้�องการ resource ของ
system ในการ run มากกว%า
Traffic Analysis
• เป้�นการแป้ลืความหมายจำาก patterns ใน packet header ซึ่,�งจำะแสดง ถ,งความผิ!ดป้กต้!ของ network เพราะฉะน�.นจำ,งม�ความจำ�าเป้�นที่��ผิ*�ว!เคราะห/
จำะต้�องม�ความร* �แลืะที่�กษะในการแป้ลืความหมายจำากข�อม*ลืด�งกลื%าว• เน��องจำาก analyst จำะด*เฉพาะส%วนที่��เป้�น header ฉะน�.นจำ,งม�การ
capture เฉพาะ header ของข�อม*ลื โดยป้กต้!แลื�ว header ที่��จำะต้�องcapture จำะม�ขนาดป้ระมาณ 68 byte แลืะหากต้�องการความถ*กต้�องใน
• การว!เคราะห/จำ,งจำ�าเป้�นต้�องม�การ capture ที่�กๆ header ที่��ผิ%านใน wire • ข�อด�ของ traffic analysis ค�อ ความถ*กต้�องของการแป้ลืความหมาย
ของข�อม*ลื• ผิลืเส�ยค�อ ผิ*�ว!เคราะห/จำะต้�องผิ%านการฝึ8กฝึนมาเป้�นอย%างด� แลืะในการ
process ไม%สามารถเป้�นแบบ real time ได�
The Shadow Method• Shadow เป้�นระบบที่��ใช้�แนวความค!ดของ CIDER (Cooperative Intresion Detection
Evaluation and Response)
• โดยที่�� Shadow จำะเป้�นการรวบรวม Perl scripts ที่��ที่�าการโต้�ต้อบแลืะต้!ดต้%อก�บ tcpdump แลืะ SSH ซึ่,�ง output
• จำากการว!เคราะห/ traffic ของ shadow น�.นจำะเป้�น html document แลืะสามารถด*ได�จำากweb browser Shadow เป้�นโป้รแกรมส�าหร�บระบบป้ฏิ!บ�ต้!การ unix-like shadow แลืะ
• IDS อ��นๆอ�กหลืายช้น!ดจำะป้ระกอบด�วย 2 ส%วนใหญ่%ๆค�อ
• - sensor- analyzer
• sensor จำะเร!�มต้�น tcpdump process ที่�กๆช้��วโมง แลืะจำะหย�ด process ของช้��วโมงที่��แลื�ว แลื�ว analyzer จำะที่�าการด,ง file ของช้ม. ที่��แลื�วโดยใช้� SSH มาที่�าการว!เคราะห/ หลื�งจำากน�.น
analyzer ที่�าการว!เคราะห/ข�อม*ลืของ tcpdump โดยใช้� tcpdump filters แลื�วที่�าการสร�างhtml pages
Snort
• การใช้� snort เป้�น IDS น�.นม�มาต้�.งแต้%ป้: 1998 แลืะใน ป้;จำจำ�บ�นได�ร�บความน!ยมอย%างมาก ซึ่,�ง snort เป้�น open
source
• rule-based แลืะ content analysis snort ม�เข�าส�าหร�บunix platform แลืะ Windows NT/2000
• ส�าหร�บ rules ของ snort น�.นก)สามารถเข�าใจำได�ง%าย ซึ่,�ง ที่�าให�สามารถใช้� snort ก�บ tools อ��นๆได�อ�กแลืะที่��ส�าค�ญ่
ค�อ snort rules ที่�าให�เก!ดการแจำ�งเต้�อนแบบ real time ที่%านสามารถหาข�อม*ลืเพ!�มเต้!มเก��ยวก�บ snort
Open Source Software อื่� นๆ(กล่�าวิโดยสั�งเขป)
- Tcpdump เป้�น network sniffer โดยที่�� tcpdump จำะคอยเฝึาด*แลืะรวบรวม traffic
ที่�.งหมด ก)แม�ว%าจำะม� sniffer อ��นๆ อ�กหลืายต้�วที่��ม�อย*% แต้% tcpdump ม�ข�อด�หลืาย อย%างที่��ได�เป้ร�ยบ sniffer ช้น!ดอ��นๆค�อ tcpdump ม�อย*%ในที่�กๆ platform แลืะ
output ของ tcpdump สามารถน�าไป้ใช้�โดย tools อ�กหลืายช้น!ด แต้%ย�งไงก)แลื�ว แต้% tcpdump ต้�องการ libpcap library ในการจำ�บ packet [ftp://
ftp.ee.lbl.gov/]
- logsurfer เป้�น tool ใช้�ในการ monitor text log files เม��อม�เหต้�การณ/ไม%ป้กต้! เก!ดข,.น logsurfer จำะส%งการแจำ�งเต้�อนไป้ย�ง system asministrator ได� http://
www.cert.dfn.de/eng/logsurf/
- shadow shadow เป้�น IDS ที่��สามารถใช้�ได�ที่� .งที่��เป้�นต้�วม�นเองหร�อใช้�ร%วมก�บapplication อ��นๆhttp://www.nswc.navy.mil/ISSEC/CID/step.tar.gz
snort• เป้�น IDS ซึ่,�งเข�ยนโดยใช้�ภาษา C เป้�น stand-alone program แต้% snort จำะม�
ป้ระส!ที่ธี!=ภาพย!�งข,.นเม��อม�การใช้�ร%วมก�บ tools อ��นๆ http://www.snort.org
• Shadow/Snort Hybrid
– เน��องจำาก shadow ป้ระกอบด�วย Perl scripts ซึ่,�งที่�าหน�าที่��ในการจำ�ดการแลืะ process ข�อม*ลื จำาก sensor
– ในขณะที่�� snort จำะที่�าการprocess tcpdump binary files แต้%เราสามารถที่�าการแก�ไขshadow ให�สามารถที่�าการ process ข�อม*ลืของ tcpdump ผิ%านที่าง snort
– ส%วนหน�าที่��สามารถแก�ไขได�ค�อ ความยาวของข�อม*ลืที่��จำะที่�าการ capture โดย tcpdump ของsensor ซึ่,�งจำะต้�องที่�าการแก�ไขสามารถ capture ข�อม*ลืมากกว%า 88 byte แต้% admin ก)ต้�อง
พ!จำารณาถ,ง disk storage ด�วยน�.นค�อ admin ต้�องเลื�อก snaplen ซึ่,�งสามารถเก)บข�อม*ลืให�ได� ป้ระโยช้น/ในการว!เคราะห/มากที่��ส�ดแต้%ขณะเด�ยวก�นก)ไม%ที่�าให�ป้ระส!ที่ธี!ภาพการ processing ของ
ระบบลืดลืง
– ว!ธี�น�.เหมาะส�าหร�บองค/กรที่��ม�ข�อจำ�าก�ดของบ�คลืากรแลืะเวลืา ถ,งแม�ว%า ข�อม*ลืไม%ถ*กว!เคราะห/แบบreal-time แต้%เพ�ยงแค% admin เพ�ยงคนเด�ยวก)สามารถ respond ได�ต้ลือดเวลืา
sensor ที่�าการ run tcpdump ที่�กๆช้ม. ด�วย snaplen ที่��มากกว%า
analyzer จำะที่�าการต้!ดต้%อผิ%าน SSH ก�บ sensor ที่�กๆช้ม. เพ��อเก)บข�อม*ลืของ ช้ม.ที่��ผิ%านมา
analyzer ที่�าการ run snort ซึ่,�งจำะที่�าการ process data แลืะแจำ�งเต้�อน
program อ��นๆอาจำที่�าการจำ�ดเร�ยง alert file เพ��อง%ายในการอ%านแลืะที่�าความเข�าใจำ
Software ที่� ใช้�
shadow
tcpdump
SSH
Snort
Snort-sort.pl
Apache web Server
A UNIX
