บทที่ 7 : IDS/IPS Part2...ids...
Transcript of บทที่ 7 : IDS/IPS Part2...ids...
Outline
ชองโหวของระบบคอมพวเตอร
การรายงานแจงเตอนภย
การออกแบบและตดตง IDS
ผลตภณฑ IDS/IPS
2
ชองโหวของระบบคอมพวเตอร
มาตรฐานส าหรบการเรยกชอชองโหวและการโจมตทนยมมากทสดคอ CVE (Common Vulnerabilities and Exposure) สรางโดยบรษท MITRE
เปนการรวบรวมขอมลจากผเชยวชาญดานการรกษาความปลอดภยทวโลก
สามารถดขอมลไดจากเวบไซต https://cve.mitre.org
3
เวบไซต https://cve.mitre.org4
ชองโหวของระบบคอมพวเตอร [2]
สวนใหญ IDS จะรายงานโดยบอกรายละเอยดของการโจมตนนๆ รวมไปถงชองโหวทการโจมตนนใชประโยชน ซงเปนสงส าคญทจะท าใหผดแลระบบสามารถวเคราะหและปดชองโหวนนๆได
5
ชองโหวของระบบคอมพวเตอร [3]
ชองโหวทมกพบเปนประจ าไดแก
Input Validation Error Buffer Overflow
Boundary Condition Error
Access Validation Errors
Exceptional Condition Handling Error
Environmental Error
Configuration Error
Race Condition
6
การรายงานแจงเตอนภย
สงทผดแลระบบจะตองคอนฟกใหกบ IDS คอ
1) ซกเนเจอรของการบกรก
2) เหตการณทผดแลระบบใหความส าคญหรอคาดวาจะเปนการน าไปสการบกรกในภายหนา
เหตการณท IDS จะรายงานใหทราบม 3 ประเภท คอ
การส ารวจเครอขาย
การโจมต
เหตการณนาสงสยหรอผดปกต
7
การรายงานแจงเตอนภย: การส ารวจเครอขาย
เปนการส ารวจเครอขายเพอพยายามรวบรวมขอมลกอนทโจมตจรงๆ วธการเชน
IP Scans
Port Scans
Trojan Scans
Vulnerability Scans
File Snooping
8
การรายงานแจงเตอนภย: การโจมต
การโจมตเครอขายจะมการแบงล าดบความส าคญเอาไวตามความรนแรง
หาก IDS รายงานการโจมตทมระดบความรนแรงสง ผดแลระบบจะตองตอบสนองทนท เพอปองกนการสญเสยทมากกวาน
ปกตแลวผดแลระบบจะตองท าการวเคราะหเพมเตมวาเปนการโจมตจรงหรอการสแกน
9
การรายงานแจงเตอนภย: เหตการณทนาสงสย
เปนเหตการณทนอกเหนอจากทกลาวมาขางตน
ซง IDS ไมมขอมลเพยงพอทจะบอกไดวาเปนเหตการณอะไร แตจะแจงเตอนใหผดแลระบบทราบเพอสบหาสาเหตตอไป
เชน ไดรบแพคเกตทมสวนหวผดไปจากทก าหนดในมาตรฐาน ซงอาจเปนการโจมตแบบใหม หรอเนตเวรคการดเครองสงอาจจะเสยกได
10
การออกแบบและตดตง IDS
กอนทจะตดตงและใชงาน IDS ควรมการส ารวจความตองการ ศกษาวธในการตรวจจบการบกรก แลวคอยเลอกโซลชนทเหมาะสมกบโครงสรางและนโยบายการรกษาความปลอดภย
องคกรควรเลอกใชทงโฮสตเบสและเนตเวรคเบสไอดเอสควบคกน เพอการท างานรวมกนอยางมประสทธภาพ
ตดตงเนตเวรคเบสกอน จากนนปองกนเซรฟเวอรทส าคญดวยโฮสตเบส
ควรใชเครองมอวเคราะหชองโหวเพอทดสอบการท างานของ IDS
ควรมการใช Honeypot รวมดวย
11
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย
การตดตง IDS ลงบนเครอขายทใช Hub เปนเรองทงาย เพราะฮบจะแจกจายแพคเกตแบบ Broadcast อยแลว ซงสามารถปรบเนตเวรคการดของ IDS ใหรบทกๆแพคเกตไดเลย
ถาเปนเครอขายทใชสวตชการตดตงจะมความยงยากมากขน เนองจากสวตชจะสงแพคเกตไปยงพอรตทปลายทางเชอมตออยเทานน จงท าให IDS ไมสามารถจบทกๆ แพคเกตทวงในเครอขายได
12
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย [2]
เทคนคการเชอมตอ IDS เขากบเครอขายทใชสวตช มอย 3 วธ คอ
การท า Port Mirroring
การใชฮบ
การใชแทพ (Tap)
13
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย : Port Mirroring
จะใชสวตชทมคณสมบตการท า Port Mirroring ได บางครงเรยกวา Spanning Port
สวตชจะสงตอทกๆแพคเกตทรบจากพอรตหนงไปยงอกพอรตหนง
การใชงาน เชน การท า Port Mirroring จากพอรตทเชอมกบเราเตอรหรอไฟรวอลล
14
การเชอมตอ IDS แบบ Port Mirroring15
ขอด-ขอเสยของการเชอมตอ IDS แบบ Port Mirroring
ขอด ขอเสย
งายตอการตดตง เพราะไมตองเปลยนโครงสรางใดๆบนเครอขาย
สามารถท าไดแบบพอรตตอพอรตเทานน
ไมมผลกระทบตอการคอนฟกไฟรวอลล ประสทธภาพของสวตชจะลดลง
สวตชจะสงตอแพคเกตทสมบรณเทานน ท าใหไมสามารถตรวจจบบางแพคเกตทส าคญในการวเคราะหได
16
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย : การใชฮบ
ใชงานโดยการวางฮบระหวางสวตชและเราเตอร แลวน าIDS ไปเชอมตอเขากบพอรตหนงของฮบ
ขอมลยงคงไหลระหวางเราเตอรและสวตชได และ IDS ยงสามารถตรวจจบทกๆแพคเกตทวงผานเราเตอรและฮบไดดวย
17
ขอด-ขอเสยของการเชอมตอ IDS แบบใชฮบ18
ขอด ขอเสย
งายตอการคอนฟก ไมสามารถเชอมตอไดถาลงกระหวางเราเตอรกบสวตชเปนแบบ Full Duplex แตฮบจะเปนแบบ Half-Duplex
ไมมผลกระทบตอการคอนฟกไฟรวอลล ถาบรหาร IDS ผานฮบตวเดยวกน จะท าใหเพมโอกาสการชนกนของขอมล
มราคาถก ฮบเกดการช ารดไดงาย
เปนวธทไมเปนทนยม เพราะเกดปญหามากกวาวธอนๆ และท าใหประสทธภาพของเครอขายลดลง
การออกแบบและตดตง IDS: การเชอมตอ IDS เขากบเครอขาย : การใชแทพ
เปนวธการทใชแกปญหาการเชอมตอโดยใชฮบหรอ Port Mirroring
อปกรณ Tap จะท าหนาทคลายๆฮบ แตแทพสามารถทนตอขอผดพลาดได (Fault Tolerance)
การเชอมตอจะเปนแบบถาวร (Hardwired) ระหวางสองพอรตหลก
19
การเชอมตอ IDS ดวยแทพแบบ 4 พอรต20
ขอด-ขอเสยของการเชอมตอ IDS แบบใชแทพ21
ขอด ขอเสยทนตอขอผดพลาด หากไฟฟาของแทพดบ ลงกระหวางสองพอรตหลกยงคงใชงานไดอย
แทพมราคาแพง
ไมมผลกระทบตอการไหลของทราฟก การสนสดเซสชนอาจตองมการคอนฟกเพม
ไมท าใหโครงสรางของเครอขายเปลยนไป IDS ตองท างานในโหมดหายตว (Stealth Mode) เทานน
ไมท าใหประสทธภาพของเครอขายลดลง
IDS สามารถมอนเตอรแพคเกตทผดปกตได
การออกแบบและตดตง IDS: การตดตง Network-Based IDS
ค าถามแรกในการตดตงเนตเวรคเบสไอดเอสคอจะตดตงตรงจดไหนของเครอขาย?
หนาไฟรวอลล หรอหลงไฟรวอลล จะดกวากน?
22
จะตดตง Network-Based IDS จดไหนด?23
123
การออกแบบและตดตง IDS: การตดตง Network-Based IDS [2]
ขอดของการตดตงหลงไฟรวอลลสามารถตรวจจบการบกรกทสามารถเจาะผานไฟรวอลลมาได
ใชตรวจสอบการคอนฟกและประสทธภาพของไฟรวอลลได
สามารถตรวจจบการโจมตเซรฟเวอรทอยใน DMZ ได
อาจตรวจเจอแพคเกตทจะสงไปภายนอกได
ขอดของการตดตงหนาไฟรวอลลเกบสถตของจ านวนครงของการโจมตทมาจากภายนอกได
เกบสถตของประเภทการโจมตทมาจากภายนอกได
24
การออกแบบและตดตง IDS: การตดตง Network-Based IDS [3]
ขอดของการตดตงบนแบคโบนหลกของเครอขาย
มอนเตอรทราฟกหลกทไหลเวยนอยในเครอขาย เพอวเคราะหทมาหรอเปาหมายหลกในการโจมตได
ตรวจจบกจกรรมทไมไดรบอนญาตของผใชทวไปได
ขอดของการตดตงบนซบเนตทมความเสยงสง
ตรวจจบการโจมตเปาหมายเปนระบบทส าคญ
ลดจ านวนไอดเอสทตองใช และมอนเตอรเฉพาะจดส าคญเทานน เพอความคมคาในการใชงาน IDS
25
การออกแบบและตดตง IDS: การตดตง Host-Based IDS
ควรตดตงโฮสตเบสไอดเอสเฉพาะกบเซรฟเวอรทส าคญๆ จะท าใหลดคาใชจายลง และท าใหผดแลระบบจดจอกบรายงานการแจงเตอนทมาจากเซรฟเวอรส าคญๆเทานน
หากจะตดตงกบโฮสตสวนใหญ ควรเลอกใชงานระบบ IDS ทสามารถบรหารจดการจากสวนกลางได
ประสทธภาพของโฮสตเบสไอดเอสจะขนอยกบความช านาญของผดแลระบบเปนหลก เพราะฉะนนผดแลระบบตองใชเวลาพอสมควรในการเรยนร
26
ผลตภณฑ IDS/IPS
IDS ทนยมใชงานอยางแพรหลายคอโปรแกรมทชอวา Snort ซงเปน IDS/IPS แบบ Open Source สามารถใชไดทงบน Windows และ Unix มโหมดการใชงาน 3 โหมด คอ
Sniffer Mode
Packet Logger Mode
Network IDS Mode
Inline Mode
27
Snort : www.snort.org28