ระบบตรวจจับการบุกรุก (Intrusion Detection System ,IDS) คืออะไร
ระบบตรวจจับการบุกรุกเป็นส่วนหนึ่งของการรักษาความปลอดภัยภายในระบบเครือข่าย คอมพิวเตอร์ซึ่งเป็นระบบที่ใช้ในการตรวจจับการใช้งานและความพยายามในการใช้งาน คอมพิวเตอร์หรือ เครือข่ายคอมพิวเตอร์ซึ่งขัดกับข้อบังคับและเจตุจำนงค์การใช้งาน ซึ่งส่งผลต่อความปลอดภัยของระบบคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ 3 ประการคือ Confidentiality, Integrity และ Availabilityระบบตรวจจับการบุกรุกสามารถเข้ามาช่วยตรวจสอบการละเมิดการใช้งานดังกล่าวได้โดยจะสามารถแจ้งเตือน หรือกระทำเหตุการณ์ที่ผู้ดูแลระบบกำหนดเพื่อป้องกันความเสียหายที่จะเกิดขึ้นดังนี้Confidentiality: การป้องกันข้อมูลจากผู้ที่ไม่ได้สิทธิในการเข้าถึง
Integrity: การป้องกันไม่ให้ผู้ที่ไม่มีสิทธิแก้ไขข้อมูลAvailability: การป้องกันไม่ให้ผู้ที่ไม่มีสิทธิทำข้อมูลเสียหายจนไม่สามารถให้บริการข้อมูลเหล่านั้นได้
ชนิดของระบบตรวจสอบการบุกรุก
1. Network Based Intrusion Detection System (Network Based IDS) ระบบนี้จะทำการวิเคราะห์กิจกรรมต่างๆที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ว่าเป็นการบุกรุกหรือความพยายามในการบุกรุกหรือไม่โดยอาศัยค่าต่างๆ อาทิเช่น ปริมาณข้อมูลบนเครือข่าย, ลักษณะของpacket ที่ส่งเข้ามาภายในเครือข่าย การทำงานของ Network Based IDS มีลักษณะเป็น Realtimeเมื่อมีผู้บุกรุกเข้ามาจะสามารถรู้และร้องเตือนหรือกระทำเหตุการณ์ใดๆได้ทันที
2. Host Based Intrusion Detection System (Host Based IDS) ระบบนี้จะทำงานอยู่บนเครื่องคอมพิวเตอร์แต่ละเครื่อง โดยจะตรวจสอบกิจกรรมต่างๆที่เกิดขึ้นว่าเป็นกิจกรรมที่เป็นความพยายามในการบุกรุกหรือไม่ มีลักษณะเป็น Real-time เช่นเดียวกับ Network Based IDS
3. Vulnerability Scanners จะช่วยในการตรวจสอบระบบว่ามีความเสี่ยงต่อการถูกบุกรุกมากแค่ไหน โดยจะทำหน้าที่ในการหาช่องโหว่ของระบบ ต่างจาก Network และ Host Based IDS ตรงที่ไม่ได้ทำงานแบบ Real-time แต่จะทำงานเป็นเวลาตามสั่ง
การทำงานของ Network Based Intrusion Detection System
Network based IDS จะทำหน้าที่ตรวจสอบข้อมูลภายในเครือข่ายว่าเป็นการบุกรุกหรือไม่ โดยปกติแล้วเครื่องคอมพิวเตอร์ที่อยู่ภายในเครือข่ายจะรับข้อมูลที่มีปลายทางถึงตัวมันเท่านั้น โดยจะไม่สนใจข้อมูลอื่นที่ระบุปลายทางถึงเครื่องอื่น แต่เครื่องคอมพิวเตอร์สามารถรับข้อมูลทั้งหมดที่มันเห็นได้ถ้า Networkadapter ทำงานในโหมด promiscuous ซึ่งจะเรียกเครื่องคอมพิวเตอร์ดังกล่าวว่าเป็น Packet Sniffer การทำงานของ Network based IDS ก็จะมีลักษณะที่เป็น Packet Sniffer และจะนำ packet ที่ได้รับมาวิเคราะห์ดังนี้
• เปรียบเทียบ packet กับ attack signature ที่เก็บอยู่ในฐานข้อมูลของซอฟต์แวร์ IDS ที่ใช้ ซึ่งattack signature คือรูปแบบของข้อมูลที่เป็นลักษณะของการบุกรุกในแบบต่างๆที่ขึ้นอยู่กับวิธีการบุกรุก ถ้าซอฟต์แวร์ IDS มี attack signature ในฐานข้อมูลที่ตรงกับข้อมูลของการบุกรุกซอฟต์แวร์ IDS ก็สามารถร้องเตือนได้ว่ามีผู้บุกรุก แต่ถ้าไม่ตรงกันก็อาจเป็นไปได้ 2 ทางคือpacket นั้นเป็น packet ปกติ หรือเป็น packet ที่ผู้บุกรุกส่งมาแต่ซอฟต์แวร์ IDS ไม่สามารถตรวจสอบได้เพราะไม่มีข้อมูลเช่นนี้ในฐานข้อมูลซึ่งส่วนใหญ่จะเป็นช่องโหว่แบบใหม่ที่เกิดขึ้นที่มักจะเกิดขึ้นใหม่อยู่เสมอ เพราะฉะนั้น ซอฟต์แวร์ที่ดีควรจะมีการปรับปรุงข้อมูลของ attack signature
ให้ทันสมัยอยู่เสมอ
คุณสมบัติของ Network based IDS
คุณสมบัติหลักที่ควรมีในซอฟต์แวร์ประเภท Network based IDS คือ
• สามารถตั้งค่า Configuration ต่างๆของ Network based IDS หลายตัวจากคอนโซลตัวกลาง(central console) ในกรณีที่ภายในเครือข่ายต้องใช้ Network based IDS หลายตัวเพื่อให้ง่ายในการจัดการ
• สามารถรายงานผลลัพธ์ต่างๆจาก Network based IDS มายังคอนโซลตัวกลาง
• การติดต่อระหว่างคอนโซลและ Network based IDS ต้องเป็นข้อมูลที่ถูกเข้ารหัสไว้ เพื่อความ
ปลอดภัยจากการถูกดักข้อมูลกลางทาง
• สามารถกำหนดค่าของ attack signature ได้
• มีการรายงานผลที่ง่ายในการเข้าใจ
• สามารถเตือนได้ทันที (real-time alert) เมื่อมีผู้บุกรุกเข้ามาในระบบ
เหตุการณ์ที่ Network based IDS สามารถตรวจสอบได้
• การพยายามในการเดา sequence number
• การปลอมแปลง IP address
• Session hijacking
• IP fragmentation
• Denial-of-service
• การถูก scan จาก port scanner ต่างๆ
ข้อดีของ Network based IDS
• ประหยัดและง่ายในการนำมาใช้งานเนื่องจากต้องการเครื่องคอมพิวเตอร์เพียงเครื่องเดียวต่อหนึ่งsubnet ซึ่งถ้าใช้ Host IDS ก็จะต้องติดตั้งซอฟต์แวร์บนเครื่องคอมพิวเตอร์ทุกเครื่อง
ข้อจำกัดของ Network based IDS
• ไม่สามารถตรวจสอบ packet ที่ถูก encrypt เพราะ Network based IDS ไม่สามารถเปรียบเทียบpacket นั้นๆกับบาง attack signature ได้
• ไม่สามารถตรวจสอบในเหตุการณ์ที่ Host IDS ตรวจสอบได้ เช่น การเข้าถึงในระดับไฟล์และ
ไดเรกทอรีของเครื่อง
Host Based Intrusion Detection System
ลักษณะการตรวจสอบของระบบนี้จะมี 2 ลักษณะคือ
1. การตรวจสอบทางด้านเครือข่าย (Network monitors) จะตรวจสอบ packet ที่เข้ามาในเครื่องคอมพิวเตอร์ว่าถ้าเป็นข้อมูลที่ไม่ปลอดภัยก็จะไม่รับ packet เหล่านี้ก่อนที่มันจะทำความเสียหายให้กับเครื่องคอมพิวเตอร์ การตรวจสอบของระบบนี้จะต่างจาก NetworkBased IDS ตรงที่ระบบนี้จะตรวจสอบเฉพาะข้อมูลที่เข้ามาในเครื่องคอมพิวเตอร์ที่มีซอฟต์แวร์นี้อยู่เท่านั้น แต่สำหรับ Network based IDS จะตรวจสอบข้อมูลทั้งเครือข่าย โดยจะตรวจสอบดังต่อไปนี้
• ตรวจสอบว่ามีความพยายามในการติดต่อกับพอร์ต TCP หรือ UDP ซึ่งพอร์ตนั้นๆไม่
ได้เปิดให้บริการ เพื่อหาช่องโหว่ของเครื่องคอมพิวเตอร์
• ตรวจสอบว่ามีความพยายามในการสแกนพอร์ตต่างๆของเครื่องคอมพิวเตอร์
2. การตรวจสอบภายในเครื่องคอมพิวเตอร์ (Host monitors) จะตรวจสอบ files, file systems, log file และกิจกรรมต่างๆของ root และ user ว่ามีความพยายามในการทำความเสียหายให้กับระบบหรือไม่ โดยจะตรวจสอบสิ่งเหล่านี้
• ตรวจสอบการใช้งานของ User ตั้งแต่การ Login จนกระทั่ง Logout ออกจากระบบว่ามีการกระทำอะไรที่ผิดปกติหรือไม่ เช่น
· user พยายามที่จะแก้ไขไฟล์ configuration หรือ ลบ log files ของระบบ
· user พยายามหาทางที่จะเป็น Root ให้ได้
· user พยายามนำโปรแกรมใดๆก็ตามมาติดตั้งในระบบ
· user พยายามเปลี่ยนตัวเองเป็น user คนอื่น
• ตรวจสอบกิจกรรมของ root เนื่องจากโดยทั่วไปแล้วผู้ที่บุกรุกเข้ามาในเครื่องจะพยายามที่เป็น root เพื่อจะได้มีสิทธิในการทำสิ่งต่างๆ ถ้ามีการกระทำที่ผิดปกติของroot ซอฟต์แวร์ Host IDS ก็จะสามารถแจ้งเตือนได้ เช่น
· root พยายามที่จะแก้ไขไฟล์ configuration หรือ ลบ log files ของระบบ
· นำโปรแกรมที่ส่อเค้าไปในทางไม่ดีมาลงเช่น โปรแกรม Packet Sniffer หรือโปรแกรมพวก BackDoor ต่างๆ
• ตรวจสอบ File Systems ภายในเครื่องคอมพิวเตอร์ ว่ามีการเปลี่ยนแปลงไฟล์Configuration ที่สำคัญๆหรือไม่
• ตรวจสอบว่ามีความพยายามในการติดตั้งซอฟต์แวร์ Packet Sniffer หรือไม่ หรือพยายามแก้ไข file systems ภายในเครื่องคอมพิวเตอร์ เพื่อจะทำให้ซอฟต์แวร์ IDSหยุดทำงาน
ข้อดีของ Host IDS
• สามารถตรวจสอบเหตุการณ์ต่างๆได้ละเอียดกว่า Network based IDS ดังที่กล่าวข้างต้น
ข้อเสียของ Host IDS
• ต้องนำซอฟต์แวร์ไปติดตั้งทุกเครื่องที่ต้องการตรวจสอบ เพราะฉะนั้นถ้ามีเครื่องคอมพิวเตอร์
จำนวนมากจะทำให้ค่าใช้จ่ายค่อนข้างสูงและต้องการการดูแลค่อนข้างมาก
• ใช้ทรัพยากรของเครื่องสูงจึงทำให้เครื่องคอมพิวเตอร์ทำงานหนัก และอาจทำให้การบริการที่มีอยู่
ในเครื่องทำงานช้าลง
Vulnerability scanner ทำหน้าที่ช่วยประเมินว่าระบบมีความเสี่ยงต่อการถูกบุกรุกมากเพียงใด โดย
จะทำหน้าที่ในการหาช่องโหว่ของระบบ ซึ่งจะตรวจสอบปัญหาจากสาเหตุดังนี้
• สาเหตุที่เกิดจากช่องโหว่ของซอฟต์แวร์ที่ทำงานอยู่ในระบบ เช่น ถ้าเครื่องให้บริการ WWW ติดตั้งซอฟต์แวร์ Apache เวอร์ชันที่มีช่องโหว่อยู่ ผู้บุกรุกก็จะสามารถเจาะเข้ามาจากช่องโหว่นั้นได้ ซึ่งนอกจากนี้ก็ยังมีซอฟต์แวร์อื่นๆอีกมากมายที่สามารถเกิดช่องโหว่ได้ ซึ่งตัว scanner ก็จะช่วยตรวจสอบและผู้ดูแลก็จะต้องทำการ upgrade ซอฟต์แวร์เพื่อปิดจุดอ่อนเหล่านี้เป็นต้น
อาจเป็นช่องโหว่ของระบบ เช่น ในไฟล์ /etc/inetd.conf อาจจะเปิด port ต่างๆที่เป็นช่องโหว่เอาไว้
เป็นต้น
• ข้อผิดพลาดของผู้ดูแลระบบในการตั้งค่าของโปรแกรมหรือระบบปฏิบัติการ คล้ายๆกับข้อผิดพลาดข้างต้นแต่เป็นข้อผิดพลาดของผู้ดูแลระบบเองที่ทำให้เกิดช่องโหว่ เช่น การตั้งค่าผิด หรือการไม่มีความรู้ในการใช้งานโปรแกรมนั้นๆเป็นต้น
• กรณีที่มีผู้ไม่หวังดี หรือ cracker นำโปรแกรมที่เรียกว่า Backdoor มาวางไว้ในเครื่องคอมพิวเตอร์โดย cracker อาจจะใช้โปรแกรมประเภทนี้ทำความเสียหายให้กับเครื่องที่ติดตั้งโปรแกรมนี้หรือใช้เครื่องๆนี้ในการทำความเสียหายให้กับเครื่องคอมพิวเตอร์เครื่องอื่น โดยสามารถควบคุมการทำงานของโปรแกรม Backdoor ได้
1. มี Firewall เป็นด่านป้องกันด่านแรกที่ทำหน้าที่กรองข้อมูลที่ไม่ต้องการไม่ให้เข้ามาในเครือข่ายภายในหรือไม่ให้ข้อมูลภายในออกไปข้างนอก
2. มี Network based IDS เป็นด่านป้องกันด่านที่สอง ทำหน้าที่ตรวจสอบข้อมูลที่ผ่านจาก Firewallแล้วเข้ามาในเครือข่ายภายใน ว่าเป็นข้อมูลที่ปลอดภัยหรือไม่ โดยถ้าพบสิ่งที่ผิดปกติก็สามารถร้องเตือนได้ทันที
3. มี Host-based IDS เป็นด่านป้องกันด่านสุดท้าย ในสิ่งที่ Network based IDS ไม่สามารถตรวจ
สอบได้ โดยถ้าพบสิ่งที่ผิดปกติก็สามารถร้องเตือนได้ทันที
4. มี Vulnerability Scanners เป็นตัวที่คอยตรวจสอบช่องโหว่ของเครื่องคอมพิวเตอร์อยู่เสมอหรือถ้าหากมีการนำเครื่องคอมพิวเตอร์มาติดตั้งใหม่ในเครือข่าย Vulnerability Scanners ก็จะช่วยตรวจสอบเพื่อไม่ให้ระบบเครือข่ายเกิดช่องโหว่ด้วยเครื่องที่เพิ่งเปิดใช้การใหม่
ระบบบริการที่พัฒนาขึ้นตรงตามเอกสารนี้จะให้บริการทางด้าน Vulnerability Scanner ที่ผู้ใช้
สามารถใช้งานผ่าน world wide web ทำให้ง่ายและสะดวกในการใช้งาน โดยผู้ใช้เรียกใช้ผ่าน Web Browser และใส่ login, password และ IP หรือ ชื่อ ของเครื่องคอมพิวเตอร์ที่ต้องการจะตรวจสอบ แล้วรอ
ให้ Scanner Server ทำหน้าที่สแกนหาช่องโหว่ต่างๆ จากรูปที่ 2.3 การติดต่อระหว่าง Web Browser ในฝั่งผู้ใช้กับ Scanner Server จะเป็นการติดต่อที่มีความปลอดภัยเนื่องจากจะใช้งานผ่าน SSL (Secure Socket Layer) ที่เป็นแบบ Client-Server โดย Server ตัวเดียวสามารถให้บริการกับเครื่อง Client หลายเครื่อง ทำให้ผู้ดูแลระบบดูแลเครื่องคอมพิวเตอร์เพียงเครื่องเดียวก็สามารถให้บริการได้ และในส่วนของผู้
ใช้ก็ไม่ต้องติดตั้งโปรแกรม Client ที่เป็น Front-end ในการสแกน เนื่องจากการสั่งการทุกอย่างสามารถทำผ่าน Web Browser ได้ทันที
แผนภาพแสดงการทำงานของระบบตรวจจับการบุกรุก
ตัวอย่างการทำงานของระบบตรวจสอบการบุกรุกสามารถที่จะอธิบายประกอบแผนภาพได้ดังนี้
(1) ผู้บุกรุกพยายามโจมตีโดยใช้ phf attack
(2) ระบบตรวจจับการบุกรุก คัดลอกข้อมูลทุกๆ Packet ที่วิ่งอยู่บนเน็ตเวิร์ค
(3) ระบบตรวจจับการบุกรุกประกอบ Packet ทุกๆ Packet เข้าด้วยกัน
(4) ทำการเปรียบเทียบ Packet ที่ประกอบแล้ว ว่ามีลักษณะเป็นความพยายามในการบุกรุกหรือไม่
(5) ทำการแจ้งเตือนหากพบว่าเป็นการบุกรุก
(6) การแจ้งเตือนอาจกระทำได้หลายทางเช่นการแจ้งเตือน ผ่านจอภาพ ผ่านวิทยุติดตามตัว หรือผ่านอิเล็กทรอนิกส์เมล์
การเลือกระบบตรวจจับการบุกรุกมาใช้งาน
ระบบตรวจจับการบุกรุกมีมากหมายหลากหลายชนิดตั้งแต่โปรแกรมเล็กๆที่ใช้กับ PC ไปจนกระทั่ง ระบบใหญ่ๆ ที่ใช้กับเครือข่ายคอมพิวเตอร์ซึ่งในการพิจารณาเลือกระบบตรวจจับการบุกรุกมาใช้งานควรพิจารณาสิ่งต่อไปนี้
ความง่ายในการติดตั้งและใช้งาน
ระดับความต้องการในการดูแลรักษาระบบ
ความสามารถในการวิเคราะห์การบุกรุกรูปแบบต่างๆ
ความเร็วในการตอบสนองต่อการบุกรุกและรายละเอียดของรายงาน
การบริการหลังการขายของผู้ผลิต
ราคา
การทดสอบความสามารถในการวิเคราะห์ของระบบตรวจจับการบุกรุก
โดยทั่วไปการบุกรุกเครือข่ายประกอบด้วย 4 ลักษณะคือ
(1) การรวบรวมข้อมูลของเหยื่อ: มักเป็นขั้นตอนต้นของการบุกรุกซึ่งผู้บุกรุกจะรวบรวมข้อมูลต่างๆ ของเหยื่อเพื่อหาจุดอ่อนในการโจมตีตัวอย่างข้อมูลที่เป็นประโยชน์เช่น host name, IP address, OS, network configuration, และ services เป็นต้น ซึ่งปัจจุบันมี ซอฟต์แวร์ที่ช่วยอำนวยความสะดวกในการหาข้อมูลโดยผ่านทางอินเทอร์เน็ตมากมายอาทิเช่น ซอฟต์แวร์จำพวก PING sweep, port scan, account scans, และ DNS zone transferซึ่งซอฟต์แวร์จำพวกนี้มีจำหน่ายหรือจ่ายแจกอยู่ทั่วไป กล่าวพอสังเขปดังนี้ STROBE, NETSCAN, SATAN, NMAP, NESSUS
(2) การพยายามเข้าสู่ระบบ: เมื่อได้ข้อมูลที่เพียงพอ ผู้บุกรุกก็จะพยายามเข้าสู่ระบบโดยอาศัยช่องโหว่ต่างๆ ที่ตรวจพบ ไม่ว่าจะเป็นช่องโหว่ที่เกิดจากฮาร์ดแวร์หรือซอฟต์แวร์ก็ดี แต่ช่องโหว่ที่มักตรวจพบบ่อยๆเกิดขึ้นจาก ซอฟต์แวร์ ไม่ว่าจะเป็น การเขียนโปรแกรมที่ผิดพลาด การติดตั้งที่ไม่ถูกต้อง หรืออาศัยโปรแกรมประเภท ม้าโทรจัน (trojan horse) ในการเข้าสู่ระบบเป็นต้น
(3) การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย: เป็นอีกลักษณะหนึ่งของการบุกรุกที่กระทำได้ค่อนข้างง่ายโดยมุ่งเน้นในการรบกวนขัดขวางต่อการทำงานของคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ทำให้เครื่องคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ไม่สามารถให้บริการได้ตัวอย่างการโจมตีชนิดนี้เช่น Syn flood, a PING of Death, a Land Attack, a teardrop attack, ICMP Flood หรือแม้แต่โปรแกรมประเภท ไวรัสหรือเวอร์มที่มีอยู่และแพร่หลากหลายบนอินเทอร์เน็ต
(4) การล่อลวงให้เกิดความสับสน: ในบางครั้ง ผู้บุกรุกอาจอาศัยหลายๆวิธีในการโจมตีต่อเหยื่อเพื่อให้เกิดความสับสนและล่อให้เหยื่อเปิดช่องว่างสำหรับผู้บุกรุกที่จะสามารถในการลักลอบเข้าสู่ระบบได้
ในการทดสอบความสามารถในการวิเคราะห์ของระบบตรวจจับผู้บุกรุกควรให้มีการทดสอบต่อลักษณะการโจมตีต่างๆข้างต้น ทั้ง 4-ลักษณะ ซึ่งระบบตรวจจับที่ดีควรมีความสามารถในการตรวจจับต่อลักษณะการโจมตีทั้ง 4 ลักษณะดังตารางด้านล่างนี้
| ชื่อของการโจมตี | ลักษณะของการบุกรุก |
| 1. PING Sweep | การรวบรวมข้อมูลของเหยื่อ |
| 2. SATAN | การรวบรวมข้อมูลของเหยื่อ |
| 3. Port Scan | การรวบรวมข้อมูลของเหยื่อ |
| 4. Port Scan2 | การรวบรวมข้อมูลของเหยื่อ |
| 5. ISS | การรวบรวมข้อมูลของเหยื่อ |
| 6. Dig | การรวบรวมข้อมูลของเหยื่อ |
| 7. Sam Spade | การรวบรวมข้อมูลของเหยื่อ |
| 8. Send Mail | การพยายามเข้าสู่ระบบ |
| 9. Phf 80 | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 10. Phf 8080 | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 11. Internet Mail Access Ptotocol | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 12. ftp cwd~root | การพยายามเข้าสู่ระบบ |
| 13. Syn Flood | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 14. | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 15. Yaping | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 17.Latierra | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 18.Teardrop | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 19.Bank | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 20.ICMP Flood | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 21.UDP Storm | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 22. Suppernuke | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 23.B*slap | การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย |
| 24.3 attacks at once (9,13,19) | การล่อลวงให้เกิดความสับสน |
| 25. 4 attacks at once (24,15) | การล่อลวงให้เกิดความสับสน |
ความสามารถอื่นของระบบตรวจจับการบุกรุก
นอกจากความสามารถในการตรวจจับการบุกรุก ในการประเมินระบบตรวจจับการบุกรุกควรมีการประเมินต่อคุณลักษณะต่อไปนี้
(1) การติดตั้ง
มีการจัดระบบก่อนการติดตั้งหรือไม่ (Pre-configuration Requirement)
ทำการติดตั้งตามขั้นตอนที่ผู้ผลิตแนะนำ
มีระบบอัตโนมัติช่วยในการติดตั้งหรือไม่ (Wizard)
เวลาที่ต้องใช้ในการติดตั้ง
ระดับความชำนาญที่ต้องใช้
ความต้องการทางด้านฮาร์ดแวร์
(2) ในแง่ของการใช้งาน มีการรองรับการใช้ระบบแบบ Remote โดยผ่าน Firewall หรือไม่
(3) การรายงานและการแจ้งเตือน
ผ่านวิทยุติดตามตัว
ผ่านอิเล็กทรอนิกส์เมล์
ผ่านจอแสดงผล
(4) เอกสารประกอบการใช้งาน
(5) การบริการทางด้านปัญหาเทคนิค
ระบบการป้องกันการบุกรุกโดย Open Source Software
การที่เครือข่ายของหน่วยงานต่างๆ นั้นถูก compromised ซึ่งภัยคุกคามดังกล่าวอาจเป็นไปไว้ก็แต่ไวรัสธรรมดาจนถึง remote compromise สคริปต์ซึ่งทำให้ผู้โจมตีสามารถเข้าถึง (access) ระบบได้โดยรวดเร็วและง่ายดาย ซึ่งโดยทั่วไปแล้วผู้ดูแลระบบ (system administrator) ไม่มีเวลารวมทั้งทรัพยากรในการที่จะป้องกันผู้โจมตี ในช่วงหลายปีที่ผ่านมาได้มีบริษัทต่างๆ ได้พยายามพัฒนา software ซึ่งจะทำการตรวจจับการบุกรุก แต่เนื่องจากราคาที่ค่อนข้างสูงของ software ดังกล่าว ดังนั้น open source community จึงได้พัฒนา software ซึ่งมีราคาถูกกว่าซึ่งในปัจจุบันได้มีการใช้ IDS ซึ่งเป็น open source software อย่างจริงจัง software ดังกล่าว สามารถ download ได้จาก Internet และต้องการการลงทุนด้าน hardware เพียงเล็กน้อยเท่านั้น สำหรับบทความนี้จะเป็นการใช้ shadow และ snort ในการสร้าง IDS (Intrusion Detection System)
การวิเคราะห์ Traffic vs. Content
ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบรายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก : traffic และ content analysis IDS ส่วนใหญ่จะใช้ content analysis เนื่องจาก network admin คงไม่มีเวลาในการคอยตรวจเช็คข้อมูลซึ่งมีขนาดมหาศาลทั้งหมดได้ เพราะฉะนั้นการวิเคราะห์ Content ของข้อมูลจะเป็นการตรวจหา signatures (rules) ใน payload ซึ่งการทำงานแบบนี้จะคล้ายกับการทำงานของ anti-virus software ซึ่งจำเป็นที่ต้องกำหนด signatures หรือ rules ให้กับ IDS การเขียน rules ให้กับ IDS นั้นจำเป็นที่ต้องใช้ความละเอียด
- Content Analysis
จะต้องมีการ capture packets ทั้งหมด ซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะนั้นจำเป็นต้องมี disk space และ CPU time ในการ process ข้อมูลดังกล่าว ข้อดีของการวิเคราะห์แบบนี้คือง่ายและรวดเร็วกว่าและเป็น real-time detection มากกว่า แต่ข้อเสียคือ โอกาสของความผิดพลาดของการแจ้งเตือนนั้นสูงกว่าและต้องการ resource ของ system ในการ run มากกว่า - Traffic Analysis
เป็นการแปลความหมายจาก patterns ใน packet header ซึ่งจะแสดงถึงความผิดปกติของ network เพราะฉะนั้นจึงมีความจำเป็นที่ผู้วิเคราะห์จะต้องมีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าวเนื่องจาก analyst จะดูเฉพาะส่วนที่เป็น header ฉะนั้นจึงมีการ capture เฉพาะ header ของข้อมูล โดยปกติแล้ว header ที่จะต้อง capture จะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องในการวิเคราะห์จึงจำเป็นต้องมีการ capture ทุกๆ header ที่ผ่านใน wire ข้อดีของ traffic analysis คือ ความถูกต้องของการแปลความหมายของข้อมูล แต่ผลเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่างดี และในการ process ไม่สามารถเป็นแบบ real time ได้
The Shadow Method
Shadow เป็นระบบที่ใช้แนวความคิดของ CIDER (Cooperative Intresion Detection Evaluation and Response) โดยที่ Shadow จะเป็นการรวบรวม Perl scripts ที่ทำการโต้ตอบและติดต่อกับ tcpdump และ SSH ซึ่ง output จากการวิเคราะห์ traffic ของ shadow นั้นจะเป็น html document และสามารถดูได้จาก web browser Shadow เป็นโปรแกรมสำหรับระบบปฏิบัติการ unix-like shadow และ IDS อื่นๆอีกหลายชนิดจะประกอบด้วย 2 ส่วนใหญ่ๆคือ
- sensor
- analyzer
sensor จะเริ่มต้น tcpdump process ทุกๆชั่วโมง และจะหยุด process ของชั่วโมงที่แล้ว แล้ว analyzer จะทำการดึง file ของชม.ที่แล้วโดยใช้ SSH มาทำการวิเคราะห์ หลังจากนั้น analyzer ทำการวิเคราะห์ข้อมูลของ tcpdump โดยใช้ tcpdump filters แล้วทำการสร้าง html pages
Snort
การใช้ snort เป็น IDS นั้นมีมาตั้งแต่ปี 1998 และในปัจจุบันได้รับความนิยมอย่างมาก ซึ่ง snort เป็น open source, rule-based และ content analysis snort มีเข้าสำหรับ unix platform และ Windows NT/2000
สำหรับ rules ของ snort นั้นก็สามารถเข้าใจได้ง่าย ซึ่งทำให้สามารถใช้ snort กับ tools อื่นๆได้อีกและที่สำคัญคือ snort rules ทำให้เกิดการแจ้งเตือนแบบ real time ท่านสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ snort ได้ที่ http://www.snort.org
Open Source Software อื่นๆ(กล่าวโดยสังเขป)
- Tcpdump
เป็น network sniffer โดยที่ tcpdump จะคอยเฝ้าดูและรวบรวม traffic ทั้งหมด ก็แม้ว่าจะมี sniffer อื่นๆ อีกหลายตัวที่มีอยู่ แต่ tcpdump มีข้อดีหลายอย่างที่ได้เปรียบ sniffer ชนิดอื่นๆคือ tcpdump มีอยู่ในทุกๆ platform และ output ของ tcpdump สามารถนำไปใช้โดย tools อีกหลายชนิด แต่ยังไงก็แล้วแต่ tcpdump ต้องการ libpcap library ในการจับ packet [ ftp://ftp.ee.lbl.gov/]
- logsurfer
เป็น tool ใช้ในการ monitor text log files เมื่อมีเหตุการณ์ไม่ปกติเกิดขึ้น logsurfer จะส่งการแจ้งเตือนไปยัง system asministrator ได้ http://www.cert.dfn.de/eng/logsurf/
- shadow
shadow เป็น IDS ที่สามารถใช้ได้ทั้งที่เป็นตัวมันเองหรือใช้ร่วมกับ application อื่นๆ http://www.nswc.navy.mil/ISSEC/CID/step.tar.gz
- snort
เป็น IDS ซึ่งเขียนโดยใช้ภาษา C เป็น stand-alone program แต่ snort จะมีประสิทธิ์ภาพยิ่งขึ้นเมื่อมีการใช้ร่วมกับ tools อื่นๆ http://www.snort.org
Shadow/Snort Hybrid
เนื่องจาก shadow ประกอบด้วย Perl scripts ซึ่งทำหน้าที่ในการจัดการและ process ข้อมูลจาก sensor ในขณะที่ snort จะทำการprocess tcpdump binary files แต่เราสามารถทำการแก้ไข shadow ให้สามารถทำการ process ข้อมูลของ tcpdump ผ่านทาง snort
ส่วนหน้าที่สามารถแก้ไขได้คือ ความยาวของข้อมูลที่จะทำการ capture โดย tcpdump ของ sensor ซึ่งจะต้องทำการแก้ไขสามารถ capture ข้อมูลมากกว่า 88 byte แต่ admin ก็ต้องพิจารณาถึง disk storage ด้วยนั้นคือ admin ต้องเลือก snaplen ซึ่งสามารถเก็บข้อมูลให้ได้ประโยชน์ในการวิเคราะห์มากที่สุดแต่ขณะเดียวกันก็ไม่ทำให้ประสิทธิภาพการ processing ของระบบลดลง
วิธีนี้เหมาะสำหรับองค์กรที่มีข้อจำกัดของบุคลากรและเวลา ถึงแม้ว่า ข้อมูลไม่ถูกวิเคราะห์แบบ real-time แต่เพียงแค่ admin เพียงคนเดียวก็สามารถ respond ได้ตลอดเวลา
กล่าวโดยสรุป
- sensor ทำการ run tcpdump ทุกๆชม.ด้วย snaplen ที่มากกว่า
- analyzer จะทำการติดต่อผ่าน SSH กับ sensor ทุกๆชม. เพื่อเก็บข้อมูลของ ชม.ที่ผ่านมา
- analyzer ทำการ run snort ซึ่งจะทำการ process data และแจ้งเตือน
- program อื่นๆอาจทำการจัดเรียง alert file เพื่อง่ายในการอ่านและทำความเข้าใจ
Software ที่ใช้
- shadow
- tcpdump
- SSH
- Snort
- Snort-sort.pl
- Apache web Server
- A UNIX
ไม่มีความคิดเห็น:
แสดงความคิดเห็น