Intrusion Detection System

posted on 30 Sep 2005 09:38 by keztudio in Tutorial
ระบบตรวจจับการบุกรุก (Intrusion Detection System)
อะไรคือระบบตรวจจับการบุกรุก
ระบบตรวจจับการบุกรุกคือระบบที่ใช้ในการตรวจจับ การใช้งานและความพยายามในการใช้งาน คอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ซึ่งขัดกับข้อบังคับและเจตุจำนงค์การใช้งาน ส่งผลต่อความปลอดภัยของระบบคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ 3 ประการคือ Integrity, Confidentiality, Availability
ทำไมถึงจำเป็นต้องใช้ระบบตรวจจับการบุกรุก
เมื่อคำนึงถึงเรื่องความปลอดภัยของคอมพิวเตอร์มักเป็นการยากในการมองภาพที่ชัดเจนว่า อะไรที่จะบ่งบอกได้ว่าการใช้งานคอมพิวเตอร์มีความปลอดภัย เนื่องจากความปลอดภัยของคอมพิวเตอร์เป็นสิ่งที่จับต้องไม่ได้และยากต่อการวัด แต่อย่างไรก็ตามเราสามารถเปรียบเทียบความปลอดภัยของคอมพิวเตอร์กับการรักษาความปลอดภัยสถานที่ ในการรักษาความปลอดภัย (รปภ.) สถานที่นั้นนอกจากการ จัดบริเวณที่ต้อง รปภ. ให้มีรั้วรอบขอบชิด มีกุญแจที่ใช้ล็อกประตูหรือทางเข้าออก สิ่งหนึ่งที่จะขาดไม่ได้คือการจัดให้มีบุคคลหรืออุปกรณ์ที่คอยตรวจสอบ การละเมิดต่ออุปกรณ์หรือเครื่องกีดขวางที่จัดตั้งเพื่อความปลอดภัย ทั้งนี้เนื่องจากอาจมีผู้ไม่หวังดีพยายามบุกรุกโดยทำลายอุปกรณ์หรือเครื่องกีดขวางดังกล่าวดังนั้นเราจึงต้องอาศัยระบบที่ใช้ตรวจสอบเมื่อมีการทำลายหรือล่วงล้ำต่ออุปกรณ์หรือเครื่องกีดขวางที่ได้ติดตั้งไว้อีกชั้นหนึ่ง ตัวอย่างอุปกรณ์ที่ใช้ตรวจสอบเช่น ระบบสัญญาณเตือนขโมยที่ใช้ควบคู่กับรั้วที่แข็งแรง
ระบบเครือข่ายคอมพิวเตอร์ก็เช่นเดียวกัน บุคคลทั่วไปมักคิดว่าการติดตั้ง Firewall ตามลำพังก็สามารถทำให้เครือข่ายคอมพิวเตอร์มีความปลอดภัย แต่อย่างไรก็ตาม การติดตั้ง Firewall ให้กับระบบเครือข่ายคอมพิวเตอร์ก็เปรียบเสมือน การสร้างรั้วหรือกำแพงเพื่อตรวจสอบบุคคลที่จะเข้ามาในสถานที่ที่จะ รปภ. แต่หากมีบุคคลไม่หวังดีสามารถปีนรั้วเข้ามาได้ การรักษาความปลอดภัยโดยใช้รั้วก็หมดความหมาย ดังนั้นในการเพิ่มความปลอดภัยอีกประการหนึ่งคือการใช้ระบบตรวจจับการบุกรุกซึ่งมีคุณลักษณะที่กล่าวมาในตอนต้น
กลไกระบบตรวจจับการบุกรุก
ระบบตรวจจับการบุกรุกจะทำการวิเคราะห์กิจกรรมต่างที่เกิดขึ้นบนระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ว่าเป็นการบุกรุกหรือความพยายามในการบุกรุกหรือไม่โดยอาศัยค่าต่างๆ อาทิเช่น Network traffic, CPU utilization, I/O utilization, user location, หรือ file activities ต่างๆ โดยใช้แบ่งวิธีวิเคราะห์หลักๆ ออกเป็น 2 วิธีคือ การตรวจสอบกับข้อกำหนดการใช้งาน และ การตรวจสอบจากสถิติการใช้งาน
ระบบตรวจจับการบุกรุกโดยทั่วไปจะใช้วิธีตรวจสอบกับข้อกำหนดการใช้งาน ทั้งนี้เนื่องจากมีความง่าย มาก กว่าการตรวจสอบจากสถิติซึ่งมักมีกรณีใหม่เกิดขึ้นตลอดเวลาทำให้การระบุว่าการกระทำนั้นเป็นการบุกรุกมีความยากและอาจเกิดการระบุที่ผิดพลาด (Fault Alarm)
ตัวอย่างการทำงานของระบบตรวจสอบการบุกรุกสามารถที่จะอธิบายได้
(1) ผู้บุกรุกพยายามโจมตีโดยใช้ phf attack
(2) ระบบตรวจจับการบุกรุก คัดลอกข้อมูลทุกๆ Packet ที่วิ่งอยู่บนเน็ตเวิร์ค
(3) ระบบตรวจจับการบุกรุกประกอบ Packet ทุกๆ Packet เข้าด้วยกัน
(4) ทำการเปรียบเทียบ Packet ที่ประกอบแล้ว ว่ามีลักษณะเป็นความพยายามในการบุกรุกหรือไม่
(5) ทำการแจ้งเตือนหากพบว่าเป็นการบุกรุก
(6) การแจ้งเตือนอาจกระทำได้หลายทางเช่นการแจ้งเตือน ผ่านจอภาพ ผ่านวิทยุติดตามตัว หรือผ่านอิเล็กทรอนิกส์เมล์
การเลือกระบบตรวจจับการบุกรุกมาใช้งาน
ระบบตรวจจับการบุกรุกมีมากหมายหลากหลายชนิดตั้งแต่โปรแกรมเล็กๆที่ใช้กับ PC ไปจนกระทั่ง ระบบใหญ่ๆ ที่ใช้กับเครือข่ายคอมพิวเตอร์ซึ่งในการพิจารณาเลือกระบบตรวจจับการบุกรุกมาใช้งานควรพิจารณาสิ่งต่อไปนี้
ความง่ายในการติดตั้งและใช้งาน
ระดับความต้องการในการดูแลรักษาระบบ
ความสามารถในการวิเคราะห์การบุกรุกรูปแบบต่างๆ
ความเร็วในการตอบสนองต่อการบุกรุกและรายละเอียดของรายงาน
การบริการหลังการขายของผู้ผลิต
ราคา
การทดสอบความสามารถในการวิเคราะห์ของระบบตรวจจับการบุกรุก
โดยทั่วไปการบุกรุกเครือข่ายประกอบด้วย 4 ลักษณะคือ
(1) การรวบรวมข้อมูลของเหยื่อ: มักเป็นขั้นตอนต้นของการบุกรุกซึ่งผู้บุกรุกจะรวบรวมข้อมูลต่างๆ ของเหยื่อเพื่อหาจุดอ่อนในการโจมตีตัวอย่างข้อมูลที่เป็นประโยชน์เช่น host name, IP address, OS, network configuration, และ services เป็นต้น ซึ่งปัจจุบันมี ซอฟต์แวร์ที่ช่วยอำนวยความสะดวกในการหาข้อมูลโดยผ่านทางอินเทอร์เน็ตมากมายอาทิเช่น ซอฟต์แวร์จำพวก PING sweep, port scan, account scans, และ DNS zone transferซึ่งซอฟต์แวร์จำพวกนี้มีจำหน่ายหรือจ่ายแจกอยู่ทั่วไป กล่าวพอสังเขปดังนี้ STROBE, NETSCAN, SATAN, NMAP, NESSUS
(2) การพยายามเข้าสู่ระบบ: เมื่อได้ข้อมูลที่เพียงพอ ผู้บุกรุกก็จะพยายามเข้าสู่ระบบโดยอาศัยช่องโหว่ต่างๆ ที่ตรวจพบ ไม่ว่าจะเป็นช่องโหว่ที่เกิดจากฮาร์ดแวร์หรือซอฟต์แวร์ก็ดี แต่ช่องโหว่ที่มักตรวจพบบ่อยๆเกิดขึ้นจาก ซอฟต์แวร์ ไม่ว่าจะเป็น การเขียนโปรแกรมที่ผิดพลาด การติดตั้งที่ไม่ถูกต้อง หรืออาศัยโปรแกรมประเภท ม้าโทรจัน (trojan horse) ในการเข้าสู่ระบบเป็นต้น
(3) การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย: เป็นอีกลักษณะหนึ่งของการบุกรุกที่กระทำได้ค่อนข้างง่ายโดยมุ่งเน้นในการรบกวนขัดขวางต่อการทำงานของคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ทำให้เครื่องคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ไม่สามารถให้บริการได้ตัวอย่างการโจมตีชนิดนี้เช่น Syn flood, a PING of Death, a Land Attack, a teardrop attack, ICMP Flood หรือแม้แต่โปรแกรมประเภท ไวรัสหรือเวอร์มที่มีอยู่และแพร่หลากหลายบนอินเทอร์เน็ต
(4) การล่อลวงให้เกิดความสับสน: ในบางครั้ง ผู้บุกรุกอาจอาศัยหลายๆวิธีในการโจมตีต่อเหยื่อเพื่อให้เกิดความสับสนและล่อให้เหยื่อเปิดช่องว่างสำหรับผู้บุกรุกที่จะสามารถในการลักลอบเข้าสู่ระบบได้
ในการทดสอบความสามารถในการวิเคราะห์ของระบบตรวจจับผู้บุกรุกควรให้มีการทดสอบต่อลักษณะการโจมตีต่างๆข้างต้น ทั้ง 4-ลักษณะ ซึ่งระบบตรวจจับที่ดีควรมีความสามารถในการตรวจจับต่อลักษณะการโจมตีทั้ง 4 ลักษณะดังตารางด้านล่างนี้
ชื่อของการโจมตี ลักษณะของการบุกรุก
1. PING Sweep การรวบรวมข้อมูลของเหยื่อ
2. SATAN การรวบรวมข้อมูลของเหยื่อ
3. Port Scan การรวบรวมข้อมูลของเหยื่อ
4. Port Scan2 การรวบรวมข้อมูลของเหยื่อ
5. ISS การรวบรวมข้อมูลของเหยื่อ
6. Dig การรวบรวมข้อมูลของเหยื่อ
7. Sam Spade การรวบรวมข้อมูลของเหยื่อ
8. Send Mail การพยายามเข้าสู่ระบบ
9. Phf 80 การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
10. Phf 8080 การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
11. Internet Mail Access Ptotocol การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
12. ftp cwd~root การพยายามเข้าสู่ระบบ
13. Syn Flood การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
14. PING of Death การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
15. Yaping การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
16.Land การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
17.Latierra การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
18.Teardrop การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
19.Bank การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
20.ICMP Flood การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
21.UDP Storm การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
22. Suppernuke การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
23.B*slap การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย
24.3 attacks at once (9,13,19) การล่อลวงให้เกิดความสับสน
25. 4 attacks at once (24,15) การล่อลวงให้เกิดความสับสน
ความสามารถอื่นของระบบตรวจจับการบุกรุก
นอกจากความสามารถในการตรวจจับการบุกรุก ในการประเมินระบบตรวจจับการบุกรุกควรมีการประเมินต่อคุณลักษณะต่อไปนี้
(1) การติดตั้ง
มีการจัดระบบก่อนการติดตั้งหรือไม่ (Pre-configuration Requirement)
ทำการติดตั้งตามขั้นตอนที่ผู้ผลิตแนะนำ
มีระบบอัตโนมัติช่วยในการติดตั้งหรือไม่ (Wizard)
เวลาที่ต้องใช้ในการติดตั้ง
ระดับความชำนาญที่ต้องใช้
ความต้องการทางด้านฮาร์ดแวร์
(2) ในแง่ของการใช้งาน มีการรองรับการใช้ระบบแบบ Remote โดยผ่าน Firewall หรือไม่
(3) การรายงานและการแจ้งเตือน
ผ่านวิทยุติดตามตัว
ผ่านอิเล็กทรอนิกส์เมล์
ผ่านจอแสดงผล (4) เอกสารประกอบการใช้งาน
(5) การบริการทางด้านปัญหาเทคนิค

Comment

Comment:

Tweet

#4 By (203.172.183.162 /192.168.1.117) on 2007-05-22 14:39

#3 By (203.172.183.162 /192.168.1.117) on 2007-05-22 14:39

#2 By (203.172.183.162 /192.168.1.117) on 2007-05-22 14:38

เด๋ว เดเวลอปใหม่

อ่านยากแฮะ

#1 By [[ Dr Devil ]] on 2005-12-02 09:51