29
บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ [email protected]

บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Page 1: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

บทท 7 : IDS/IPS Part1สธ412 ความมนคงของระบบสารสนเทศ

อาจารยอภพงศ ปงยศ

[email protected]

Page 2: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

Outline

อะไรคอ IDS/IPS ?

ท าไมตองม IDS/IPS ?

ขดความสามารถ IDS

ประเภทของ IDS

การวเคราะหและการตรวจจบการบกรก

การแจงเตอนภยของ IDS

2

Page 3: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

อะไรคอ IDS/IPS ?

IDS (Intrusion Detection System) หมายถงระบบตรวจจบการบกรก เปนเครองมอรกษาความปลอดภยททกองคกรควรจะมรองจากไฟรวอลล ใชในการตรวจจบความพยายามในการบกรกเครอขาย และเตอนภยใหกบผดแลระบบไดรบทราบ

ปกตแฮคเกอรจะหลกเลยงการเจาะระบบทม IDS ตดตงอย

3

Page 4: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

อะไรคอ IDS/IPS ? [2]

ปญหาใหญของ IDS คอไมสามารถปองกนการบกรกไดแบบเรยลไทมในการโจมตแบบ DDoS จงมการคดคนเทคโนโลยใหม เรยกวา IPS (Intrusion Prevention System)

IPS ทมความฉลาดจะใชเทคโนโลยชนสงในการวเคราะหขอมล เชน Neural Network, Fuzzy Logic สงผลใหการวเคราะหแมนย าขน

4

Page 5: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

อะไรคอ IDS/IPS ? [3]

อกเครองมอหนงทมกใชรวมกบ IDS/IPS คอ Honeypot

Honeypot เปนเปาหมายลวง หมายถงเครองเซรฟเวอรทเราปลอยใหมชองโหวเพอลวงใหแฮคเกอรเขามาตดกบ

ท าใหเรารวธการเจาะระบบของแฮคเกอรอยางละเอยด ตลอดจนสามารถสบหาตวแฮคเกอรไดกอนทระบบจรงจะถกเจาะ

5

Page 6: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ท ำไมตองม IDS/IPS ?

เพอเปนเครองมอในการสบสวนหาบคคลทบกรกระบบ อาจน าไปสการจบกมและลงโทษบคคลเหลานนได

เพอตรวจจบการโจมตหรอการฝาฝนค าสง ทไมสามารถปองกนไดจากระบบรกษาความปลอดภยอน

เพอตรวจจบความพยายามทจะบกรกเครอขายและปองกนกอนทจะเกดการโจมตจรงๆ

เพอเกบรวบรวมสถตเกยวกบความพยายามหรอการโจมต และน าไปวเคราะหภยคกคามทอาจเกดขนได

6

Page 7: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ท ำไมตองม IDS/IPS ? [2]

เพอเปนเครองมอในการวดประสทธภาพในการปองกนของระบบรกษาความปลอดภยอน เชน ไฟรวอลล เปนตน

เพอเปนขอมลทเปนประโยชนเมอมการบกรกจรงๆ ซงจะชวยคนหาสวนทถกโจมต การกคน และการแกไขผลเสย รวมไปถงการปองกนในอนาคต

7

Page 8: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ขดควำมสำมำรถของ IDS

IDS สำมำรถท ำสงตอไปนไดด

มอนเตอรและวเคราะหเหตการณทเกดขนในระบบรวมถงพฤตกรรมของผใช

ทดสอบระดบความปลอดภยของระบบ

เรยนรล าดบเหตการณของระบบทแตกตางจากเหตการณปกต หรอเกดจากการโจมตทรลวงหนา

จดการขอมล Event Log และ Audit Log ของระบบปฏบตการ

รายงานขอมลเกยวกบนโยบายการรกษาความปลอดภยพนฐาน

8

Page 9: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ขดควำมสำมำรถของ IDS [2]

IDS ไมสำมำรถท ำหนำทตอไปนได

ไมสามารถปดชองโหวของระบบทไมไดปองกนโดยระบบรกษาความปลอดภยอน เชนไฟรวอลลหรอแอนตไวรส

ไมสามารถตรวจจบ รายงาน และตอบโตการโจมตไดในชวงเวลาทมการใชเครอขายหนาแนนมากเกนไป

ไมสามารถตรวจจบการโจมตแบบใหม หรอการโจมตแบบเกาแตเปลยนรปแบบการโจมต

9

Page 10: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ขดควำมสำมำรถของ IDS [3]

IDS ไมสำมำรถท ำหนำทตอไปนได (ตอ)

ไมสามารถตอบโตการโจมตไดอยางมประสทธภาพ หากผโจมตมความช านาญสง

ไมสามารถสบหาผบกรกไดโดยอตโนมต ตองอาศยคนในการชวยวเคราะห

ไมสามารถขดขวางไมใหเกดการโจมต IDS เอง

ไมสามารถปองกนปญหาเกยวกบความถกตองของแหลงขอมล

ไมสามารถท างานไดดในระบบเครอขายทใชสวตช

10

Page 11: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS

แบงเปน 2 ประเภท คอ

Host-Based IDS

Network-Based IDS

11

Page 12: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Host-Based IDS

เปนซอฟตแวรทรนบนโฮสต

ปกตจะวเคราะห Log เพอคนหาขอมลเกยวกบการบกรก โดยจะอานเหตการณใหมทเกดขนใน Log และเปรยบเทยบกบกฎทตงไวกอนหนา ถาตรงกบกฎกจะแจงเตอนทนท

มการตรวจสอบ Checksum ของไฟลเพอตรวจสอบความคงสภาพ

12

Page 13: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Host-Based IDS [2]

ขอด

สามารถตรวจพบการบกรกกบโฮสตนนๆไดเสมอ ถาระบบสามารถบนทกเหตการณไวใน Log ได

สามารถบอกไดวาการบกรกครงนนส าเรจหรอไม โดยวเคราะหจากขอความใน Log หรอการแกไขไฟลส าคญ

สามารถระบไดวามการเขาใชงานอยางผดปกตโดยผใชระบบเอง

13

Page 14: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Host-Based IDS [3]

ขอเสย

โปรเซสของ IDS อาจถกโจมตเองจนไมสามารถแจงเตอนได

โฮสตเบสไอดเอสจะแจงเตอนกตอเมอเกดเหตการณตรงกบทก าหนดไวกอนหนา จงไมสามารถแจงเตอนการบกรกดวยเทคนคใหมๆได

การท างานของไอดเอสจะมผลกระทบตอประสทธภาพของโฮสต เนองจากตองตรวจสอบ Log File อยเสมอ

14

Page 15: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Network-Based IDS

เปนซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนงตางหาก

มเนตเวรคการดทรบทกๆแพคเกตทวงอยบนเครอขาย แลววเคราะหขอมลในแพคเกตเหลานนกบขอมลทเปนรปแบบการบกรกทเกบไวในฐานขอมลกอนหนา ถาตรงกบรปแบบดงกลาว IDS จะแจงเตอนทนท

15

Page 16: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

แผนผงการท างานของ Network-based IDS16

Page 17: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Network-Based IDS [2]

สวนใหญ IDS ประเภทนจะมเนตเวรคการด 2 ตว ท าหนาท

ตวแรกใชเชอมตอเขากบเครอขายทตองเฝาระวง โดยการดนจะไมมหมายเลขไอพ เพอปองกนเครองอนมองเหน

ตวทสองจะเชอมตอเขากบอกเครอขายหนง เพอใชแจงเตอนไปยงเซรฟเวอร

สาเหตทตองท าเชนนกเพอการปองกน IDS ถกโจมตเสยเอง

17

Page 18: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Network-Based IDS [3]

ขอด

NIDS จะถกซอนในเครอขาย ท าใหผบกรกไมรวาก าลงถกเฝามอง

NIDS หนงเครองสามารถใชเฝาระวงการบกรกไดหลายระดบและหลายโฮสต

สามารถตรวจจบทกๆแพคเกตทวงไปยงระบบทเฝาระวงอย

18

Page 19: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: Network-Based IDS [4]

ขอเสย

จะแจงเตอนกตอเมอตรวจพบแพคเกตทตรงกบฐานขอมลทก าหนดไวกอนหนาเทานน

ไมสามารถตรวจจบแพคเกตไดทงหมด เมอมการใชเครอขายหนาแนน

ไมสามารถระบไดวาการบกรกนนส าเรจหรอไม

ไมสามารถวเคราะหแพคเกตทเขารหสไวได

19

Page 20: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

ประเภทของ IDS: กำรเลอกใช HIDS และ NIDS

NIDS สามารถใชเฝาระวงไดครอบคลมเครอขายมากกวา จงเปนทางเลอกทประหยดกวา

HIDS เหมาะส าหรบการเฝาระวงทอาจเกดจากผใชงานในเครอขายเอง

ดงนนการเลอก IDS ใหเหมาะสมจงขนอยกบภยทคกคามเครอขายขององคกร

20

Page 21: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรวเครำะหและกำรตรวจจบกำรบกรก

IDS จะใช 2 วธหลกในการวเคราะหเพอตรวจจบการพยายามบกรก คอ

การตรวจจบการใชงานในทางทผด (Misuse Detection)

การตรวจจบเหตการณผดปกต (Anomaly Detection)

21

Page 22: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรวเครำะหและกำรตรวจจบกำรบกรก: Misuse Detection

คอการวเคราะหเหตการณทเกดขนในระบบ เพอคนหาเหตการณทก าหนดไววาเปนการโจมต

ขอมลทเปนเหตการณทเปนการโจมต เรยกวา “Signature”

การตรวจจบการบกรกดวยวธนจงเรยกวา “Signature-based Detection”

22

Page 23: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรวเครำะหและกำรตรวจจบกำรบกรก: Anomaly Detection

แนวคดการตรวจจบแบบนตงอยบนสมมตฐานทวา “การโจมตคอการกระท าทถอวาเปนการท างานผดปกต”

เทคนคการตรวจจบในเชงพาณชย คอThreshold Detection คอการนบจ านวนครงของบาง

เหตการณเพอเปรยบเทยบกบจ านวนครงทอยในเกณฑปกต

Statistical Measure การวดคาความกระจายของคณสมบตของโพรไฟล โดยเทยบกบคาคงทหรอคาทวดไดในอดต

ขอดของวธการวเคราะหแบบนคอสามารถตรวจจบการบกรกโดยใชเทคนคใหมๆได

23

Page 24: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรแจงเตอนภยของ IDS

หลายองคกรตดตง IDS เพอเปนเครองมอเสรมประสทธภาพใหกบระบบการรกษาความปลอดภย

เทคนคการแจงเตอนของ IDS แตละผลตภณฑ จะมพนฐานคลายๆกน หากผใชเขาใจหลกการรายงานพนฐาน จะสามารถเรยนรการใช IDS ไดอยางรวดเรว

24

Page 25: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS

Scanning Attack (กำรโจมตโดยกำรสแกนระบบ)

Denial of Service Attack (กำรโจมตแบบปฏเสธกำรใหบรกำร)

Penetration Attack (กำรโจมตแบบเจำะเขำระบบ)

Remote vs Local Attack (กำรโจมตจำกภำยนอกและภำยใน)

25

Page 26: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [2]

Scanning Attack หรอการสแกนระบบ หมายถงการทดสอบวาระบบวาใชงานอะไรไดบางกอนทจะลงมอโจมตจรงๆ

ท าไดโดยการสงแพคเกตตางๆไปยงระบบ และดขอมลทไดจากการตอบกลบ

ในการแจงเตอน IDS จะตองแยกแยะใหไดวาการสแกนนนเปนการสแกนเพอประสงคราย หรอเปนการสแกนปกต เชน Search Engine Scan เปนตน

26

Page 27: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [3]

Denial of Service Attack หรอการโจมตแบบปฏเสธการใหบรการ เปนความพยายามทจะท าใหระบบเปาหมายท างานชาลงหรอใหบรการไมไดเลย

ม 2 ประเภท คอกำรโจมตชองโหว (Flaw Exploitation) เปนการโจมตชองโหว

ของระบบเพอใหเกกดขอผดพลาด หรอท าใหทรพยากรถกใชงานจนหมด

กำรฟลดดง (Flooding) เปนการสงขอมลไปยงระบบจนเกนกวาทระบบจะรบไหว

27

Page 28: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [4]

Penetration Attack เปนการเขามาในระบบโดยทไมไดรบอนญาต และเปลยนแปลงสทธ หรอขอมลทอยในระบบ

ผบกรกจะอาศยการเจาะชองโหวของซอฟตแวรเพอเขามาท าลายระบบ

28

Page 29: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์

กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [5]

Remote vs Local Attack เปนแหลงทมาของการโจมตแบบ DoS และการเจาะระบบ

กำรโจมตจำกภำยใน จะเปนการเปลยนสทธในการเขาใชระบบใหมากขน

กำรโจมตจำกภำยนอก จะเรมตนโจมตจากเครองรโมทโดยชองทางทระบบเปดไวให หรอเปนชองโหวของระบบเอง

รปแบบการโจมตทเกดขนบอยคอผบกรกภายนอกจะเจาะระบบเพอใหสามารถเขาใชระบบได แลวเปลยนสทธของตนเองใหเปนผใชระบบ

29