บทที่ 7 : ids/ips part1 · บทที่ 7 : ids/ips part1 สธ412...
TRANSCRIPT
![Page 2: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/2.jpg)
Outline
อะไรคอ IDS/IPS ?
ท าไมตองม IDS/IPS ?
ขดความสามารถ IDS
ประเภทของ IDS
การวเคราะหและการตรวจจบการบกรก
การแจงเตอนภยของ IDS
2
![Page 3: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/3.jpg)
อะไรคอ IDS/IPS ?
IDS (Intrusion Detection System) หมายถงระบบตรวจจบการบกรก เปนเครองมอรกษาความปลอดภยททกองคกรควรจะมรองจากไฟรวอลล ใชในการตรวจจบความพยายามในการบกรกเครอขาย และเตอนภยใหกบผดแลระบบไดรบทราบ
ปกตแฮคเกอรจะหลกเลยงการเจาะระบบทม IDS ตดตงอย
3
![Page 4: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/4.jpg)
อะไรคอ IDS/IPS ? [2]
ปญหาใหญของ IDS คอไมสามารถปองกนการบกรกไดแบบเรยลไทมในการโจมตแบบ DDoS จงมการคดคนเทคโนโลยใหม เรยกวา IPS (Intrusion Prevention System)
IPS ทมความฉลาดจะใชเทคโนโลยชนสงในการวเคราะหขอมล เชน Neural Network, Fuzzy Logic สงผลใหการวเคราะหแมนย าขน
4
![Page 5: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/5.jpg)
อะไรคอ IDS/IPS ? [3]
อกเครองมอหนงทมกใชรวมกบ IDS/IPS คอ Honeypot
Honeypot เปนเปาหมายลวง หมายถงเครองเซรฟเวอรทเราปลอยใหมชองโหวเพอลวงใหแฮคเกอรเขามาตดกบ
ท าใหเรารวธการเจาะระบบของแฮคเกอรอยางละเอยด ตลอดจนสามารถสบหาตวแฮคเกอรไดกอนทระบบจรงจะถกเจาะ
5
![Page 6: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/6.jpg)
ท ำไมตองม IDS/IPS ?
เพอเปนเครองมอในการสบสวนหาบคคลทบกรกระบบ อาจน าไปสการจบกมและลงโทษบคคลเหลานนได
เพอตรวจจบการโจมตหรอการฝาฝนค าสง ทไมสามารถปองกนไดจากระบบรกษาความปลอดภยอน
เพอตรวจจบความพยายามทจะบกรกเครอขายและปองกนกอนทจะเกดการโจมตจรงๆ
เพอเกบรวบรวมสถตเกยวกบความพยายามหรอการโจมต และน าไปวเคราะหภยคกคามทอาจเกดขนได
6
![Page 7: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/7.jpg)
ท ำไมตองม IDS/IPS ? [2]
เพอเปนเครองมอในการวดประสทธภาพในการปองกนของระบบรกษาความปลอดภยอน เชน ไฟรวอลล เปนตน
เพอเปนขอมลทเปนประโยชนเมอมการบกรกจรงๆ ซงจะชวยคนหาสวนทถกโจมต การกคน และการแกไขผลเสย รวมไปถงการปองกนในอนาคต
7
![Page 8: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/8.jpg)
ขดควำมสำมำรถของ IDS
IDS สำมำรถท ำสงตอไปนไดด
มอนเตอรและวเคราะหเหตการณทเกดขนในระบบรวมถงพฤตกรรมของผใช
ทดสอบระดบความปลอดภยของระบบ
เรยนรล าดบเหตการณของระบบทแตกตางจากเหตการณปกต หรอเกดจากการโจมตทรลวงหนา
จดการขอมล Event Log และ Audit Log ของระบบปฏบตการ
รายงานขอมลเกยวกบนโยบายการรกษาความปลอดภยพนฐาน
8
![Page 9: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/9.jpg)
ขดควำมสำมำรถของ IDS [2]
IDS ไมสำมำรถท ำหนำทตอไปนได
ไมสามารถปดชองโหวของระบบทไมไดปองกนโดยระบบรกษาความปลอดภยอน เชนไฟรวอลลหรอแอนตไวรส
ไมสามารถตรวจจบ รายงาน และตอบโตการโจมตไดในชวงเวลาทมการใชเครอขายหนาแนนมากเกนไป
ไมสามารถตรวจจบการโจมตแบบใหม หรอการโจมตแบบเกาแตเปลยนรปแบบการโจมต
9
![Page 10: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/10.jpg)
ขดควำมสำมำรถของ IDS [3]
IDS ไมสำมำรถท ำหนำทตอไปนได (ตอ)
ไมสามารถตอบโตการโจมตไดอยางมประสทธภาพ หากผโจมตมความช านาญสง
ไมสามารถสบหาผบกรกไดโดยอตโนมต ตองอาศยคนในการชวยวเคราะห
ไมสามารถขดขวางไมใหเกดการโจมต IDS เอง
ไมสามารถปองกนปญหาเกยวกบความถกตองของแหลงขอมล
ไมสามารถท างานไดดในระบบเครอขายทใชสวตช
10
![Page 11: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/11.jpg)
ประเภทของ IDS
แบงเปน 2 ประเภท คอ
Host-Based IDS
Network-Based IDS
11
![Page 12: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/12.jpg)
ประเภทของ IDS: Host-Based IDS
เปนซอฟตแวรทรนบนโฮสต
ปกตจะวเคราะห Log เพอคนหาขอมลเกยวกบการบกรก โดยจะอานเหตการณใหมทเกดขนใน Log และเปรยบเทยบกบกฎทตงไวกอนหนา ถาตรงกบกฎกจะแจงเตอนทนท
มการตรวจสอบ Checksum ของไฟลเพอตรวจสอบความคงสภาพ
12
![Page 13: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/13.jpg)
ประเภทของ IDS: Host-Based IDS [2]
ขอด
สามารถตรวจพบการบกรกกบโฮสตนนๆไดเสมอ ถาระบบสามารถบนทกเหตการณไวใน Log ได
สามารถบอกไดวาการบกรกครงนนส าเรจหรอไม โดยวเคราะหจากขอความใน Log หรอการแกไขไฟลส าคญ
สามารถระบไดวามการเขาใชงานอยางผดปกตโดยผใชระบบเอง
13
![Page 14: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/14.jpg)
ประเภทของ IDS: Host-Based IDS [3]
ขอเสย
โปรเซสของ IDS อาจถกโจมตเองจนไมสามารถแจงเตอนได
โฮสตเบสไอดเอสจะแจงเตอนกตอเมอเกดเหตการณตรงกบทก าหนดไวกอนหนา จงไมสามารถแจงเตอนการบกรกดวยเทคนคใหมๆได
การท างานของไอดเอสจะมผลกระทบตอประสทธภาพของโฮสต เนองจากตองตรวจสอบ Log File อยเสมอ
14
![Page 15: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/15.jpg)
ประเภทของ IDS: Network-Based IDS
เปนซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนงตางหาก
มเนตเวรคการดทรบทกๆแพคเกตทวงอยบนเครอขาย แลววเคราะหขอมลในแพคเกตเหลานนกบขอมลทเปนรปแบบการบกรกทเกบไวในฐานขอมลกอนหนา ถาตรงกบรปแบบดงกลาว IDS จะแจงเตอนทนท
15
![Page 16: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/16.jpg)
แผนผงการท างานของ Network-based IDS16
![Page 17: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/17.jpg)
ประเภทของ IDS: Network-Based IDS [2]
สวนใหญ IDS ประเภทนจะมเนตเวรคการด 2 ตว ท าหนาท
ตวแรกใชเชอมตอเขากบเครอขายทตองเฝาระวง โดยการดนจะไมมหมายเลขไอพ เพอปองกนเครองอนมองเหน
ตวทสองจะเชอมตอเขากบอกเครอขายหนง เพอใชแจงเตอนไปยงเซรฟเวอร
สาเหตทตองท าเชนนกเพอการปองกน IDS ถกโจมตเสยเอง
17
![Page 18: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/18.jpg)
ประเภทของ IDS: Network-Based IDS [3]
ขอด
NIDS จะถกซอนในเครอขาย ท าใหผบกรกไมรวาก าลงถกเฝามอง
NIDS หนงเครองสามารถใชเฝาระวงการบกรกไดหลายระดบและหลายโฮสต
สามารถตรวจจบทกๆแพคเกตทวงไปยงระบบทเฝาระวงอย
18
![Page 19: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/19.jpg)
ประเภทของ IDS: Network-Based IDS [4]
ขอเสย
จะแจงเตอนกตอเมอตรวจพบแพคเกตทตรงกบฐานขอมลทก าหนดไวกอนหนาเทานน
ไมสามารถตรวจจบแพคเกตไดทงหมด เมอมการใชเครอขายหนาแนน
ไมสามารถระบไดวาการบกรกนนส าเรจหรอไม
ไมสามารถวเคราะหแพคเกตทเขารหสไวได
19
![Page 20: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/20.jpg)
ประเภทของ IDS: กำรเลอกใช HIDS และ NIDS
NIDS สามารถใชเฝาระวงไดครอบคลมเครอขายมากกวา จงเปนทางเลอกทประหยดกวา
HIDS เหมาะส าหรบการเฝาระวงทอาจเกดจากผใชงานในเครอขายเอง
ดงนนการเลอก IDS ใหเหมาะสมจงขนอยกบภยทคกคามเครอขายขององคกร
20
![Page 21: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/21.jpg)
กำรวเครำะหและกำรตรวจจบกำรบกรก
IDS จะใช 2 วธหลกในการวเคราะหเพอตรวจจบการพยายามบกรก คอ
การตรวจจบการใชงานในทางทผด (Misuse Detection)
การตรวจจบเหตการณผดปกต (Anomaly Detection)
21
![Page 22: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/22.jpg)
กำรวเครำะหและกำรตรวจจบกำรบกรก: Misuse Detection
คอการวเคราะหเหตการณทเกดขนในระบบ เพอคนหาเหตการณทก าหนดไววาเปนการโจมต
ขอมลทเปนเหตการณทเปนการโจมต เรยกวา “Signature”
การตรวจจบการบกรกดวยวธนจงเรยกวา “Signature-based Detection”
22
![Page 23: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/23.jpg)
กำรวเครำะหและกำรตรวจจบกำรบกรก: Anomaly Detection
แนวคดการตรวจจบแบบนตงอยบนสมมตฐานทวา “การโจมตคอการกระท าทถอวาเปนการท างานผดปกต”
เทคนคการตรวจจบในเชงพาณชย คอThreshold Detection คอการนบจ านวนครงของบาง
เหตการณเพอเปรยบเทยบกบจ านวนครงทอยในเกณฑปกต
Statistical Measure การวดคาความกระจายของคณสมบตของโพรไฟล โดยเทยบกบคาคงทหรอคาทวดไดในอดต
ขอดของวธการวเคราะหแบบนคอสามารถตรวจจบการบกรกโดยใชเทคนคใหมๆได
23
![Page 24: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/24.jpg)
กำรแจงเตอนภยของ IDS
หลายองคกรตดตง IDS เพอเปนเครองมอเสรมประสทธภาพใหกบระบบการรกษาความปลอดภย
เทคนคการแจงเตอนของ IDS แตละผลตภณฑ จะมพนฐานคลายๆกน หากผใชเขาใจหลกการรายงานพนฐาน จะสามารถเรยนรการใช IDS ไดอยางรวดเรว
24
![Page 25: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/25.jpg)
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS
Scanning Attack (กำรโจมตโดยกำรสแกนระบบ)
Denial of Service Attack (กำรโจมตแบบปฏเสธกำรใหบรกำร)
Penetration Attack (กำรโจมตแบบเจำะเขำระบบ)
Remote vs Local Attack (กำรโจมตจำกภำยนอกและภำยใน)
25
![Page 26: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/26.jpg)
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [2]
Scanning Attack หรอการสแกนระบบ หมายถงการทดสอบวาระบบวาใชงานอะไรไดบางกอนทจะลงมอโจมตจรงๆ
ท าไดโดยการสงแพคเกตตางๆไปยงระบบ และดขอมลทไดจากการตอบกลบ
ในการแจงเตอน IDS จะตองแยกแยะใหไดวาการสแกนนนเปนการสแกนเพอประสงคราย หรอเปนการสแกนปกต เชน Search Engine Scan เปนตน
26
![Page 27: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/27.jpg)
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [3]
Denial of Service Attack หรอการโจมตแบบปฏเสธการใหบรการ เปนความพยายามทจะท าใหระบบเปาหมายท างานชาลงหรอใหบรการไมไดเลย
ม 2 ประเภท คอกำรโจมตชองโหว (Flaw Exploitation) เปนการโจมตชองโหว
ของระบบเพอใหเกกดขอผดพลาด หรอท าใหทรพยากรถกใชงานจนหมด
กำรฟลดดง (Flooding) เปนการสงขอมลไปยงระบบจนเกนกวาทระบบจะรบไหว
27
![Page 28: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/28.jpg)
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [4]
Penetration Attack เปนการเขามาในระบบโดยทไมไดรบอนญาต และเปลยนแปลงสทธ หรอขอมลทอยในระบบ
ผบกรกจะอาศยการเจาะชองโหวของซอฟตแวรเพอเขามาท าลายระบบ
28
![Page 29: บทที่ 7 : IDS/IPS Part1 · บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์](https://reader034.vdocuments.site/reader034/viewer/2022050305/5f6ddf93e3e8290d4d63d046/html5/thumbnails/29.jpg)
กำรแจงเตอนภยของ IDS: กำรโจมตทมกจะถกรำยงำนโดย IDS [5]
Remote vs Local Attack เปนแหลงทมาของการโจมตแบบ DoS และการเจาะระบบ
กำรโจมตจำกภำยใน จะเปนการเปลยนสทธในการเขาใชระบบใหมากขน
กำรโจมตจำกภำยนอก จะเรมตนโจมตจากเครองรโมทโดยชองทางทระบบเปดไวให หรอเปนชองโหวของระบบเอง
รปแบบการโจมตทเกดขนบอยคอผบกรกภายนอกจะเจาะระบบเพอใหสามารถเขาใชระบบได แลวเปลยนสทธของตนเองใหเปนผใชระบบ
29