Information system security wk7-2-ids-ips_2
-
Upload
bee-lalita -
Category
Education
-
view
258 -
download
0
description
Transcript of Information system security wk7-2-ids-ips_2
Faculty of Information Technology Page
IT346 Information System Security
Week 7-2: IDS/IPS (2)
อ.พงษศกด ไผแดง
1
Faculty of Information Technology Page
การโจมตทมกถกรายงานโดย IDS
Scanning Attack
Denial of Service Attacks
Penetration Attacks
Remote vs. Local Attacks
2
Faculty of Information Technology Page
Scanning Attack
Scanning attack เปน การทดสอบวาใชงานอะไรไดบาง ซงท าไดโดยการ
สงแพกเกตประเภทตางๆ ไปยงระบบ เพอหยงเชง (probing)
‣ เมอ probe packets ถกสงไปถงระบบเปาหมาย ระบบจะท าการตอบกลบ
‣ ขอมลทไดจากแพกเกตทตอบกลบมาจากการสแกนนน จะใชเปนขอมล
ส าหรบเรยนรคณสมบตเฉพาะของระบบ และจดออนหรอชองโหว
‣ Scanning attack เปนหนทางในการระบเหยอของการโจมต
ประเภทของการสแกน
‣ Network scanners
‣ Port scanners
‣ Vulnerability scanners
3
Faculty of Information Technology Page
Scanning Attack
ขอมลทอาจไดจากการสแกน
‣ Topology ของเครอขายทจะโจมต
‣ ประเภทของ traffic ทอนญาตให
ผาน Firewall
‣ Host ทเปดใชงานอย
‣ ประเภทและเวอรชนของ OS ท host ใช
‣ Software ทรนบน server
‣ Version ของ software
4
Faculty of Information Technology Page
Denial of Service Attack
DoS เปนการพยายามทจะท าใหระบบทเปนเปาหมายท างานชาลงหรอ
ถงกบใหบรการไมไดเลย
DoS แบงออกไดเปน 2 ประเภท
‣ การโจมตชองโหว
(Flaw Exploitation DoS Attack)
‣ การโจมตแบบฟลดดง
(Flooding DoS Attack)
5
Faculty of Information Technology Page
Flaw Exploitation DoS Attack
เปนการโจมตชองโหวของระบบ เพอใหเกดขอผดพลาด หรอท าให
resource ของระบบถกใชงานจนหมด ตวอยางเชน
‣ Ping of Death เปนการปงทสงแพกเกตขนาดใหญมากไปยงระบบทเปน
วนโดวสบางเวอรชน ท าใหระบบทถกโจมตไมสามารถจดการกบแพกเกตท
ผดปกตได ท าใหระบบลมในทสด
ผลของการโจมตคอ ท าให resource ของระบบถกใชงานหมดไป
Resource อาจหมายถง CPU, memory, hard drive, buffer, bandwidth
วธการปองกนคอ การปดชองโหวหรออพเกรดซอฟตแวร
6
Faculty of Information Technology Page
Flooding DoS Attack
เปนการโจมตโดยการสงขอมลไปยงระบบหรอสวนของระบบเกนกวาท
ระบบจะรบไหว บางครง ผบกรกไมสามารถสงขอมลเกนกวาทระบบจะรบ
ได แตอาจใชแบนดวดธของเครอขายนนหมดไป ท าใหผใชอนไมสามารถ
ใชได
การโจมตแบบแยกกระจาย (Distributed DoS)
‣ เปนซบเซตของ DoS หมายถง
การโจมตทผโจมตนนใชคอมพวเตอร
หลายๆ เครอง ในการโจมตเปาหมายเดยว
โดยคอมพวเตอรทใชโจมตนนจะถก
ควบคมจากศนยกลาง โดยม
เครองคอมพวเตอรของผบกรก
เปนเครองควบคม
7
Faculty of Information Technology Page
Penetration Attacks
ผโจมตสามารถเขามาในระบบ และควบคมระบบไดโดยทไมไดรบอนญาต
เชน สามารถเปลยนแปลงสทธการใชงาน resource และ ขอมลการตงคา
ขอมลสถานะ และขอมลอนๆทอยในระบบ
‣ โดยสวนใหญ ผโจมตใชประโยชนจากชองโหวของระบบ หรอขอผดพลาดใน
ซอฟทแวรของระบบ ซงท าใหผโจมตสามารถเขาใชงาน หรอตดตงไวรส
หรอมลแวรประเภทอนในระบบได
การโจมตแบบนเปนการโจมตโดยการหลกเลยงหรอฝาฝนระบบควบคม
การเขาถง และเปนการท าลายความคงสภาพ (Integrity) ของระบบ
8
Faculty of Information Technology Page
Remote vs. Local Attacks
การโจมตแบบ DoS และการโจมตแบบเจาะเขาระบบ มแหลงทมาของการ
โจมต 2 แหลง
‣ Authorized User Attacks : เกดจากบคคลภายใน
‣ Public User Attacks: เกดจากบคคลภายนอกหรอผใชท วไป
9
Faculty of Information Technology Page
IDS Principles
สมมตวาพฤตกรรมของผบกรก แตกตางจากพฤตกรรมของผใช
พฤตกรรมคาบเกยวบางสวนอาจกอใหเกดปญหาได
‣ False positives: ผใชตามสทธถกระบเปนผบกรก
‣ False negatives:ผบกรกถกมองเปนผใชตามสทธ
10
Faculty of Information Technology Page
การแจงเตอน
เมอมการแจงเตอนจากระบบ IDS การแจงเตอนนนอาจถกตองหรอไม
ถกตอง ขนอยกบความแมนย าในการตรวจจบของระบบ
การแจงเตอนทถกตอง
‣ True Positive:
มการแจงเตอนวามการบกรกเกดขน และมการบกรกเกดขนจรง
‣ True Negative:
ไมมการแจงเตอนวามการบกรก และไมมการบกรกเกดขนจรง
การแจงเตอนทผดพลาด
‣ False Positive:
มการแจงเตอนวามการบกรกเกดขน แตไมมการบกรกเกดขน
‣ False Negative:
ไมมการแจงเตอนวามการบกรก แตมการบกรกเกดขน
11
Faculty of Information Technology Page
การวเคราะหและตรวจจบการบกรก
IDS สามารถแบงตามหลกในการวเคราะหเพอตรวจจบการโจมต แบง
ไดเปน 2 ประเภท
‣ การตรวจจบการใชงานในทางทผด (Misuse Detection)
‣ การตรวจจบเหตการณผดปกต (Anomaly Detection)
12
Faculty of Information Technology Page
Misuse Detection
การตรวจจบการใชงานในทางทผด (Misuse Detection)
‣ การวเคราะหเหตการณตางๆ ทเกดขนในระบบ เพอคนหาเหตการณทตรงกบ
เหตการณทก าหนดไววาเปนการโจมต
‣ ขอมลทก าหนดวาเปนการโจมตเรยกวา signature บางทท าใหเรยกการ
ตรวจจบวธนวา signature-based detection
13
signature Command:
(\x90)+
IDS \x90\x90\x90\x90
ALERT
Faculty of Information Technology Page
ขอดของ Misuse detection
เปนการตรวจจบการบกรกทมประสทธภาพ เนองจากไมแจงเตอนทผด
บอยครงเกนไป (False Positive)
สามารถวเคราะหไดงายวาผบกรกใชเครองมออะไรในการบกรก ท าให
ผดแลระบบสามารถเลอกใชเครองมอเพอแกไข ปองกน และตอบโตได
ทน
ชวยอ านวยความสะดวกใหกบผบรหารระบบสามารถระบปญหาหรอ
จดออนของระบบ และเรมกระบวนการเพอแกไขและปองกนเหตการณ
ดงกลาว โดยทผบรหารระบบไมจ าเปนตองมความรความช านาญทางการ
รกษาความปลอดภยมากนก
14
Faculty of Information Technology Page
ขอเสยของ Misuse detection
สามารถตรวจจบไดเฉพาะการบกรกท IDS รจกเทานน ดงนน เพอใหวธน
ไดผลกจ าเปนตองมการอพเดต signature เปนประจ า
สวนใหญจะถกออกแบบใหรจกบาง signature ตอหนงการโจมตเทานน
ซงเปนการยากทจะตรวจจบการโจมตเดยวกนแตดวยวธทแตกตาง
15
Faculty of Information Technology Page
Anomaly Detection
เปนการวเคราะหและรายงานสงทผดปกตทเกดขนกบระบบเครอขาย
แนวคดการตรวจจบแบบนตงอยบนสมมตฐานทวา การโจมตคอ การกระท า
ทไมถอวาเปนการท างานปกต
IDS จะมขอมลทระบวาเปนพฤตกรรมทถอวาเปนสงปกตของ user, host
และ traffic ของเครอขาย ซงขอมลนจะเกบรวบรวมในชวงเวลาทการท างาน
ปกตของระบบเครอขาย แลว IDS จะใชเทคนคการมอนเตอรแบบตางๆ
เพอวเคราะหและแยกแยะวาเหตการณใดทผดปกต
16
Faculty of Information Technology Page
Anomaly Detection
17
Models
IDS GET / HTTP/1.0
Model
(1) Training models
(2) Detect abnormal pattern
Models
IDS Unknown pattern
ALERT
Model
Faculty of Information Technology Page
Anomaly Detection
เทคนคการตรวจจบสงทผดปกต
‣ Threshold detection เปนการนบจ านวนครงของบางเหตการณทเกดขน และ
เปรยบเทยบกบจ านวนทถอวาอยในระดบทปกต คานอาจะเปนคาคงทหรออาจ
เปลยนแปลงไดเพอใหเหมาะสมกบระบบ
‣ Statistical Measure คอ การวดคาความกระจายของคณสมบตของ profile
โดยเทยบเคยงกบคาคงททก าหนดขนเอง หรอเทยบกบคาทไดวดจากในอดต
‣ Rule-based measure คอ ขอมลทไดจากการสงเกตจากเหตการณปกต แต
เปนขอมลทเปนกฎ ไมใชจ านวนตวเลข
‣ การวดโดยใชโมเดลแบบอน เชน neural network, genetic algorithm,
immune system
18
Faculty of Information Technology Page
ขอดของ Anomaly Detection
เทคนคนจะตรวจพบพฤตกรรมทผดปกต และสามารถตรวจพบเหตการณ
ทอาจเปนการบกรกโดยไมตองมความรเกยวกบการโจมตนนๆ
สามารถเกบขอมลทใชส าหรบสราง signature ส าหรบ IDS แบบ
signature-based detection
19
Faculty of Information Technology Page
ขอเสยของ Anomaly Detection
การตรวจจบแบบนสวนใหญจะแจงเตอนผดเปนประจ า เนองจาก
พฤตกรรมของผใช หรอเครอขาย บางทไมสามารถคาดเดาได
การตรวจจบวธนจะตองอาศยการศกษาอยางละเอยดของเหตการณตางๆ
ทเกดขนในเครอขายหรอระบบ เพอทจะสามารถแยกแยะไดวาเหตการณ
ใดคอเหตการณปกตหรอไมปกต
20
Faculty of Information Technology Page
รายงานการแจงเตอน
สวนใหญ IDS จะเกบรายละเอยดเกยวกบการโจมต หรอสงผดปกต โดย
สรปเปนขอความสนๆ ภายใน 1 บรรทด
ขอมลทรายงาน อาจมดงน
‣ วน เวลา
‣ IP ของ IDS ทรายงาน
‣ ชอของการโจมต
‣ Source and destination address
‣ Source and destination ports
‣ ชอโปรโตคอลทใชส าหรบการโจมต
21
Faculty of Information Technology Page
การรายงานแจงเตอนภย
IDS จะรายงานเฉพาะสงทก าหนดใหรายงานเทานน
สงทผดแลตอง configure ให IDS
‣ Signature ของการบกรก
‣ เหตการณทผดแลระบบใหความส าคญ หรอเหตการณทคาดวาจะเปนผลไปส
การบกรกในภายหนา
เมอ IDS ได configure แลว เหตการณทรายงานจะแบงได
‣ การส ารวจเครอขาย
‣ การโจมต
‣ เหตการณทนาสงสยหรอผดปกต
22
Faculty of Information Technology Page
การส ารวจเครอขาย
IP Scans
Port Scans
Trojan Scans
Vulnerability Scans
File Snooping
23
Faculty of Information Technology Page
การโจมต
การโจมตเครอขายควรมการล าดบความส าคญหรอความรนแรง
‣ เมอ IDS รายงานเหตการณทมความรนแรงสง ผดแลระบบตองตอบสนองกบ
เหตการณนนทนท เพอปองกนความเสยหายไปมากกวาน
เหตการณอนทผดปกต และไมไดจดอยในประเภททงสองกอนหนาน ถอ
วาเปนเหตการณทนาสงสยวาอาจจะมการโจมตเครอขายเกดขน
24
Faculty of Information Technology Page
การออกแบบและตดตง IDS
การตดตง IDS จ าเปนทตองมการวางแผนอยางรอบคอบ การเตรยมการท
ด การทดลองใชกอนใชงาน และ การฝกอบรมผดแลระบบใหมความ
ช านาญ
กอนตดตงและใชงาน ควรมการส ารวจความตองการ ศกษาวธในการ
ตรวจจบการบกรก แลวคอยเลอกวธทเหมาะสมกบโครงสรางเครอขาย
ขององคกรและนโยบายรกษาความปลอดภย
องคกรควรเลอกใชทง host-based และ network-based IDS รวมทงม
การใช honeypot ดวย
25
Faculty of Information Technology Page
การเชอมตอ IDS เขากบเครอขาย
รปแบบการเชอมตอ IDS ทเปนทนยม ไดแก
Port Mirroring
Hub
Taps
26
Faculty of Information Technology Page
Port Mirroring
ปจจบนสวทซสวนใหญสามารถท า port mirroring หรอ spanning port
คอ การทสวตซจะสงตอทกแพกเกตทรบจากพอรตหนงไปยงอกพอรต
หนง
27
Faculty of Information Technology Page
ขอดของ Port Mirroring
งายตอการตดตง เนองจาก เชอมตอ IDS เขากบพอรตของสวตซโดยทไม
ตองเปลยนแปลงโครงสรางของเครอขาย
ไมมผลกระทบตอการยกเลก session และการ config ไฟรวอลล
28
Faculty of Information Technology Page
ขอเสยของ Port Mirroring
ท า port mirroring ไดแบบพอรตตอพอรตเทานน การท า port mirroring
จากหลายๆ พอรตมาพอรตเดยว อาจท าให port mirroring ไมสามารถ
รองรบแพกเกตได
ถาไมซอน IDS ตว IDS อาจถกโจมตเองได การซอน IDS จะใชเทคนคท
เรยกวา Stealth mode
ประสทธภาพของสวตซลดลง
แพกเกตจะวงทางเดยว คอ จากพอรตทถกมอนเตอรไปยงพอรตของ IDS
จงไมสามารถยกเลกเซสชนได
สวตซจะสงเฉพาะแพกเกตทสมบรณเทานน แตแพกเกตทเลกหรอใหญ
เกนไปอาจมขอมลทส าคญส าหรบการวเคราะหการบกรกได
การบรหาร IDS จะตองตดตงฮารดแวรเพมเตม
29
Faculty of Information Technology Page
Hub
Hub จะสงตอแพกเกตทไดรบ ไปยงทกๆ พอรตทเหลอ
โดยปกต วธนจะไมนยมใช
30
Faculty of Information Technology Page
ขอดของ Hub
งายตอการ config เนองจากไมตองใชความรพเศษในการ config
การบรหาร IDS อาจไมจ าเปนตองใชฮารดแวรเพมเตม
ไมมผลกระทบตอการยกเลก session และการ config ไฟรวอลล
Hub ขนาดเลกมกมราคาถก
31
Faculty of Information Technology Page
ขอเสยของ Hub
เนองจากคณสมบตของ Hub เราไมสามารถใชการเชอมตอแบบนถาลงค
ระหวาง router กบ switch เปนแบบ full duplex การใช Hub จะท าให
กลายเปนแบบ half duplex ซงเปนการลดประสทธภาพของเครอขาย
ถาเราบรหาร IDS ผาน Hub ตวเดยวกน ทราฟกของการบรหาร IDS อาจ
ท าใหเพม collision ใน Hub ซงเปนการลดประสทธภาพของเครอขายลง
อก
Hub แมมราคาถก แตเสยงาย
32
Faculty of Information Technology Page
Taps
ขอเสยของสองวธแรกคอ ท าใหประสทธภาพของเครอขายลดลง และการ
ท า port mirroring สวตซจะไมสงตอแพกเกตทมขอผดพลาดในตว เชน
แพกเกตขนาดเลกหรอใหญเกนไป
ใช Tap ในการแกปญหานได
Tap คอ อปกรณทท าหนาทคลายๆ Hub แต tap เปนอปกรณททนตอ
ขอผดพลาด (Fault Tolerance) คอ การเชอมตอจะเปนแบบถาวร
(hardwired) ระหวาง 2 พอรตหลก ถาไฟดบ ลงคระหวาง 2 พอรตหลกก
จะสามารถใชงานได
33
Faculty of Information Technology Page
Tap
34
Faculty of Information Technology Page
ขอดของ Tap
เปนอปกรณททนตอความผดพลาด
ไมมผลกระทบตอการไหลของทราฟก
ไมท าใหโครงสรางของเครอขายเปลยนไป
ปองกนการเชอมตอโดยตรงจากเครอขาย
ไมท าใหประสทธภาพของเครอขายลดลง
สามารถมอนเตอรแพกเกตทผดปกตได
35
Faculty of Information Technology Page
ขอเสยของ Tap
Tap มราคาแพง
การสนสดเซสชนอาจตองมการคอนฟกเพม
IDS ตองท างานใน stealth mode เทานน
36