Download pdf - Information system security wk7-2-ids-ips_2

Faculty of Information Technology Page

IT346 Information System Security

Week 7-2: IDS/IPS (2)

อ.พงษศกด ไผแดง

1


การโจมตทมกถกรายงานโดย IDS

Scanning Attack

Denial of Service Attacks

Penetration Attacks

Remote vs. Local Attacks

2


Scanning Attack

Scanning attack เปน การทดสอบวาใชงานอะไรไดบาง ซงท าไดโดยการ

สงแพกเกตประเภทตางๆ ไปยงระบบ เพอหยงเชง (probing)

‣ เมอ probe packets ถกสงไปถงระบบเปาหมาย ระบบจะท าการตอบกลบ

‣ ขอมลทไดจากแพกเกตทตอบกลบมาจากการสแกนนน จะใชเปนขอมล

ส าหรบเรยนรคณสมบตเฉพาะของระบบ และจดออนหรอชองโหว

‣ Scanning attack เปนหนทางในการระบเหยอของการโจมต

ประเภทของการสแกน

‣ Network scanners

‣ Port scanners

‣ Vulnerability scanners

3


Scanning Attack

ขอมลทอาจไดจากการสแกน

‣ Topology ของเครอขายทจะโจมต

‣ ประเภทของ traffic ทอนญาตให

ผาน Firewall

‣ Host ทเปดใชงานอย

‣ ประเภทและเวอรชนของ OS ท host ใช

‣ Software ทรนบน server

‣ Version ของ software

4


Denial of Service Attack

DoS เปนการพยายามทจะท าใหระบบทเปนเปาหมายท างานชาลงหรอ

ถงกบใหบรการไมไดเลย

DoS แบงออกไดเปน 2 ประเภท

‣ การโจมตชองโหว

(Flaw Exploitation DoS Attack)

‣ การโจมตแบบฟลดดง

(Flooding DoS Attack)

5


Flaw Exploitation DoS Attack

เปนการโจมตชองโหวของระบบ เพอใหเกดขอผดพลาด หรอท าให

resource ของระบบถกใชงานจนหมด ตวอยางเชน

‣ Ping of Death เปนการปงทสงแพกเกตขนาดใหญมากไปยงระบบทเปน

วนโดวสบางเวอรชน ท าใหระบบทถกโจมตไมสามารถจดการกบแพกเกตท

ผดปกตได ท าใหระบบลมในทสด

ผลของการโจมตคอ ท าให resource ของระบบถกใชงานหมดไป

Resource อาจหมายถง CPU, memory, hard drive, buffer, bandwidth

วธการปองกนคอ การปดชองโหวหรออพเกรดซอฟตแวร

6


Flooding DoS Attack

เปนการโจมตโดยการสงขอมลไปยงระบบหรอสวนของระบบเกนกวาท

ระบบจะรบไหว บางครง ผบกรกไมสามารถสงขอมลเกนกวาทระบบจะรบ

ได แตอาจใชแบนดวดธของเครอขายนนหมดไป ท าใหผใชอนไมสามารถ

ใชได

การโจมตแบบแยกกระจาย (Distributed DoS)

‣ เปนซบเซตของ DoS หมายถง

การโจมตทผโจมตนนใชคอมพวเตอร

หลายๆ เครอง ในการโจมตเปาหมายเดยว

โดยคอมพวเตอรทใชโจมตนนจะถก

ควบคมจากศนยกลาง โดยม

เครองคอมพวเตอรของผบกรก

เปนเครองควบคม

7


Penetration Attacks

ผโจมตสามารถเขามาในระบบ และควบคมระบบไดโดยทไมไดรบอนญาต

เชน สามารถเปลยนแปลงสทธการใชงาน resource และ ขอมลการตงคา

ขอมลสถานะ และขอมลอนๆทอยในระบบ

‣ โดยสวนใหญ ผโจมตใชประโยชนจากชองโหวของระบบ หรอขอผดพลาดใน

ซอฟทแวรของระบบ ซงท าใหผโจมตสามารถเขาใชงาน หรอตดตงไวรส

หรอมลแวรประเภทอนในระบบได

การโจมตแบบนเปนการโจมตโดยการหลกเลยงหรอฝาฝนระบบควบคม

การเขาถง และเปนการท าลายความคงสภาพ (Integrity) ของระบบ

8


Remote vs. Local Attacks

การโจมตแบบ DoS และการโจมตแบบเจาะเขาระบบ มแหลงทมาของการ

โจมต 2 แหลง

‣ Authorized User Attacks : เกดจากบคคลภายใน

‣ Public User Attacks: เกดจากบคคลภายนอกหรอผใชท วไป

9


IDS Principles

สมมตวาพฤตกรรมของผบกรก แตกตางจากพฤตกรรมของผใช

พฤตกรรมคาบเกยวบางสวนอาจกอใหเกดปญหาได

‣ False positives: ผใชตามสทธถกระบเปนผบกรก

‣ False negatives:ผบกรกถกมองเปนผใชตามสทธ

10


การแจงเตอน

เมอมการแจงเตอนจากระบบ IDS การแจงเตอนนนอาจถกตองหรอไม

ถกตอง ขนอยกบความแมนย าในการตรวจจบของระบบ

การแจงเตอนทถกตอง

‣ True Positive:

มการแจงเตอนวามการบกรกเกดขน และมการบกรกเกดขนจรง

‣ True Negative:

ไมมการแจงเตอนวามการบกรก และไมมการบกรกเกดขนจรง

การแจงเตอนทผดพลาด

‣ False Positive:

มการแจงเตอนวามการบกรกเกดขน แตไมมการบกรกเกดขน

‣ False Negative:

ไมมการแจงเตอนวามการบกรก แตมการบกรกเกดขน

11


การวเคราะหและตรวจจบการบกรก

IDS สามารถแบงตามหลกในการวเคราะหเพอตรวจจบการโจมต แบง

ไดเปน 2 ประเภท

‣ การตรวจจบการใชงานในทางทผด (Misuse Detection)

‣ การตรวจจบเหตการณผดปกต (Anomaly Detection)

12


Misuse Detection

การตรวจจบการใชงานในทางทผด (Misuse Detection)

‣ การวเคราะหเหตการณตางๆ ทเกดขนในระบบ เพอคนหาเหตการณทตรงกบ

เหตการณทก าหนดไววาเปนการโจมต

‣ ขอมลทก าหนดวาเปนการโจมตเรยกวา signature บางทท าใหเรยกการ

ตรวจจบวธนวา signature-based detection

13

signature Command:

(\x90)+

IDS \x90\x90\x90\x90

ALERT


ขอดของ Misuse detection

เปนการตรวจจบการบกรกทมประสทธภาพ เนองจากไมแจงเตอนทผด

บอยครงเกนไป (False Positive)

สามารถวเคราะหไดงายวาผบกรกใชเครองมออะไรในการบกรก ท าให

ผดแลระบบสามารถเลอกใชเครองมอเพอแกไข ปองกน และตอบโตได

ทน

ชวยอ านวยความสะดวกใหกบผบรหารระบบสามารถระบปญหาหรอ

จดออนของระบบ และเรมกระบวนการเพอแกไขและปองกนเหตการณ

ดงกลาว โดยทผบรหารระบบไมจ าเปนตองมความรความช านาญทางการ

รกษาความปลอดภยมากนก

14


ขอเสยของ Misuse detection

สามารถตรวจจบไดเฉพาะการบกรกท IDS รจกเทานน ดงนน เพอใหวธน

ไดผลกจ าเปนตองมการอพเดต signature เปนประจ า

สวนใหญจะถกออกแบบใหรจกบาง signature ตอหนงการโจมตเทานน

ซงเปนการยากทจะตรวจจบการโจมตเดยวกนแตดวยวธทแตกตาง

15


Anomaly Detection

เปนการวเคราะหและรายงานสงทผดปกตทเกดขนกบระบบเครอขาย

แนวคดการตรวจจบแบบนตงอยบนสมมตฐานทวา การโจมตคอ การกระท า

ทไมถอวาเปนการท างานปกต

IDS จะมขอมลทระบวาเปนพฤตกรรมทถอวาเปนสงปกตของ user, host

และ traffic ของเครอขาย ซงขอมลนจะเกบรวบรวมในชวงเวลาทการท างาน

ปกตของระบบเครอขาย แลว IDS จะใชเทคนคการมอนเตอรแบบตางๆ

เพอวเคราะหและแยกแยะวาเหตการณใดทผดปกต

16


Anomaly Detection

17

Models

IDS GET / HTTP/1.0

Model

(1) Training models

(2) Detect abnormal pattern

Models

IDS Unknown pattern

ALERT

Model


Anomaly Detection

เทคนคการตรวจจบสงทผดปกต

‣ Threshold detection เปนการนบจ านวนครงของบางเหตการณทเกดขน และ

เปรยบเทยบกบจ านวนทถอวาอยในระดบทปกต คานอาจะเปนคาคงทหรออาจ

เปลยนแปลงไดเพอใหเหมาะสมกบระบบ

‣ Statistical Measure คอ การวดคาความกระจายของคณสมบตของ profile

โดยเทยบเคยงกบคาคงททก าหนดขนเอง หรอเทยบกบคาทไดวดจากในอดต

‣ Rule-based measure คอ ขอมลทไดจากการสงเกตจากเหตการณปกต แต

เปนขอมลทเปนกฎ ไมใชจ านวนตวเลข

‣ การวดโดยใชโมเดลแบบอน เชน neural network, genetic algorithm,

immune system

18


ขอดของ Anomaly Detection

เทคนคนจะตรวจพบพฤตกรรมทผดปกต และสามารถตรวจพบเหตการณ

ทอาจเปนการบกรกโดยไมตองมความรเกยวกบการโจมตนนๆ

สามารถเกบขอมลทใชส าหรบสราง signature ส าหรบ IDS แบบ

signature-based detection

19


ขอเสยของ Anomaly Detection

การตรวจจบแบบนสวนใหญจะแจงเตอนผดเปนประจ า เนองจาก

พฤตกรรมของผใช หรอเครอขาย บางทไมสามารถคาดเดาได

การตรวจจบวธนจะตองอาศยการศกษาอยางละเอยดของเหตการณตางๆ

ทเกดขนในเครอขายหรอระบบ เพอทจะสามารถแยกแยะไดวาเหตการณ

ใดคอเหตการณปกตหรอไมปกต

20


รายงานการแจงเตอน

สวนใหญ IDS จะเกบรายละเอยดเกยวกบการโจมต หรอสงผดปกต โดย

สรปเปนขอความสนๆ ภายใน 1 บรรทด

ขอมลทรายงาน อาจมดงน

‣ วน เวลา

‣ IP ของ IDS ทรายงาน

‣ ชอของการโจมต

‣ Source and destination address

‣ Source and destination ports

‣ ชอโปรโตคอลทใชส าหรบการโจมต

21


การรายงานแจงเตอนภย

IDS จะรายงานเฉพาะสงทก าหนดใหรายงานเทานน

สงทผดแลตอง configure ให IDS

‣ Signature ของการบกรก

‣ เหตการณทผดแลระบบใหความส าคญ หรอเหตการณทคาดวาจะเปนผลไปส

การบกรกในภายหนา

เมอ IDS ได configure แลว เหตการณทรายงานจะแบงได

‣ การส ารวจเครอขาย

‣ การโจมต

‣ เหตการณทนาสงสยหรอผดปกต

22


การส ารวจเครอขาย

IP Scans

Port Scans

Trojan Scans

Vulnerability Scans

File Snooping

23


การโจมต

การโจมตเครอขายควรมการล าดบความส าคญหรอความรนแรง

‣ เมอ IDS รายงานเหตการณทมความรนแรงสง ผดแลระบบตองตอบสนองกบ

เหตการณนนทนท เพอปองกนความเสยหายไปมากกวาน

เหตการณอนทผดปกต และไมไดจดอยในประเภททงสองกอนหนาน ถอ

วาเปนเหตการณทนาสงสยวาอาจจะมการโจมตเครอขายเกดขน

24


การออกแบบและตดตง IDS

การตดตง IDS จ าเปนทตองมการวางแผนอยางรอบคอบ การเตรยมการท

ด การทดลองใชกอนใชงาน และ การฝกอบรมผดแลระบบใหมความ

ช านาญ

กอนตดตงและใชงาน ควรมการส ารวจความตองการ ศกษาวธในการ

ตรวจจบการบกรก แลวคอยเลอกวธทเหมาะสมกบโครงสรางเครอขาย

ขององคกรและนโยบายรกษาความปลอดภย

องคกรควรเลอกใชทง host-based และ network-based IDS รวมทงม

การใช honeypot ดวย

25


การเชอมตอ IDS เขากบเครอขาย

รปแบบการเชอมตอ IDS ทเปนทนยม ไดแก

Port Mirroring

Hub

Taps

26


Port Mirroring

ปจจบนสวทซสวนใหญสามารถท า port mirroring หรอ spanning port

คอ การทสวตซจะสงตอทกแพกเกตทรบจากพอรตหนงไปยงอกพอรต

หนง

27


ขอดของ Port Mirroring

งายตอการตดตง เนองจาก เชอมตอ IDS เขากบพอรตของสวตซโดยทไม

ตองเปลยนแปลงโครงสรางของเครอขาย

ไมมผลกระทบตอการยกเลก session และการ config ไฟรวอลล

28


ขอเสยของ Port Mirroring

ท า port mirroring ไดแบบพอรตตอพอรตเทานน การท า port mirroring

จากหลายๆ พอรตมาพอรตเดยว อาจท าให port mirroring ไมสามารถ

รองรบแพกเกตได

ถาไมซอน IDS ตว IDS อาจถกโจมตเองได การซอน IDS จะใชเทคนคท

เรยกวา Stealth mode

ประสทธภาพของสวตซลดลง

แพกเกตจะวงทางเดยว คอ จากพอรตทถกมอนเตอรไปยงพอรตของ IDS

จงไมสามารถยกเลกเซสชนได

สวตซจะสงเฉพาะแพกเกตทสมบรณเทานน แตแพกเกตทเลกหรอใหญ

เกนไปอาจมขอมลทส าคญส าหรบการวเคราะหการบกรกได

การบรหาร IDS จะตองตดตงฮารดแวรเพมเตม

29


Hub

Hub จะสงตอแพกเกตทไดรบ ไปยงทกๆ พอรตทเหลอ

โดยปกต วธนจะไมนยมใช

30


ขอดของ Hub

งายตอการ config เนองจากไมตองใชความรพเศษในการ config

การบรหาร IDS อาจไมจ าเปนตองใชฮารดแวรเพมเตม

ไมมผลกระทบตอการยกเลก session และการ config ไฟรวอลล

Hub ขนาดเลกมกมราคาถก

31


ขอเสยของ Hub

เนองจากคณสมบตของ Hub เราไมสามารถใชการเชอมตอแบบนถาลงค

ระหวาง router กบ switch เปนแบบ full duplex การใช Hub จะท าให

กลายเปนแบบ half duplex ซงเปนการลดประสทธภาพของเครอขาย

ถาเราบรหาร IDS ผาน Hub ตวเดยวกน ทราฟกของการบรหาร IDS อาจ

ท าใหเพม collision ใน Hub ซงเปนการลดประสทธภาพของเครอขายลง

อก

Hub แมมราคาถก แตเสยงาย

32


Taps

ขอเสยของสองวธแรกคอ ท าใหประสทธภาพของเครอขายลดลง และการ

ท า port mirroring สวตซจะไมสงตอแพกเกตทมขอผดพลาดในตว เชน

แพกเกตขนาดเลกหรอใหญเกนไป

ใช Tap ในการแกปญหานได

Tap คอ อปกรณทท าหนาทคลายๆ Hub แต tap เปนอปกรณททนตอ

ขอผดพลาด (Fault Tolerance) คอ การเชอมตอจะเปนแบบถาวร

(hardwired) ระหวาง 2 พอรตหลก ถาไฟดบ ลงคระหวาง 2 พอรตหลกก

จะสามารถใชงานได

33


Tap

34


ขอดของ Tap

เปนอปกรณททนตอความผดพลาด

ไมมผลกระทบตอการไหลของทราฟก

ไมท าใหโครงสรางของเครอขายเปลยนไป

ปองกนการเชอมตอโดยตรงจากเครอขาย

ไมท าใหประสทธภาพของเครอขายลดลง

สามารถมอนเตอรแพกเกตทผดปกตได

35


ขอเสยของ Tap

Tap มราคาแพง

การสนสดเซสชนอาจตองมการคอนฟกเพม

IDS ตองท างานใน stealth mode เทานน

36