Intrusion Detection and Prevention Systems (IDPS)
ตรวจจับการบุกรุกและระบบป้องกัน
Intrusion Detection and Prevention Principles
ตรวจจับการบุกรุกเป็นกระบวนการของการตรวจสอบเหตุการณ์ที่เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่ายและการวิเคราะห์พวกเขาสำหรับสัญญาณของเหตุการณ์ที่เกิดขึ้นเป็นไปได้ที่จะมีการละเมิดหรือภัยคุกคามที่เกิดขึ้นจากการละเมิดนโยบายรักษาความปลอดภัยคอมพิวเตอร์ได้รับการยอมรับนโยบายการใช้งานหรือการรักษาความปลอดภัยมาตรฐาน เหตุการณ์ที่เกิดขึ้นมีหลายสาเหตุเช่นมัลแวร์ (เช่นเวิร์ม, สปายแวร์), การโจมตีไม่ได้รับอนุญาตเข้าถึงระบบจากอินเทอร์เน็ตและได้รับอนุญาตจากผู้ใช้ระบบที่ผิดสิทธิ์ของพวกเขาหรือพยายามที่จะได้รับสิทธิประโยชน์เพิ่มเติมสำหรับการที่พวกเขาจะไม่ได้รับอนุญาต แม้ว่าเหตุการณ์ที่เกิดขึ้นจำนวนมากที่เป็นอันตรายในธรรมชาติอื่น ๆ อีกมากมายไม่ได้; สำหรับตัวอย่างเช่นคนที่อาจจะพิมพ์ผิดที่อยู่ของคอมพิวเตอร์และตั้งใจพยายามที่จะเชื่อมต่อกับระบบที่แตกต่างกันโดยไม่ต้องอนุมัติ
Intrusion Detection System (IDS)
เป็นซอฟต์แวร์ที่โดยอัตโนมัติขั้นตอนการตรวจสอบการบุกรุกระบบป้องกันการบุกรุก (IPS) คือซอฟต์แวร์ที่มีความสามารถทั้งหมดของระบบตรวจจับการบุกรุกและยังสามารถพยายามที่จะหยุดเหตุการณ์ที่เป็นไปได้ ในส่วนนี้ให้ภาพรวมของเทคโนโลยี IDS และ IPS เป็นรากฐานสำหรับส่วนที่เหลือของสิ่งพิมพ์ ก่อนอธิบายถึงวิธีการ IDS และ IPS เทคโนโลยีสามารถนำมาใช้ ถัดไปจะอธิบายการทำงานที่สำคัญที่เทคโนโลยี IDS และ IPS ดำเนินการและวิธีการตรวจสอบว่าพวกเขาใช้ ในที่สุดก็ให้ภาพรวมของชั้นเรียนที่สำคัญของ IDS และ IPS เทคโนโลยี
เทคโนโลยี IDS และ IPS มีความสามารถหลายที่เหมือนกันและผู้ดูแลระบบจะสามารถปิดใช้งานคุณลักษณะการป้องกันในผลิตภัณฑ์ IPS, ทำให้พวกเขาทำงานเป็น IDSs ดังนั้นเพื่อความกะทัดรัดตรวจจับการบุกรุกระยะยาวและระบบป้องกัน (IDPS) จะถูกใช้ตลอดที่เหลือของคู่มือนี้เพื่ออ้างถึงทั้งสอง IDS และ IPS technologies.2 ข้อยกเว้นใด ๆ จะมีระบุไว้โดยเฉพาะ
ตัวอย่างของ Intrusion Detection Systems (IDS)
• Snort
• Endian Firewall
• Untangle
• Bro NIDS
• Prelude Hybrid IDS
• Osiris HIDS Osiris HIDS
• Sourcefire
• OSSEC HIDS OSSEC HIDS
• TweetyCoaster Little Lady Baby DDoS Shield
• Flowmatrix NBAD
• PHPIDS IDS
• PerlIDS
ตัวอย่างของ Intrusion Detection Systems (IDS)
• Snort
• Endian Firewall
• Untangle
• Bro NIDS
• Prelude Hybrid IDS
• Osiris HIDS Osiris HIDS
• Sourcefire
• OSSEC HIDS OSSEC HIDS
• TweetyCoaster Little Lady Baby DDoS Shield
• Flowmatrix NBAD
• PHPIDS IDS
• PerlIDS
Uses of IDPS Technologies การใช้เทคโนโลยี IDPS
IDPSs จะเน้นหลักในการระบุเหตุการณ์ที่เป็นไปได้ ตัวอย่างเช่น IDPS อาจจะตรวจสอบเมื่อมีการโจมตีการบุกรุกประสบความสำเร็จในระบบโดยช่องโหว่ในระบบ IDPSสามารถรายงานเหตุการณ์ที่เกิดขึ้นกับผู้ดูแลระบบการรักษาความปลอดภัยที่เริ่มต้นได้อย่างรวดเร็วสามารถตอบสนองต่อเหตุการณ์การกระทำเพื่อลดความเสียหายที่เกิดขึ้นจากเหตุการณ์ที่ไม่ได้คาดฝัน IDPS ยังสามารถบันทึกข้อมูลที่สามารถใช้โดย IDPSs หลายเหตุการณ์ที่เกิดขึ้น ยังสามารถกำหนดค่า ได้ตระหนักถึงการละเมิดนโยบายการรักษาความปลอดภัย ตัวอย่างเช่นบาง IDPSs สามารถกำหนดค่าด้วยการตั้งค่าไฟร์วอลล์ เหมือนช่วยให้พวกเขาเพื่อระบุเครือข่ายการจราจรที่ละเมิดการรักษาความปลอดภัยขององค์กรหรือนโยบายการใช้งานที่ยอมรับได้ นอกจากนี้บาง IDPSs สามารถตรวจสอบการถ่ายโอนแฟ้มและระบุคนที่อาจจะมีที่น่าสงสัยเช่นการคัดลอกฐานข้อมูลขนาดใหญ่ไปยังแล็ปท็อปของผู้ใช้
IDPSs หลายคนยังสามารถระบุกิจกรรมการลาดตระเวนซึ่งอาจบ่งชี้ว่าการโจมตีเป็นใกล้ ตัวอย่างเช่นบางเครื่องมือโจมตีและรูปแบบของมัลแวร์โดยเฉพาะอย่างยิ่งเวิร์ม, การทำกิจกรรมการลาดตระเวนเช่นโฮสต์และสแกนพอร์ตการกำหนดเป้าหมายสำหรับการโจมตีครั้งต่อไป IDPS อาจจะสามารถป้องกันการลาดตระเวนและแจ้งให้ผู้ดูแลการรักษาความปลอดภัยที่สามารถดำเนินการได้ถ้าจำเป็นในการปรับเปลี่ยนการควบคุมความปลอดภัยอื่น ๆ เพื่อป้องกันเหตุการณ์ที่เกี่ยวข้องกับ เนื่องจากกิจกรรมการลาดตระเวนเป็นบ่อยดังนั้นบนอินเทอร์เน็ต, การตรวจสอบการลาดตระเวนมักจะแสดงหลักในการป้องกันเครือข่ายภายใน
วิธีการในการตรวจสอบการบุกรุกอาจสามารถที่จะแบ่งได้ออกเป็น 2 วิธีการได้แก่ Misuse Based Detection และ Anomaly Based Detection
วิธีการในการตรวจสอบการบุกรุกอาจสามารถที่จะแบ่งได้ออกเป็น 2 วิธีการได้แก่ Misuse Based Detection และ Anomaly Based Detection
- Misuse Based Detection
- เป็นระบบการตรวจสอบโดยการใช้?signature ของข้อมูลจึงเป็นที่มาของอีกชือหนึ่งนั่นคือ signature based หรือ knowledge based detection
- โดยปกติแล้ว การตรวจสอบด้วยระบบนี้จะสามารถตรวจสอบได้เฉพาะการโจมตีที่ทราบอยู่แล้วใน ระบบฐานข้อมูล โดยการเซ็ตกฎหรือตัวกรองในระบบตรวจสอบ หากเป็นการโจมตีหรือสิ่งแปลกปลอมใหม่ๆ ที่นอกเหนือจากระบบฐานข้อมูลการโจมตีแล้ว ระบบ misuse นี้จะตรวจจับไม่ได้
- ระบบ Misuse Based นี้โดยทั่วไปแล้วจะทำงานคล้ายกับระบบของโปรแกรมป้องกันไวรัสซึ่งทำการเปรียบ เทียบ signature ของข้อมูลที่วิ่งไปมาในระบบกับฐานข้อมูลขนาดใหญ่ที่มีอยู่แล้วซึ่งหากว่า เหมือนกับในฐานข้อมูลก็แสดงว่าข้อมูลดังกล่าวอาจจะเป็นการบุกรุกหรือประสงค์ ร้ายนั่นเอง ซึ่งอาจจะมีจุดอ่อนตรงที่ไม่สามารถตรวจสอบได้หากวิธีในการบุกรุกนั้นเป็น วิธีใหม่ๆ
- Anomaly Based Detection
- การทำงานของระบบนี้จะเป็นการตรวจสอบ pattern ของข้อมูลหรือจะเรียกว่าพฤติกรรมต่างของข้อมูลที่วิ่งอยู่ในระบบเพื่อเรียน รู้ว่าอะไรคือสิ่งปกติและผิดปกติภายในระบบโดยที่ระบบจะมีกระบวนการเรียนรู้ ด้วยตัวเอง เหมือนดังเช่นกับระบบ spam filter
- โดยปกติแล้วระบบนี้จะถูกตั้งค่าโดยผู้ดูแลระบบเครือข่ายโดยที่ผู้ดูแล อาจจะกำหนดเส้นแบ่งว่าพฤติกรรมไหนถือว่าเป็นพฤติกรรมที่ปกติโดยอาจจะพิจรณา จาก traffic, พฤติกรรม, protocol หรือขนาดของข้อมูลเป็นต้น ดังนั้นจะทราบได้ทันทีว่าพฤติกรรมไหนเป็นพฤติกรรมที่เข้าข่ายการโจมตีระบบ นั่นเอง
- เนื่องจากระบบ Anomaly Based นั้นสามารถที่จะเรียนรู้ได้ด้วยตนเอง ดังนั้นระบบดังกล่าวนี้ก็จะสามารถเรียนรู้วิธีหรือพฤติกรรมใหม่ๆ ที่ใช้ในการโจมตีระบบได้นั่นเองแต่ก็อาจจะทำงานผิดผลาดได้นั่นหมายถึงไม่มี การส่งสัญญาณเตือนเมื่อมีการโจมตีเพราะเข้าใจว่าเป็นพฤติกรรมที่ปกติในระบบ เครือข่าย
ดังนั้นในปัจจุบันนี้ ระบบ IDS ที่ขายตามท้องตลาดจึงได้ผนวกวิธีการทั้งสองเข้าด้วยกันเพื่อเสริมความแข็งแกร่งนั่นเอง
Components and Architecture องค์ประกอบและสถาปัตยกรรม
Typical Components ส่วนประกอบทั่วไป
เครื่องใช้ไฟฟ้าที่ใช้เซ็นเซอร์จะประกอบด้วยฮาร์ดแวร์และซอฟต์แวร์เฉพาะเซ็นเซอร์ ฮาร์ดแวร์ที่มีการเพิ่มประสิทธิภาพโดยทั่วไปสำหรับใช้เซ็นเซอร์รวมทั้งนิคส์ผู้เชี่ยวชาญและไดรเวอร์ NIC สำหรับการจับภาพที่มีประสิทธิภาพของแพ็คเก็ตและโปรเซสเซอร์เฉพาะหรือส่วนประกอบฮาร์ดแวร์อื่น ๆ ที่ช่วยในการวิเคราะห์ ทั้งหมดหรือบางส่วนของซอฟต์แวร์ IDPSอาจจะอยู่ในเฟิร์มให้มีประสิทธิภาพเพิ่มขึ้น
Network Architectures and Sensor Locations สถาปัตยกรรมเครือข่ายและสถานที่เซ็นเซอร์
องค์กรควรพิจารณาการใช้เครือข่ายการจัดการสำหรับเครือข่ายการใช้งานของพวกเขาเมื่อใดก็ตามที่เป็นไปได้ผู้พลัดถิ่น หากผู้พลัดถิ่นจะใช้งานได้โดยไม่ต้องเครือข่ายการจัดการแยกองค์กรควรพิจารณาหรือไม่ VLAN เป็นสิ่งจำเป็นเพื่อป้องกันการสื่อสารที่ IDPS
inline เซ็นเซอร์แบบอินไลน์จะใช้งานเพื่อให้การจราจรในเครือข่ายก็คือการตรวจสอบจะต้องผ่านมัน, มากเช่นการจราจรที่เกี่ยวข้องกับไฟร์วอลล์ ในความเป็นจริงบางเซ็นเซอร์แบบอินไลน์จะมีไฟร์วอลล์ไฮบริด / ผู้พลัดถิ่นอุปกรณ์ในขณะที่คนอื่นจะ IDPSs เพียงแรงจูงใจหลักสำหรับการปรับใช้เซ็นเซอร์เป็นผู้พลัดถิ่นในบรรทัดเพื่อให้พวกเขาเพื่อหยุดการโจมตีโดยการปิดกั้นการจราจรเครือข่าย
ตัวอย่าง Inline เครือข่ายที่ใช้สถาปัตยกรรมเซนเซอร์ IDPS
