วันพฤหัสบดีที่ 29 มกราคม พ.ศ. 2552

Intrusion Detection System - part 3

2.2 How the IDS Watches Your Network: ระบบ IDS นั้นเฝ้ามองเครือข่ายของคุณได้โดยการใช้วิธีการที่เป็นที่นิยมดังนี้คือ
        2.2.1 Packet Sniffing
    ใน NIDSs ได้ทำการตั้งค่าให้ เน็ตเวิร์คการ์ดทำตัวอยู่ในโหมด promiscuous เพื่อรับฟังทุกแพ็คเก็ตภายในเครือข่ายเพื่อการเก็บข้อมูล
         2.2.2 Log Parsing
    ในระบบการรักษาความปลอดภัยที่ดีนั้น ควรมีระบบการเก็บรักษา log ไฟล์เพื่อดึงข้อมูลมาใช้ในการแจ้งเตือน หรือการใช้ log ในการบันทึกความผิดปกติที่เกิดขึ้น ตัวอย่างเช่น Secure Shell CRC32 overflow ซึ่งจะทิ้งหลักฐานไว้ใน system log


sshd[3698]: fatal: Local: crc32 compensation attack: network  attack detected

        2.2.3 System Call Monitoring
    HIDSs เป็นระบบที่มีความสามารถที่จะติดตั้งตัวเองให้เข้ากับ Kernel ของระบบปฏิบัติการที่ได้ทำการติดตั้งมันเพื่อคอยดูสิ่งที่เกิดขึ้นในระบบ เช่นเมื่อมันตรวจสอบเห็นว่ามีพฤติกรรมที่ไม่ปกติ คือการเปลี่ยนแปลงสิทธิผู้ใช้คนหนึ่ง ให้มีสิทธิเป็น root ระบบก็จะทำการแจ้งเตือน
        2.2.4 File system Watching
    HIDSs เป็นระบบที่มีความสามารถที่จะคอยติดตามและเฝ้ามอง คุณสมบัติต่างๆของไฟล์ในระบบ เพราะมันอาจจะเกิดการเปลี่ยนแปลงไฟล์ที่ ผิดปกติจากการบุกรุกของ ผู้ประสงค์ร้ายหรือ Viruses และ Worms


2.3 How the IDS Takes the Data: ระบบ IDS นั้นสามารถได้ข้อมูลจาก
       2.3.1 It Gathers and Finds Intrusion Attempts
    การเก็บข้อมูลภายในเครือข่ายเพื่อ ค้นหาสิ่งที่พยายามบุกรุกเครือข่ายของคุณ โดยใช้อัลกอริทึมต่างๆในการตัดสินใจ
       2.3.2 Known Good versus Known Bad
    การรู้ถึงการจำแนกว่าการจราจรข้อมูลแบบไหนที่ดี หรือร้าย เพื่อที่จะสามารถเก็บข้อมูลได้ได้ตรงจุด
       2.3.3 Technologies for Implementing Your Strategy
เนื่องจากระบบ IDS อาจถูกการโจมตีการหลายๆด้าน เทคนิคที่จะให้ในการตรวจสอบเป็นหลักในการทดสอบหารูปแบบที่ผิดปกติในเครือข่ายก็คือ rule-based (a.k.a signature-based) analysis การประยุกต์ใช้เทคโนโลยีสำหรับการวางแผนการเพื่อตรวจสอบจึงจำเป็น เราควรรู้ว่าจะต้องวิเคราะห์ protocol ต่างๆอย่างไร


2.4 What the IDS Does When It Finds an Attack Attempt: ระบบ IDS จะทำตอบโต้กับการพยายามบุกรุกเข้ามาในเครือข่าย โดยอาจเป็นการจำกัด traffic, filtering, block หรือ Disconnect เป็นทางเลือกสุดท้าย สำหรับรูปแบบการตอบสนองกับการบุกรุกสามารถแบ่งได้เป็น
       2.4.1 Passive Response
    การตอบสนองแบบนี้เป็นแบบที่ถูกใช้สืบต่อกันมานานแล้วคือ เมื่อมีการบุกรุกเครือข่าย ระบบจะทำการบันทึก log แล้วจะทำการแจ้งเตือนผู้ดูแลระบบในหลายๆทาง เช่น Simple Network Management Protocol (SNMP),E-mail, Cell-Phone เป็นต้น
       2.4.2 Active Response
    การตอบสนองในลักษณะที่ไม่ต้องรอผู้ดูแลระบบมาจัดการ เช่นเมื่อการจราจรของข้อมูล ผิดปกติ น่าสงสัยก็จะทำการ drop ทิ้ง ระบบนี้ตัวของ IDS จะเป็นผู้วิเคราะห์และดูแลโดยอัตโนมัติ
      2.4.3 Inline IDS
    การตั้งให้ IDS ว่าควรอยู่บน switch network ของคุณ หรือ อยู่ระหว่างคุณกับกับอินเตอร์เน็ต ซึ่งทั้งสองอย่างมีทั้งข้อดีและข้อเสีย คือถ้าเราให้ IDS ทำตัวเหมือน IPS ซึ่งคือการตั้งค่าแบบ inline มีบางอย่างที่คุณต้องพิจารณา การขัดขวางหรือ drop traffic นั้นจะทำให้เกิดผลกระทบที่มาก ไม่มีอะไรผ่านเข้ามาได้ แต่ถ้า IDS ไม่ใช่ inline คุณยังสามารถส่ง ICMP unreachables คุณไม่สามารถที่จะควบคุมเครือข่ายได้หมด แต่ถ้าเป็นแบบ inline การควบคุมอยู่ในมือคุณ ตัด traffic ได้หมด

ไม่มีความคิดเห็น:

แสดงความคิดเห็น