Intrusion Detection System
1. อะไรคือการบุกรุก ? (What Is an Intrusion?)
คำว่า "Intrusion" ตามความหมายทางพจนานุกรมแล้ว หมายถึง การเข้าไปในสู่สถานที่ๆหนึ่ง
โดยไม่ได้รับอนุญาต ไม่ถูกต้อง และไม่ได้รับการต้อนรับให้เข้ามา
สำหรับการบุกรุกระบบเครือข่าย (Network Intrusion) ก็คือการเข้าสู่ระบบ
เพื่อกระทำการใดๆ กับคอมพิวเตอร์ หรือเครือข่าย
ผ่านทางช่องทางผู้ใช้งานที่ถูกต้องของระบบ แล้วพยายามยกสิทธิของ
ตัวเองให้สูงขึ้นเพื่อให้ตนเองสามารถที่จะควบคุมได้ทั้งระบบ
ไม่ว่าจะเป็นการกำหนดสิทธิ การเปิดปิดเซอร์วิส การสร้างบัญชีผู้ใช้งานใหม่
โดยอาศัยช่องโหว่ ของระบบ สำหรับการบุกรุก สามารถมาได้จากการกระทำหลายๆทาง
เช่นผู้ประสงค์ร้าย ผู้ก่อการร้าย หรือแม้แต่ผู้ร่วมงานเองรูปแบบการบุกรุก
1.1 การสแกนระบบ (Scanning)
เมื่อทำการเฝ้ามองกิจกรรมในเครือข่ายนั้น มีกิจกรรมหลายๆอย่างที่เราต้องคอยเฝ้ามอง
เราอาจจะต้องเฝ้ามองในจุดที่เป็นจุดอ่อนของระบบเป็นพิเศษ หรือ
เฉพาะพอร์ตที่เปิดใช้งานในระบบ
กิจกรรมเหล่านี้นั้นมักจะกระทำในเครือข่ายอินเตอร์เน็ตที่ไม่มีการกรองของข้อมูล
และพวก Private Network โดยส่วนมากแล้วเมื่อใดก็ตามที่เครือข่ายของเรานั้นเริ่มถูกสแกน
มักจะเป็นจุดเริ่มของการเตรียมพร้อมในการโจมตี ดังนั้นแล้วผู้ดูแลระบบหลายๆคน
จึงมักจะต้องการการเตือนเมื่อระบบที่ดูแล นั้นเริ่มถูกการสแกน
และอาจทำการติดตามการสแกน (Tracking Scanning) ซึ่งเป็นวิธีที่จะช่วยในการตรวจสอบในกรณีที่เกิดการโจมตีไปแล้ว
สิ่งสำคัญที่ควรรู้อย่างหนึ่งเมื่อเครือข่ายของเรานั้นถูกสแกน
คือการอย่าเสียเวลาอันมาค่าในการตามการสแกนทุก ๆ บุคคลที่ทำการสแกนเครือข่ายของเรา
สิ่งที่ดีที่สุดที่คุณควรทำกับข้อมูลการสแกนคือดู IP ต้นที่ทำการแสกนแล้วทำการจัดอันดับการเฝ้าระวัง หรือดูว่ามีการสแกนซ้ำๆไปมาหรือไม่
เพื่อนำข้อมูลที่ได้มาวิเคราะห์ดูหาพฤติกรรมที่เกิดขึ้น ก่อนจัดการกับตัวปัญหา
1.2 Viruses and Worms
รูปแบบการจราจร
บนเครือข่ายอย่างหนึ่งที่คุณจะเห็นว่ามีการกระตุ้นการทำงานให้กับระบบ IDSs ของเราเกิดการทำงานตอบโต้ก็คือ รูปแบบของการจราจรของพวก Worms และ Viruses เพราะพวกมันมีพฤติกรรมการทำงานที่ซ้ำๆ เป็นแบบอัตโนมัติ
และพฤติกรรมประจำตัวเป็นการคัดลอกตัวเอง การพยายามโจมตีเครือข่ายหลายๆครั้ง
ดังนั้นรูปแบบของการจราจร (traffic pattern) จึงสามารถที่จะตรวจสอบเจอโดยระบบ IDS ของคุณ สำหรับตัวอย่างของ Worm ที่ใช้งานการจราจรบนเครือข่ายแล้วทำให้เกิดการล้มของเครือข่ายที่จะยกตัวอย่างได้แก่ SQL Slammer Worm
SQL Slammer Worm ถูกปล่อยเข้าสู่บนโลกอินเตอร์เน็ตในวันที่ 25 มกราคม 2003 โดยตัวของ worm ได้อาศัยช่องโหว่ใน Microsoft Structure Query (SQL) Server โดยมันจะส่งข้อมูลขนาด 376 byte User Datagram Protocol (UDP) เข้าพอร์ต 1434 ทำให้เกิด overflow ในบัฟเฟอร์บน MSSQL Server และได้สิทธิระดับ SYSTEM ซึ่งเป็นระดับที่สูงที่สุดบนระบบปฏิบัติการของไมโครซอฟท์
และเมื่อทำสำเร็จก็จะเริ่มสแกน IP อื่นๆ เพื่อกระจายตัวต่อไป
หลังจากที่มันถูกปล่อยแพร่กระจายประมาณ 10 นาที
แบนวิทที่สูงขึ้นอย่างมหาศาลที่เกิดจากการสแกนเครือข่ายโดย worm ทำให้ 5 ใน 13 ของ DNS หลักของเครือข่ายอินเตอร์เน็ต ถูกทำให้ล้มโดย worm สามารถดูประกาศสิ่งที่เกิดขึ้นได้จากทาง www.microsoft.com/technet/treeview/default.asp?url=/technet/security/alerts/slammer.asp
www.cert.org/advisories/CA-2003-04.html
1.3 Live Attacks
Live Attacks เป็นการโจมตีที่กระทำโดยบุคคลที่พยายาม overflow เซอร์วิสของเครือข่ายเพื่อทำให้ระบบเกิดการรวน ตัวอย่างที่ยกนี้จะนี้คือ Wingate POP3 buffer overflow คือใช้ประโยชน์ของ buffer overflow ใน wingate หลังจากที่คำสั่ง USER ถูกส่งข้อมูลจำนวนมากจะถูกส่งตามคำสั่ง "USER" เพื่อทับข้อมูลใน buffer และทำให้เป็นไปได้ที่คำสั่งแปลกปลอมที่ถูกใส่เข้าไปจะถูก Execute เหตุที่เป็นแบบนี้ก็เพราะโดยปกติแล้วการใช้ POP3 มักจะใส่ชื่อผู้ใช้ตามหลังคำสั่ง USER และชื่อผู้ใช้นั้นก็ไม่ได้มีขนาดที่ยาวมากนัก
ดังนั้นการใส่ข้อมูลที่มีขนาดมากตามหลังคำสั่งคำสั่ง USER จึงสามารถที่ทำให้เกิด overflow ขึ้นได้
2. ระบบตรวจจับการบุกรุกทำงานได้อย่างไร (How an IDS works?)
2.1 What the IDS Is Watching: อะไรคือสิ่งที่ระบบ IDS จะเฝ้ามองดูบ้างนั้นสามารถที่จะแบ่งเป็นกลุ่มจากรูปแบบการเฝ้ามองได้ 3 ประเภทคือ
2.1.1 Network – Base Intrusion Detection System (NIDS)
เป็นระบบที่ทำหน้าที่เฝ้ามอง
การจราจรในแต่ละส่วนของเครือข่ายหรือซับเน็ต โดยการเปลี่ยนโหมดการทำงานของ Network card แทนที่จะรับฟังข้อมูลของตนเองเพียงอย่างเดียว
ก็เป็นการยอมรับข้อมูลทุกอย่างที่เข้าสู่ระบบหรือเรียกว่าโหมด promiscuous mode
2.1.2 Host – Base Intrusion Detection System (HIDS)
HIDS มีความแตกต่างจาก NIDS ในสองทางคือ
การติดตั้งจะปกป้องเฉพาะเครื่องนั้นๆ ไม่ใช่ทั้งภายในซับเน็ต ส่วนโหมดการทำงานของ Network card ก็เป็นโหมดปกติ หรือ nonpromiscuous mode
2.1.3 Distributed – Base Intrusion Detection System (DIDS)
DIDS คือระบบที่รวมทั้ง
ระบบตรวจจับของ NIDS และ HIDS เข้าด้วยกันโดยมีเซิฟร์เวอร์ทำหน้าที่รับรายงานการตรวจจับภายในระบบ มาเปรียบเทียบ
เพื่อให้เห็นภาพรวมของทั้งเครือข่าย
จากที่ระบบ IDS ที่แบ่งเป็นกลุ่มได้ 3 ประเภทนั้นระบบได้เฝ้ามองดูอะไรบ้าง
• Application-Specific Information
สำหรับระบบ IDSs ทั้งสามประเภทที่กล่าวมาสามารถที่จะเฝ้ามอง
แอปพลิเคชั่นอย่างใดอย่างหนึ่งก็ได้ เช่นการส่งข้อมูลแบบ Cleartext ของ Telnet หรือ (HTTP)
• Host-Specific Information
ในขณะที่ HIDS โดยทั่วไปไม่ต้องมองทุกอย่างที่ ที่จะเกิดขึ้นบนเครื่อง (Host) แต่เราก็สามารถที่จะทำให้มันสามารถที่จะมองดูพฤติกรรมทั้งหมดที่เกิดขึ้น
สำหรับเครื่องที่เราต้องการ ได้ตั้งแต่การสร้างไฟล์ และการเข้าถึงระบบภายใน
และกิจกรรมภายในเครือข่าย ถึงลูปแบล็ค มันเป็นกเรื่องปกติที่ HIDS จะทำการสร้างฐานข้อมูลในการเกิดสถานะต่างๆที่เกิดขึ้นกับระบบ (ขนาดไฟล์, สิทธิการอนุญาต, เวลาการเข้าถึงไฟล์) เพื่อที่จะใช้ในการตรวจสอบในภายหลัง
• Subnet-Specific Information
เครือข่ายโดยมากแล้วจะมีรูปแบบการจราจรของข้อมูล
เช่นถ้าคุณรู้ว่าหนึ่งในเครื่องของเครือข่ายนั้นเป็น Mail Server แล้วก็ไม่ต้องแปลกใจเลยที่จะเห็นการจราจรของข้อมูล Simple Mail Transfer Protocol (SMTP) ไปมาจากเครือข่าย ถ้าคุณใช้การ ping ทุกเครื่องในเครือข่าย ทุกๆ 5 นาที
เพื่อทำการดูเครือข่าย การจราจรของข้อมูลนั้นยอมรับได้
แต่ในทางกลับกันถ้าเครื่องอื่น ทำแบบเดียวกับคุณ นั้นก็น่าสงสัย ตลอดเวลาสำหรับ NIDS ที่ดีควรที่จะมีปรับแต่งการจำแนก การยอมรับพฤติกรรมต่างๆ ของซับเนตที่เราอยู่
การให้การอนุญาตการจราจรของข้อมูลที่เรารู้จัก และส่งสัญญาณเตือน
เมื่อมีการส่งข้อมูลจากเครื่องที่ไม่รู้จัก หรือไม่ได้รับอนุญาต
• Distributed IDS
ในระบบ DIDS ข้อมูลที่ถูกรวบรวมและเปรียบเทียบด้วย DIDS เราจะได้เห็นภาพรวมของการจราจรภายในเครือข่ายทั้งหมด ที่จะช่วยใช้ในการวิเคราะห์
แทนการเก็บข้อมูลเฉพาะ เครื่อง หรือ เครือข่ายในซับเนตของคุณเพียงอย่างเดียว
ซึ่งช่วยในการจัดการการจราจรของข้อมูลในเครือข่ายได้ดีขึ้น
2.2 How the IDS Watches Your Network:
ระบบ IDS นั้นเฝ้ามองเครือข่ายของคุณได้โดยการใช้วิธีการที่เป็นที่นิยมดังนี้คือ
2.2.1 Packet Sniffing
ใน NIDSs ได้ทำการตั้งค่าให้
เน็ตเวิร์คการ์ดทำตัวอยู่ในโหมด promiscuous เพื่อรับฟังทุกแพ็คเก็ตภายในเครือข่ายเพื่อการเก็บข้อมูล
2.2.2 Log Parsing
ในระบบการรักษาความปลอดภัยที่ดีนั้น ควรมีระบบการเก็บรักษา log ไฟล์เพื่อดึงข้อมูลมาใช้ในการแจ้งเตือน หรือการใช้ log ในการบันทึกความผิดปกติที่เกิดขึ้น ตัวอย่างเช่น Secure Shell CRC32 overflow ซึ่งจะทิ้งหลักฐานไว้ใน system log
sshd[3698]: fatal: Local: crc32 compensation attack: network attack detected
2.2.3 System Call Monitoring
HIDSs เป็นระบบที่มีความสามารถที่จะติดตั้งตัวเองให้เข้ากับ Kernel ของระบบปฏิบัติการที่ได้ทำการติดตั้งมันเพื่อคอยดูสิ่งที่เกิดขึ้นในระบบ
เช่นเมื่อมันตรวจสอบเห็นว่ามีพฤติกรรมที่ไม่ปกติ
คือการเปลี่ยนแปลงสิทธิผู้ใช้คนหนึ่ง ให้มีสิทธิเป็น root ระบบก็จะทำการแจ้งเตือน
2.2.4 File system Watching
HIDSs เป็นระบบที่มีความสามารถที่จะคอยติดตามและเฝ้ามอง คุณสมบัติต่างๆของไฟล์ในระบบ
เพราะมันอาจจะเกิดการเปลี่ยนแปลงไฟล์ที่ ผิดปกติจากการบุกรุกของ ผู้ประสงค์ร้ายหรือ Viruses และ Worms
2.3 How the IDS Takes the Data: ระบบ IDS นั้นสามารถได้ข้อมูลจาก
2.3.1 It Gathers and Finds Intrusion Attempts
การเก็บข้อมูลภายในเครือข่ายเพื่อ
ค้นหาสิ่งที่พยายามบุกรุกเครือข่ายของคุณ
โดยใช้อัลกอริทึมต่างๆในการตัดสินใจ
2.3.2 Known Good versus Known Bad
การรู้ถึงการจำแนกว่าการจราจรข้อมูลแบบไหนที่ดี หรือร้าย
เพื่อที่จะสามารถเก็บข้อมูลได้ได้ตรงจุด
2.3.3 Technologies for Implementing Your Strategy
เนื่องจากระบบ IDS อาจถูกการโจมตีการหลายๆด้าน
เทคนิคที่จะให้ในการตรวจสอบเป็นหลักในการทดสอบหารูปแบบที่ผิดปกติในเครือข่ายก็คือ rule-based (a.k.a signature-based) analysis การประยุกต์ใช้เทคโนโลยีสำหรับการวางแผนการเพื่อตรวจสอบจึงจำเป็น
เราควรรู้ว่าจะต้องวิเคราะห์ protocol ต่างๆอย่างไร
2.4 What the IDS Does When It Finds an Attack Attempt:
ระบบ IDS จะทำตอบโต้กับการพยายามบุกรุกเข้ามาในเครือข่าย โดยอาจเป็นการจำกัด traffic, filtering, block หรือ Disconnect เป็นทางเลือกสุดท้าย
สำหรับรูปแบบการตอบสนองกับการบุกรุกสามารถแบ่งได้เป็น
2.4.1 Passive Response
การตอบสนองแบบนี้เป็นแบบที่ถูกใช้สืบต่อกันมานานแล้วคือ
เมื่อมีการบุกรุกเครือข่าย ระบบจะทำการบันทึก log แล้วจะทำการแจ้งเตือนผู้ดูแลระบบในหลายๆทาง เช่น Simple Network Management Protocol (SNMP),E-mail, Cell-Phone เป็นต้น
2.4.2 Active Response
การตอบสนองในลักษณะที่ไม่ต้องรอผู้ดูแลระบบมาจัดการ
เช่นเมื่อการจราจรของข้อมูล ผิดปกติ น่าสงสัยก็จะทำการ drop ทิ้ง ระบบนี้ตัวของ IDS จะเป็นผู้วิเคราะห์และดูแลโดยอัตโนมัติ
2.4.3 Inline IDS
การตั้งให้ IDS ว่าควรอยู่บน switch network ของคุณ หรือ
อยู่ระหว่างคุณกับกับอินเตอร์เน็ต ซึ่งทั้งสองอย่างมีทั้งข้อดีและข้อเสีย
คือถ้าเราให้ IDS ทำตัวเหมือน IPS ซึ่งคือการตั้งค่าแบบ inline มีบางอย่างที่คุณต้องพิจารณา การขัดขวางหรือ drop traffic นั้นจะทำให้เกิดผลกระทบที่มาก ไม่มีอะไรผ่านเข้ามาได้ แต่ถ้า IDS ไม่ใช่ inline คุณยังสามารถส่ง ICMP unreachables คุณไม่สามารถที่จะควบคุมเครือข่ายได้หมด
แต่ถ้าเป็นแบบ inline การควบคุมอยู่ในมือคุณ ตัด traffic ได้หมด
3. ตอบคำถามเกี่ยวกับ IDS (Answering Common IDS Questions)
3.1 Why Are Intrusion Detection Systems Important?
IDSs ช่วยในการตรวจสอบระบบเครือข่ายให้มีประสิทธิภาพ
สำหรับการออกแบบระบบที่มีความปลอดภัยสูง ช่วยให้คุณรู้เมื่อคุณกำลังถูกสแกน
และเมื่อคุณกำลังถูกโจมตี ช่วยให้ข้อมูลที่มากขึ้น นอกเหนือจากการตรวจเซิร์ฟเวอร์
และ log ของ firewall ทำให้คุณเห็นว่าการโจมตีนั้นล้มเหลว หรือสำเร็จ
และรับการเตือนแบบ real time เมื่อมีการพยายามโจมตี
คุณสามารถที่จะดูการจราจรของข้อมูลในเครือข่าย และเป็นการเฝ้าระวัง การถูกโจมตีก่อน
เป็นเครื่องมือที่มีค่าในมือของผู้ดูแลเครือข่ายที่มีฝีมือ
3.2 Why Doesn't My Firewall Serve as an IDS?
Firewall มีหน้าที่
ในการกรองแพ็คเก็ตข้อมูล ไม่มีการเตือนเมื่อมี traffic ที่มีความเสี่ยงสูง firewall ถูกออกแบบให้มีหน้าที่หลัก เพื่อ ปฏิเสธ หรือ ยอมรับ การผ่านข้อมูลเข้าออกเครือข่าย
ไม่ได้เตือนผู้ดูแลระบบ เมื่อมีกิจกรรมที่ประสงค์ร้ายต่อเครือข่าย firewall หลายๆตัว อยู่ในระดับ network-level เพื่อกรองแพ็คเก็ตข้อมูล
บนพื้นฐานการการตรวจสอบ IP ต้นทาง ปลายทาง และ พอร์ตที่ใช้
โดยไม่มีการเกี่ยวข้องในส่วนของ การวิเคราะห์การจราจรของข้อมูลบนเครือข่าย แต่ IDS นั้นสามารถทำได้
3.3 Why Are Attackers Interested in Me?
เพราะคุณอยู่ที่นั่น ในขณะที่ผู้โจมตีจะหาเป้าหมายที่มีค่า
และระบบใดก็ตามที่เชื่อมต่อเข้าสู่เครือข่ายของอินเตอร์เน็ตเป้าหมายเหล่านั้นย่อมมีความเสี่ยงสูง
ผู้โจมตีอาจจะต้องการขโมยข้อมูลที่สำคัญของคุณ แต่ในกรณีส่วนมากแล้ว
ผู้โจมตีต้องการแค่ขโมย bandwidth ไม่ใช่ความลับของคุณ
สามารถแยกเหตุที่ทำให้คุณตกเป็นเป้าหมายได้ดังนี้
• Automated Scanning/Attacking Doesn't Care Who You Are
คุณถูก viruses หรือ worm โจมตี ด้วยเหตุที่ว่าพวกมันทำตามโปรแกรมที่ถูกตั้งมาอัตโนมัติ
โดยมันจะไม่สนใจว่าคุณเป็นใคร มีข้อมูลสำคัญอะไร
• Desirable Resources Make You a Target
คุณมีทรัพยากรที่สำคัญ
ทำให้คุณตกเป็นเป้าหมายได้แก่
Bandwidth: แบนวิดท์ข้อมูลที่มีคุณค่าของคุณ จะถูกขโมยเพื่อการโจมตีแบบ distributed denial-of-service (DDOS) หรือการแสดงโฆษณา
Disk Space: พื้นที่ข้อมูลที่สำคัญของคุณ
มักจะถูกโจมตีเพื่อให้แบ่งแชร์ข้อมูลที่อยู่ในระบบของคุณ ไม่ว่าจะเป็นเอกสาร
ไฟล์ภาพ หนัง ต่างๆ ที่ล้วนแล้วแต่เป็นของส่วนตัว
หรือไม่ต้องการเปิดให้ใครเห็น
Valuable Information: ข้อมูลอันมีค่า
อันได้ข้อมูลทางการเงิน การทหาร ข้อมูลทางเศรษฐกิจ หรืออื่นๆ
ที่สำคัญไม่ควรเปิดเผย
• Political or Emotional Motivations
เหตุผลทางการเมือง หรือมีแรงจูงใจ
ที่ทำให้เราเกิดตกเป็นเป้าหมายของการโจมตี
ด้วยอาจเพราะเราเป็นเป้าหมายที่สามารถลดความน่าเชื่อถือของคนบางกลุ่ม
หรือทำให้คนบางกลุ่มได้ผลประโยชน์ เมื่อเราถูกโจมตี
4. ซอฟท์แวร์แนะนำในการสร้างระบบ IDS
SNORT
เป็นซอฟท์แวร์ในการสร้างระบบความปลอดภัยสมัยใหม่ให้กับเครือข่าย
โดยมีฟังก์ชั่นหน้าที่การทำงานหลัก3อย่างที่สำคัญที่สามารถให้บริการ packet sniffer, packet logger, Network-based Intrusion Detection System (NIDS) อีกทั้งยังสามารถที่จะ เพิ่มเติมความสามารถอื่นได้อีก เช่น การบันทึกและจัดการ log การแจ้งเตือนผู้ดูแลระบบ เป็นต้น ที่สำคัญคือ SNORT เป็นฟรีแวร์ที่สามารถนำมารันได้ทั้งบน Linux และ Windows
