1 / 9

การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software. การวิเคราะห์ Traffic vs. Content. ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบรายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก traffic และ content analysis IDS

hetal
Download Presentation

การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

  2. การวิเคราะห์ Traffic vs. Content • ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบรายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก • traffic และ content analysis IDS • ส่วนใหญ่จะใช้ content analysis เนื่องจาก network admin ไม่มีเวลาในการคอยตรวจเช็คข้อมูลซึ่งมีขนาดมหาศาลทั้งหมดได้ • การวิเคราะห์ Content ของข้อมูลจะเป็นการตรวจหา signatures (rules) ใน payload ซึ่งการทำงานแบบนี้จะคล้ายกับการทำงานของ anti-virus software ซึ่งจำเป็นที่ต้องกำหนด signatures หรือ rules ให้กับ IDS • การเขียน rules ให้กับ IDS นั้นจำเป็นที่ต้องใช้ความละเอียด เพราะไม่ต้องการการแจ้งเตือนที่ไม่จำเป็นจาก IDS หรือ false alarm และก็ไม่ต้องการให้เกิดการตรวจจับที่ผิดพลาดเช่นเดียวกัน

  3. Content Analysis • ต้องมีการ capture packets ทั้งหมด ซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะนั้นจำเป็นต้องมี disk space และ CPU time ในการ process ข้อมูล • ข้อดีของการวิเคราะห์แบบนี้คือง่ายและรวดเร็วกว่าและเป็น real-time detection มากกว่า • ข้อเสียคือ โอกาสของความผิดพลาดของการแจ้งเตือนนั้นสูงกว่าและต้องการ resource ของ system ในการ run มากกว่า

  4. Traffic Analysis • เป็นการแปลความหมายจาก patterns ใน packet header ซึ่งจะแสดงถึงความผิดปกติของ network เพราะฉะนั้นจึงมีความจำเป็นที่ผู้วิเคราะห์จะต้องมีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าว • เนื่องจาก analyst จะดูเฉพาะส่วนที่เป็น header ฉะนั้นจึงมีการ capture เฉพาะ header ของข้อมูล โดยปกติแล้ว header ที่จะต้อง capture จะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องใน • การวิเคราะห์จึงจำเป็นต้องมีการ capture ทุกๆ header ที่ผ่านใน wire • ข้อดีของ traffic analysis คือ ความถูกต้องของการแปลความหมายของข้อมูล • ผลเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่างดี และในการ process ไม่สามารถเป็นแบบ real time ได้

  5. The Shadow Method • Shadow เป็นระบบที่ใช้แนวความคิดของ CIDER (Cooperative Intresion Detection Evaluation and Response) • โดยที่ Shadow จะเป็นการรวบรวม Perl scripts ที่ทำการโต้ตอบและติดต่อกับ tcpdump และ SSH ซึ่ง output • จากการวิเคราะห์ traffic ของ shadow นั้นจะเป็น html document และสามารถดูได้จาก web browser Shadow เป็นโปรแกรมสำหรับระบบปฏิบัติการ unix-like shadow และ • IDS อื่นๆอีกหลายชนิดจะประกอบด้วย 2 ส่วนใหญ่ๆคือ • - sensor- analyzer • sensor จะเริ่มต้น tcpdump process ทุกๆชั่วโมง และจะหยุด process ของชั่วโมงที่แล้ว แล้ว analyzer จะทำการดึง file ของชม.ที่แล้วโดยใช้ SSH มาทำการวิเคราะห์ หลังจากนั้น analyzer ทำการวิเคราะห์ข้อมูลของ tcpdump โดยใช้ tcpdump filters แล้วทำการสร้าง html pages

  6. Snort • การใช้ snort เป็น IDS นั้นมีมาตั้งแต่ปี 1998 และในปัจจุบันได้รับความนิยมอย่างมาก ซึ่ง snort เป็น open source • rule-based และ content analysis snort มีเข้าสำหรับ unix platform และ Windows NT/2000 • สำหรับ rules ของ snort นั้นก็สามารถเข้าใจได้ง่าย ซึ่งทำให้สามารถใช้ snort กับ tools อื่นๆได้อีกและที่สำคัญคือ snort rules ทำให้เกิดการแจ้งเตือนแบบ real time ท่านสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ snort

  7. Open Source Software อื่นๆ(กล่าวโดยสังเขป) - Tcpdumpเป็น network sniffer โดยที่ tcpdump จะคอยเฝ้าดูและรวบรวม traffic ทั้งหมด ก็แม้ว่าจะมี sniffer อื่นๆ อีกหลายตัวที่มีอยู่ แต่ tcpdump มีข้อดีหลายอย่างที่ได้เปรียบ sniffer ชนิดอื่นๆคือ tcpdump มีอยู่ในทุกๆ platform และ output ของ tcpdump สามารถนำไปใช้โดย tools อีกหลายชนิด แต่ยังไงก็แล้วแต่ tcpdump ต้องการ libpcap library ในการจับ packet [ftp://ftp.ee.lbl.gov/] - logsurfer เป็น tool ใช้ในการ monitor text log files เมื่อมีเหตุการณ์ไม่ปกติเกิดขึ้น logsurfer จะส่งการแจ้งเตือนไปยัง system asministrator ได้ http://www.cert.dfn.de/eng/logsurf/ - shadow shadow เป็น IDS ที่สามารถใช้ได้ทั้งที่เป็นตัวมันเองหรือใช้ร่วมกับ application อื่นๆhttp://www.nswc.navy.mil/ISSEC/CID/step.tar.gz

  8. snort • เป็น IDS ซึ่งเขียนโดยใช้ภาษา C เป็น stand-alone program แต่ snort จะมีประสิทธิ์ภาพยิ่งขึ้นเมื่อมีการใช้ร่วมกับ tools อื่นๆ http://www.snort.org • Shadow/Snort Hybrid • เนื่องจาก shadow ประกอบด้วย Perl scripts ซึ่งทำหน้าที่ในการจัดการและ process ข้อมูลจาก sensor • ในขณะที่ snort จะทำการprocess tcpdump binary files แต่เราสามารถทำการแก้ไข shadow ให้สามารถทำการ process ข้อมูลของ tcpdump ผ่านทาง snort • ส่วนหน้าที่สามารถแก้ไขได้คือ ความยาวของข้อมูลที่จะทำการ capture โดย tcpdump ของ sensor ซึ่งจะต้องทำการแก้ไขสามารถ capture ข้อมูลมากกว่า 88 byte แต่ admin ก็ต้องพิจารณาถึง disk storage ด้วยนั้นคือ admin ต้องเลือก snaplen ซึ่งสามารถเก็บข้อมูลให้ได้ประโยชน์ในการวิเคราะห์มากที่สุดแต่ขณะเดียวกันก็ไม่ทำให้ประสิทธิภาพการ processing ของระบบลดลง • วิธีนี้เหมาะสำหรับองค์กรที่มีข้อจำกัดของบุคลากรและเวลา ถึงแม้ว่า ข้อมูลไม่ถูกวิเคราะห์แบบ real-time แต่เพียงแค่ admin เพียงคนเดียวก็สามารถ respond ได้ตลอดเวลา

  9. sensor ทำการ run tcpdump ทุกๆชม.ด้วย snaplen ที่มากกว่า analyzer จะทำการติดต่อผ่าน SSH กับ sensor ทุกๆชม. เพื่อเก็บข้อมูลของ ชม.ที่ผ่านมา analyzer ทำการ run snort ซึ่งจะทำการ process data และแจ้งเตือน program อื่นๆอาจทำการจัดเรียง alert file เพื่อง่ายในการอ่านและทำความเข้าใจ Software ที่ใช้ shadow tcpdump SSH Snort Snort-sort.pl Apache web Server A UNIX

More Related