วันอังคารที่ 23 สิงหาคม พ.ศ. 2554

Security Technology

Intrusion Detection and Prevention Systems (IDS and IPS)

Intrusion detection system (IDS) คือ software หรือ hardware ที่ได้รับการออกแบบมาเพื่อ
ให้ตรวจสอบการเชื่อมต่อที่ไม่พึงประสงค์ หรือความพยายามที่จะเข้ามาทำอันตรายต่อเครือข่าย โดยผ่านระบบ
ต่างๆเช่น Internet, Lan เป็นต้น โดยการโจมตีนั้นอาจจะเกิดจาก cracker, Worm หรือ Malware ต่างๆ
และข้อจำกัดของ Intrusion detection system (IDS) นั้นก็คือไม่สามารถที่จะตรวจสอบ Packet ที่เข้า
รหัสได้องค์ประกอบของ Ids นั้นมีหลายหลายส่วนแต่ส่วนประกอบของ
Intrusion detection system (IDS)

ที่สำคัญนั้นมีอยู่สามส่วนได้แก่
1. Sensor คือส่วนที่จะสร้างเหตุการณ์ที่เกี่ยวกับความปลอดภัยขึ้นมา
2. Console คือส่วนที่จะตรวจจับเหตุการณ์ต่าง, แจ้งเตือน รวมไปถึงการควบคุม Sensor
3. Engine เป็นส่วน ที่จะบันทึกเหตุการณ์จาก sensor ลงใน Database และจะแจ้งเตือนตามกฎที่ได้ตั้ง
เอาไว้ใน IDS

คำศัพท์เฉพาะที่เกี่ยวกับเรื่อง IDS
Alert/Alarm คือการแจ้งเตือนเมื่อระบบถูกโจมตี
True attack stimulus คือเหตุการณ์ที่กระตุ้นให้ IDS เกิดการแจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
False attack stimulus คือเหตุการณ์ที่กระตุ้นให้เกิดการแจ้งเตือนเมื่อไม่มีการโจมตีขึ้นจริง
False (False Positive) การแจ้งเตือนเมื่อไม่เกิดการโจมตีขึ้นจริง
False negative คือการที่ไม่แจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
Noise คือสิ่งรบกวนที่สามารถทำให้เกิดการแจ้งเตือนที่ผิดพลาดขึ้นได้
Alarm filtering คือการดำเนินการแยกการแจ้งเตือนที่ผิดพลาดออกจากการโจมตีจริงเพื่อให้การแจ้ง
เตือนมีความแม่นยำมากยิ่งขึ้น

ตัวอย่างของ Intrusion Detection Systems (IDS)
• Snort
• Endian Firewall
• Untangle
• Bro NIDS
• Prelude Hybrid IDS
• Osiris HIDS Osiris HIDS
• Sourcefire
• OSSEC HIDS OSSEC HIDS
• TweetyCoaster Little Lady Baby DDoS Shield
• Flowmatrix NBAD
• PHPIDS IDS
• PerlIDS



IPS (Intrusion Prevention System) ระบบตรวจสอบและตอบโต้การบุกรุก
IPS (Intrusion Prevention System) คือ Software หรือ hardware ที่ได้รับการออก
แบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือ
หยุดยั้งผู้บุกรุกได้ด้วยตัวเองโดยที่ไม่จำเป็นต้นอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ
   IPS นั้นจะจู่โจมผู้โจมตีโดยการส่งสัญญาน TCP Reset โต้ตอบกลับไปหรือจะสั่งการ firewall
เพื่อปรับเปลี่ยนกฎบางข้อเพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครื่อข่าย การทำงานของ IPS นั้นจะ
ใช้หลักการ Inline คือจะนำ IPS เข้าไปวางไว้ขั้นกลางการส่งข้อมูล(โดยทั่วไปจะวางไว้หลัง firewall)
โดยจะไม่มีการกำหนด IP address เอาไว้เพื่อป้องกันการโจมตี (front end) ซึ่งในกรณีนี้อาจเกิดข้อเสีย
ตรงที่ว่าถ้า IPS เกิดมีปัญหาหรือ Block Packet ผิดพลาดอาจส่งผลต่อการทำงานได้ (IPS ที่ได้อธิบาย
ไปนั้นเป็น IPS ชนิด NIPS)

การแบ่งประเภทของ IPS

สามารถแบ่งได้ 2 ประเภทคือ
1.Network Based Intrusion Prevention System (NIPS)
2.Host Based Intrusion Prevention System (HIPS)
Network Based Intrusion Prevention System (NIDS) คือIPS ที่ได้รับการติดตั้งไว้ที่ส่วนหนึ่งของระบบเครือข่ายเพื่อป้องกันการบุกรุก
Host Based Intrusion Prevention System (HIDS) คือ Software ที่ติดตั้งเข้าไปที่เครื่อง Server เพื่อป้องกันการบุกรุกหรือการโจมตีต่างๆ ตัวอย่างของโปรแกรมประเภทนี้ก็คือ
Antivirus, AntiSpyware เป็นต้น