วันพฤหัสบดีที่ 25 สิงหาคม พ.ศ. 2554

Intrusion Detection and Prevention Systems(IDS and IPS)

IPS (Intrusion Prevention System) ระบบตรวจสอบและตอบโต้การบุกรุก

          IPS (Intrusion Prevention System) คือ Software หรือ hardware ที่ได้รับการออกแบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือ หยุดยั้งผู้บุกรุกได้ด้วยตัวเองโดยที่ไม่จำเป็นต้นอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ
 
         IPS นั้นจะจู่โจมผู้โจมตีโดยการส่งสัญญาน TCP Reset โต้ตอบกลับไปหรือจะสั่งการ firewall เพื่อปรับเปลี่ยนกฎบางข้อเพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครื่อข่าย การทำงานของ IPS นั้นจะใช้หลักการ Inline คือจะนำ IPS เข้าไปวางไว้ขั้นกลางการส่งข้อมูล(โดยทั่วไปจะวางไว้หลัง firewall)โดยจะไม่มีการกำหนด IP address เอาไว้เพื่อป้องกันการโจมตี (front end) ซึ่งในกรณีนี้อาจเกิดข้อเสียตรงที่ว่าถ้า IPS เกิดมีปัญหาหรือ Block Packet ผิดพลาดอาจส่งผลต่อการทำงานได้ (IPS ที่ได้อธิบาย
ไปนั้นเป็น IPS ชนิด NIPS)
 การแบ่งประเภทของ IPSสามารถแบ่งได้ 2 ประเภทคือ
  1. Network Based Intrusion Prevention System (NIPS)
  2. Host Based Intrusion Prevention System (HIPS)
     Network Based Intrusion Prevention System (NIDS) คือ IPS
ที่ได้รับการติดตั้งไว้ที่ส่วนหนึ่งของระบบเครือข่ายเพื่อป้องกันการบุกรุก
Host Based Intrusion Prevention System (HIDS) คือ Software ที่ติดตั้งเข้าไปที่เครื่อง Server เพื่อป้องกันการบุกรุกหรือการโจมตีต่างๆ ตัวอย่างของโปรแกรมประเภทนี้ก็คือ Antivirus, AntiSpyware เป็นต้น
ที่สำคัญนั้นมีอยู่สามส่วนได้แก่
1. Sensor คือส่วนที่จะสร้างเหตุการณ์ที่เกี่ยวกับความปลอดภัยขึ้นมา
2. Console คือส่วนที่จะตรวจจับเหตุการณ์ต่าง, แจ้งเตือน รวมไปถึงการควบคุม Sensor
3. Engine เป็นส่วน ที่จะบันทึกเหตุการณ์จาก sensor ลงใน Database และจะแจ้งเตือนตามกฎที่ได้ตั้ง
เอาไว้ใน IDS

คำศัพท์เฉพาะที่เกี่ยวกับเรื่อง IDS
Alert/Alarm คือการแจ้งเตือนเมื่อระบบถูกโจมตี
True attack stimulus คือเหตุการณ์ที่กระตุ้นให้ IDS เกิดการแจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
False attack stimulus คือเหตุการณ์ที่กระตุ้นให้เกิดการแจ้งเตือนเมื่อไม่มีการโจมตีขึ้นจริง
False (False Positive) การแจ้งเตือนเมื่อไม่เกิดการโจมตีขึ้นจริง
False negative คือการที่ไม่แจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
Noise คือสิ่งรบกวนที่สามารถทำให้เกิดการแจ้งเตือนที่ผิดพลาดขึ้นได้
Alarm filtering คือการดำเนินการแยกการแจ้งเตือนที่ผิดพลาดออกจากการโจมตีจริงเพื่อให้การแจ้ง
เตือนมีความแม่นยำมากยิ่งขึ้น
ตัวอย่างของ Intrusion Detection Systems (IDS)
• Snort
• Endian Firewall
• Untangle
• Bro NIDS
• Prelude Hybrid IDS
• Osiris HIDS Osiris HIDS
• Sourcefire
• OSSEC HIDS OSSEC HIDS
• TweetyCoaster Little Lady Baby DDoS Shield
• Flowmatrix NBAD
• PHPIDS IDS
• PerlIDS