firewall and ids
TRANSCRIPT
Firewall and Firewall and IDSIDSนายทรรศน�ย เอี่��ยมสอี่าดนายทรรศน�ย เอี่��ยมสอี่าดรหั�ส รหั�ส 482872482872
Firewall and IDSFirewall and IDS
FirewallFirewall– ประเภทขอี่งไฟร�วอี่ลประเภทขอี่งไฟร�วอี่ล– การอี่อี่กแบบนโยบายการร�กษาความปลอี่ดภ�ยการอี่อี่กแบบนโยบายการร�กษาความปลอี่ดภ�ย– ข!อี่จำ#าก�ดขอี่งไฟร�วอี่ลข!อี่จำ#าก�ดขอี่งไฟร�วอี่ล
IDIDSS– IDS and IPSIDS and IPS– HoneypotHoneypot– ประเภทขอี่ง ประเภทขอี่ง IDS IDS และ ร$ปแบบการติ&ดติ�'งและ ร$ปแบบการติ&ดติ�'ง– ร$ปแบบการโจำมติ�และการแจำ!งเติ(อี่นภ�ยร$ปแบบการโจำมติ�และการแจำ!งเติ(อี่นภ�ย– ข!อี่จำ#าก�ดข!อี่จำ#าก�ด
FirewallFirewall
ไฟร�วอี่ล ค(อี่ ระบบควบค)มการเข!าอี่อี่กเคร(อี่ข*าย ซึ่,�งจำะใช้!ส#าหัร�บปกป/อี่งเคร(อี่ไฟร�วอี่ล ค(อี่ ระบบควบค)มการเข!าอี่อี่กเคร(อี่ข*าย ซึ่,�งจำะใช้!ส#าหัร�บปกป/อี่งเคร(อี่ข*ายภายในอี่งค�กรจำากการโจำมติ�จำากภายนอี่กได! โดยปกติ&แล!วไฟร�วอี่ลจำะถู$กข*ายภายในอี่งค�กรจำากการโจำมติ�จำากภายนอี่กได! โดยปกติ&แล!วไฟร�วอี่ลจำะถู$กติ&ดติ�'งขวางก�'นระหัว*างสอี่งเคร(อี่ข*าย ซึ่,�งส*วนใหัญ่*เป2นการติ&ดติ�'งระหัว*างติ&ดติ�'งขวางก�'นระหัว*างสอี่งเคร(อี่ข*าย ซึ่,�งส*วนใหัญ่*เป2นการติ&ดติ�'งระหัว*างอี่&นเทอี่ร�เน3ติ และอี่&นทราเน3ติ ไฟร�วอี่ลเป2นส&�งท��จำ#าเป2นอี่ย*างย&�งส#าหัร�บอี่งค�กร อี่&นเทอี่ร�เน3ติ และอี่&นทราเน3ติ ไฟร�วอี่ลเป2นส&�งท��จำ#าเป2นอี่ย*างย&�งส#าหัร�บอี่งค�กร อี่ย*างไรก3ติามไฟร�วอี่ลไม*สามารถูท��จำะป/อี่งก�นการโจำมติ�ท��ใช้!ช้*อี่งทางปกติ&ท��เป4ดอี่ย*างไรก3ติามไฟร�วอี่ลไม*สามารถูท��จำะป/อี่งก�นการโจำมติ�ท��ใช้!ช้*อี่งทางปกติ&ท��เป4ดไว!โดยไฟร�วอี่ลเอี่งได!ไว!โดยไฟร�วอี่ลเอี่งได!
เหัติ)ผลหัล�กท��ม�การใช้!ไฟร�วอี่ล ก3เพื่(�อี่ใหั!ผ$!ใช้!ท��อี่ย$*ภายในสามารถูใช้!บร&การเคร(อี่เหัติ)ผลหัล�กท��ม�การใช้!ไฟร�วอี่ล ก3เพื่(�อี่ใหั!ผ$!ใช้!ท��อี่ย$*ภายในสามารถูใช้!บร&การเคร(อี่ข*ายภายในได!เติ3มท�� และใช้!บร&การเคร(อี่ข*ายภายนอี่ก เช้*น อี่&นเติอี่ร�เน3ติ ได!ด!วยข*ายภายในได!เติ3มท�� และใช้!บร&การเคร(อี่ข*ายภายนอี่ก เช้*น อี่&นเติอี่ร�เน3ติ ได!ด!วย
ไฟร�วอี่ลสามารถูควบค)มการใช้!เคร(อี่ข*ายได!โดยอี่น)ญ่าติหัร(อี่ไม*อี่น)ญ่าติใหั!ไฟร�วอี่ลสามารถูควบค)มการใช้!เคร(อี่ข*ายได!โดยอี่น)ญ่าติหัร(อี่ไม*อี่น)ญ่าติใหั!แพื่3กเก3ติผ*านได! เพื่ราะแพื่3กเก3ติท��ว&�งเข!ามาส$*เคร(อี่ข*ายภายในท�'งหัมดน�'นติ!อี่งแพื่3กเก3ติผ*านได! เพื่ราะแพื่3กเก3ติท��ว&�งเข!ามาส$*เคร(อี่ข*ายภายในท�'งหัมดน�'นติ!อี่งผ*านไฟร�วอี่ล ซึ่,�งแพื่3กเก3ติท��อี่น)ญ่าติใหั!ผ*านหัร(อี่ไม*น�'นข,'นอี่ย$*ก�บนโยบายการผ*านไฟร�วอี่ล ซึ่,�งแพื่3กเก3ติท��อี่น)ญ่าติใหั!ผ*านหัร(อี่ไม*น�'นข,'นอี่ย$*ก�บนโยบายการร�กษาความปลอี่ดภ�ย ร�กษาความปลอี่ดภ�ย (Security Policy) (Security Policy) ท��ก#าหันดใหั!ก�บไฟร�วอี่ลท��ก#าหันดใหั!ก�บไฟร�วอี่ล
FirewallFirewall
ประเภทของ ประเภทของ FirewallFirewall
Firewall Firewall สามารถูแบ*งอี่อี่กได!เป2นหัลายประเภทโดยข,'นอี่ย$*ก�บสามารถูแบ*งอี่อี่กได!เป2นหัลายประเภทโดยข,'นอี่ย$*ก�บเกณฑ์�ท��ใช้!ติ�ดส&น เช้*นถู!าแบ*งติามร$ปแบบการไหัลขอี่งข!อี่ม$ลผ*านเกณฑ์�ท��ใช้!ติ�ดส&น เช้*นถู!าแบ*งติามร$ปแบบการไหัลขอี่งข!อี่ม$ลผ*านไฟร�วอี่ลเราก3สามารถูแบ*งอี่อี่กได!เป2น ไฟร�วอี่ลเราก3สามารถูแบ*งอี่อี่กได!เป2น 2 2 ประเภทค(อี่ประเภทค(อี่– เน3ติเว&ร�คไฟร�วอี่ล เน3ติเว&ร�คไฟร�วอี่ล ( Network Firewall )( Network Firewall )– โฮสติ�เบสไฟร�วอี่ล โฮสติ�เบสไฟร�วอี่ล ( Host-based Firewall )( Host-based Firewall )
นอี่กจำากน�'ย�งสามารถูใช้! เลเยอี่ร�การท#างานขอี่งไฟร�วอี่ล แบ*งนอี่กจำากน�'ย�งสามารถูใช้! เลเยอี่ร�การท#างานขอี่งไฟร�วอี่ล แบ*งประเภทขอี่งไฟร�วอี่ลประเภทขอี่งไฟร�วอี่ล
อี่อี่กมาได!เป2น อี่อี่กมาได!เป2น 3 3 ประเภทค(อี่ประเภทค(อี่- Packet Filtering FirewallPacket Filtering Firewall- Application Layer FirewallApplication Layer Firewall- Stateful Inspection FirewallStateful Inspection Firewall
Packet Filtering Packet Filtering FirewallFirewall Packet Filter ท#างานโดยท#าการหัาเส!นทางและส*งติ*อี่
อี่ย*างม�เง(�อี่นไข (Screening Router) โดยจำะพื่&จำารณาจำากข!อี่ม$ลส*วนท��อี่ย$*ในเฮดเดอี่ร� (header) ขอี่งแพื่3กเก3ติท��ผ*านเข!ามา เท�ยบก�บกฎ (rules) ท��ก#าหันดไว! และติ�ดส&นว*าควรจำะท&'ง (drop) แพื่3กเก3ติน�'นไปหัร(อี่ว*าจำะยอี่ม (accept) ใหั!แพื่3กเก3ติน�'นผ*านไปได!
Stateful Inspection Stateful Inspection FirewallFirewall Stateful Inspection Firewall Stateful Inspection Firewall น�'นม�หัล�กการท#างานท)กน�'นม�หัล�กการท#างานท)ก
อี่ย*างเหัม(อี่นก�บ อี่ย*างเหัม(อี่นก�บ Packet Filtering Firewall Packet Filtering Firewall แติ*ม�ส*วนท��แติ*ม�ส*วนท��เพื่&�มเข!ามาค(อี่ ม�นจำะบ�นท,กข!อี่ม$ลเก��ยวก�บคอี่นเน3กช้��นท��เก&ดเพื่&�มเข!ามาค(อี่ ม�นจำะบ�นท,กข!อี่ม$ลเก��ยวก�บคอี่นเน3กช้��นท��เก&ดข,'นลงใน ข,'นลงใน State Table State Table ก*อี่นท��จำะส*งแพื่3กเก3ติน�'ติ*อี่ใหั!ก�บ ก*อี่นท��จำะส*งแพื่3กเก3ติน�'ติ*อี่ใหั!ก�บ เลเยอี่ร�อี่(�นเลเยอี่ร�อี่(�น
Application Layer Application Layer FirewallFirewall ไฟร�วอี่ลท��ท#างานในระด�บ ไฟร�วอี่ลท��ท#างานในระด�บ Application LayerApplication Layer บางท�ก3บางท�ก3
เร�ยกว*า เร�ยกว*า Proxy Firewall Proxy Firewall ซึ่,�งหัมายถู,งโปรแกรมท��ร �นบนซึ่,�งหัมายถู,งโปรแกรมท��ร �นบนระบบปฏิ&บ�ติ&การท��วๆไประบบปฏิ&บ�ติ&การท��วๆไป
การท#างานจำะเร&�มจำากการท#างานจำะเร&�มจำาก Client Client ส*งการร!อี่งขอี่ไปย�งไฟร�วอี่ล ส*งการร!อี่งขอี่ไปย�งไฟร�วอี่ล หัล�งจำากน�'นหัล�งจำากน�'น ไฟร�วอี่ลไฟร�วอี่ล จำะติรวจำสอี่บจำากนโยบายการร�กษาจำะติรวจำสอี่บจำากนโยบายการร�กษาความปลอี่ดภ�ยว*าทราฟ4กน�'สามารถูผ*านไปได!หัร(อี่ไม* ถู!าความปลอี่ดภ�ยว*าทราฟ4กน�'สามารถูผ*านไปได!หัร(อี่ไม* ถู!าอี่น)ญ่าติไฟร�วอี่ลจำะสร!างการเช้(�อี่มติ*อี่ก�บเซึ่&ร�ฟเวอี่ร�แทน ไคลอี่น)ญ่าติไฟร�วอี่ลจำะสร!างการเช้(�อี่มติ*อี่ก�บเซึ่&ร�ฟเวอี่ร�แทน ไคลเอี่นท�เอี่งเอี่นท�เอี่ง
Network Security Network Security PolicyPolicy Network Security Policy Network Security Policy น�บน�บเป2นส&�งท��ส#าค�ญ่ท��ส)ดเป2นส&�งท��ส#าค�ญ่ท��ส)ด
ส#าหัร�บการใช้!งานไฟร�วอี่ล แม!ว*าส#าหัร�บการใช้!งานไฟร�วอี่ล แม!ว*าFirewall Firewall จำะม�ประส&ทธิ&ภาพื่ จำะม�ประส&ทธิ&ภาพื่ หัากม�นโยบายการร�กษาความปลอี่ดภ�ยท��หัละหัลวมหัากม�นโยบายการร�กษาความปลอี่ดภ�ยท��หัละหัลวมFirewall Firewall ก3ไม*ม�ประโยช้น�มากน�ก ด�งน�'นควรก#าหันดนโยบายท��สามารถูก3ไม*ม�ประโยช้น�มากน�ก ด�งน�'นควรก#าหันดนโยบายท��สามารถูควบค)มหัร(อี่ป/อี่งก�นทราฟ4กท��อี่าจำม�ผลกระทบติ*อี่การใช้!งานควบค)มหัร(อี่ป/อี่งก�นทราฟ4กท��อี่าจำม�ผลกระทบติ*อี่การใช้!งานเคร(อี่ข*ายใหั!มากท��ส)ด แล!วน#าไปบ�งค�บใช้!ก�บไฟร�วอี่ล ซึ่,�งกฎท��เคร(อี่ข*ายใหั!มากท��ส)ด แล!วน#าไปบ�งค�บใช้!ก�บไฟร�วอี่ล ซึ่,�งกฎท��บ�งค�บใช้!นโยบายการร�กษาความปลอี่ดภ�ยในไฟร�วอี่ลน�'นจำะบ�งค�บใช้!นโยบายการร�กษาความปลอี่ดภ�ยในไฟร�วอี่ลน�'นจำะเร�ยกว*า เร�ยกว*า ACL (Access Control List) ACL (Access Control List) หัร(อี่ หัร(อี่ Firewall Firewall RuleRule
Network Security Network Security PolicyPolicy ติ�วอี่ย*างการก#าหันดนโยบายร�กษาความปลอี่ดภ�ย โดยสมมติ&ติ�วอี่ย*างการก#าหันดนโยบายร�กษาความปลอี่ดภ�ย โดยสมมติ&
ว*าโครงสร!างขอี่งเคร(อี่ข*ายเป2นด�งร$ปติ*อี่ไปน�'ว*าโครงสร!างขอี่งเคร(อี่ข*ายเป2นด�งร$ปติ*อี่ไปน�'
Network Security Network Security PolicyPolicy โดย โดย DMZ (Demilitarized Zone)DMZ (Demilitarized Zone) ประกอี่บด!วย เว3บประกอี่บด!วย เว3บ
เซึ่&ร�ฟเวอี่ร� เมลเซึ่&ร�ฟเวอี่ร� และ เซึ่&ร�ฟเวอี่ร� เมลเซึ่&ร�ฟเวอี่ร� และ DNS DNS เซึ่&ร�ฟเวอี่ร� โดยผ$!ใช้!ภายในเซึ่&ร�ฟเวอี่ร� โดยผ$!ใช้!ภายในเคร(อี่ข*ายสามารถูใช้!บร&การค(อี่ เคร(อี่ข*ายสามารถูใช้!บร&การค(อี่ HTTP, HTTPS, FTP, Telnet, HTTP, HTTPS, FTP, Telnet, SSH, DNS, SMTP, POP3SSH, DNS, SMTP, POP3 ส*วนผ$!ใช้!จำากอี่&นเทอี่ร�เน3ติน�'นสามส*วนผ$!ใช้!จำากอี่&นเทอี่ร�เน3ติน�'นสามรถูใช้!บร&การจำาก รถูใช้!บร&การจำาก DMS DMS ได!ค(อี่ ได!ค(อี่ DNS, HTTP, HTTPS, SMTP DNS, HTTP, HTTPS, SMTP จำากนโยบายน�'เราสามารถูเข�ยน จำากนโยบายน�'เราสามารถูเข�ยน ACL ACL ได!ด�งน�'ได!ด�งน�'RuleRule SourceSource DestinatDestinat
ionionService Service (Port)(Port)
ActionAction DescripDescriptiontion
11 AnyAny Web Web ServerServer
HTTPHTTP (80)(80)
HTTPS HTTPS (443)(443)
AllowAllow อี่น)ญ่าติใหั!ผ$!ใช้!อี่น)ญ่าติใหั!ผ$!ใช้!จำากท�'งภายในจำากท�'งภายในและและอี่&นเทอี่ร�เน3ติอี่&นเทอี่ร�เน3ติเข!ามาใช้!บร&การเข!ามาใช้!บร&การเว3บเซึ่อี่ร�เวอี่ร�เว3บเซึ่อี่ร�เวอี่ร�
22 AnyAny Mail Mail ServerServer
SMTP SMTP (25)(25)
POP3 POP3 (110)(110)
IMAP IMAP (143)(143)
AllowAllow อี่น)ญ่าติใหั!ผ$!ใช้!อี่น)ญ่าติใหั!ผ$!ใช้!จำากท�'งจำากท�'งภายในและภายในและอี่&นเทอี่ร�เน3ติอี่&นเทอี่ร�เน3ติเข!ามาใช้!บร&การเข!ามาใช้!บร&การเมล�เซึ่&ร�ฟเวอี่ร�เมล�เซึ่&ร�ฟเวอี่ร�
Network Security Network Security PolicyPolicy
RuleRule SourceSource DestinatDestinationion
Service Service (Port)(Port)
ActionAction DescriptiDescriptionon
33 AnyAny DNS DNS ServerServer
DNS DNS (53)(53)
AllowAllow อี่น)ญ่าติใหั!ผ$!ใช้!อี่น)ญ่าติใหั!ผ$!ใช้!จำากท�'งภายในจำากท�'งภายในและอี่&นเทอี่ร�เน3ติและอี่&นเทอี่ร�เน3ติเข!ามาใช้!บร&การ เข!ามาใช้!บร&การ DNS ServerDNS Server
44 Mail Mail ServerServer
AnyAny SMTP SMTP (25)(25)
AllowAllow อี่น)ญ่าติใหั!เมลอี่น)ญ่าติใหั!เมลเซึ่&ร�ฟเวอี่ร�ร�บ เซึ่&ร�ฟเวอี่ร�ร�บ - - ส*งก�บเมลส*งก�บเมลเซึ่&ร�ฟเวอี่ร�อี่(�นท��เซึ่&ร�ฟเวอี่ร�อี่(�นท��อี่ย$*บนอี่ย$*บนอี่&นเทอี่ร�เน3ติหัร(อี่อี่&นเทอี่ร�เน3ติหัร(อี่ภายในภายใน
55 DNS DNS ServerServer
AnyAny DNS DNS (53)(53)
AllowAllow อี่น)ญ่าติใหั! อี่น)ญ่าติใหั! DNS Server DNS Server ค&วร� ค&วร� DNS DNS Server Server อี่(�นท��อี่(�นท��อี่ย$*บนอี่ย$*บนอี่&นเทอี่ร�เน3ติหัร(อี่อี่&นเทอี่ร�เน3ติหัร(อี่ภายในภายใน
Network Security Network Security PolicyPolicy
RuleRule SourceSource DestinatDestinationion
Service Service (Port)(Port)
ActionAction DescriptDescriptionion
66 Internal Internal NetworkNetwork
AnyAny HTTP (80)HTTP (80)
HTTPS HTTPS (443)(443)
TP (20-21)TP (20-21)
Telnet Telnet (23)(23)
SSH (22)SSH (22)
SMTP (25)SMTP (25)
POP3 POP3 (110)(110)
IMAP4 IMAP4 (143)(143)
AllowAllow อี่น)ญ่าติใหั!ผ$!อี่น)ญ่าติใหั!ผ$!ใช้!ภายในเคร(อี่ใช้!ภายในเคร(อี่ข*ายใช้!บร&การข*ายใช้!บร&การด�งกล*าวจำากด�งกล*าวจำากอี่&นเทอี่ร�เน3ติอี่&นเทอี่ร�เน3ติและ และ DMZDMZ
77 AnyAny AnyAny AnyAny DenyDeny ถู!าไม*ติรงก�บถู!าไม*ติรงก�บกฎท��ก#าหันดกฎท��ก#าหันดข!างบนใหั!ข!างบนใหั!ละท&'งแพื่3กเก3ละท&'งแพื่3กเก3ติน�'นติน�'น
ข�อจำ �กั�ดของ ข�อจำ �กั�ดของ FirewallFirewall
Firewall ไม*สามารถูป/อี่งก�นการโจำมติ�ท��ไม*ได!กระท#าผ*าน Firewall (เช้*น การโจำมติ�จำากภายในเคร(อี่ข*ายเอี่ง)
ไม*สามารถูป/อี่งก�นการโจำมติ�ท��มาก�บ Application protocols ติ*างๆ (เร�ยกว*าการ Tunneling ) หัร(อี่ก�บโปรแกรม client ท��ม�ความล*อี่แหัลมและถู$กด�ดแปลงใหั!กระท#าการโจำมติ�ได! (โปรแกรมท��ถู$กท#าใหั!เป2น Trojan horse)
Intrusion Detection Intrusion Detection System (IDS)System (IDS) IDS (Intrusion Detection System) IDS (Intrusion Detection System) หัร(อี่ระบบติรวจำจำ�บหัร(อี่ระบบติรวจำจำ�บ
การบ)กร)กน�'น เป2นระบบท��ใช้!ส#าหัร�บการเฝ้/าระว�ง และแจำ!งเติ(อี่นภ�ยการบ)กร)กน�'น เป2นระบบท��ใช้!ส#าหัร�บการเฝ้/าระว�ง และแจำ!งเติ(อี่นภ�ยถู!าม�การบ)กร)ก หัร(อี่ม�ส&�งท��ผ&ดปกติ&เก&ดข,'นในระบบ แติ* ถู!าม�การบ)กร)ก หัร(อี่ม�ส&�งท��ผ&ดปกติ&เก&ดข,'นในระบบ แติ* IDS IDS น�'นน�'นไม*ใช้*ระบบป/อี่งก�นการบ)กร)ก แติ*เป2นระบบท��คอี่ยแจำ!งเติ(อี่นภ�ยไม*ใช้*ระบบป/อี่งก�นการบ)กร)ก แติ*เป2นระบบท��คอี่ยแจำ!งเติ(อี่นภ�ยเท*าน�'น โดยเฉพื่าะอี่ย*างย&�งการโจำมติ�แบบเร�ยลไทม� เช้*น การโจำมติ�เท*าน�'น โดยเฉพื่าะอี่ย*างย&�งการโจำมติ�แบบเร�ยลไทม� เช้*น การโจำมติ�แบบ แบบ DoS (Denial of Service) DoS (Denial of Service) หัร(อี่ หัร(อี่ DDoS (Distributed DDoS (Distributed Denial of Service) Denial of Service) จำากปAญ่หัาน�'จำ,งม�การค&ดค!นเทคโนโลย�ใหัม*จำากปAญ่หัาน�'จำ,งม�การค&ดค!นเทคโนโลย�ใหัม*ข,'นมา โดยเร�ยกว*า ข,'นมา โดยเร�ยกว*า ““IPS (Intrusion Prevention System)” IPS (Intrusion Prevention System)” ซึ่,�งสามารถูติรวจำจำ�บการบ)กร)กและการบ)กร)กได!อี่ย*างท�นท*วงท�ซึ่,�งสามารถูติรวจำจำ�บการบ)กร)กและการบ)กร)กได!อี่ย*างท�นท*วงท�
เคร(�อี่งม(อี่อี่�กอี่ย*างหัน,�งท��ม�กใช้!ร*วมก�บ เคร(�อี่งม(อี่อี่�กอี่ย*างหัน,�งท��ม�กใช้!ร*วมก�บ IDS/IPS IDS/IPS ในการด�กจำ�บการในการด�กจำ�บการบ)กร)กค(อี่ ฮ�นน�พื่3อี่ติ บ)กร)กค(อี่ ฮ�นน�พื่3อี่ติ (Honey pot) (Honey pot) หัร(อี่เป/าหัมายลวงหัร(อี่เป/าหัมายลวง
Intrusion Prevention Intrusion Prevention System (IPS)System (IPS) IPS IPS ในสม�ยแรกๆน�'น การหัย)ดการบ)กร)กท#าได!โดยการส*งในสม�ยแรกๆน�'น การหัย)ดการบ)กร)กท#าได!โดยการส*ง
ส�ญ่ญ่าณ ส�ญ่ญ่าณ TCP Reset TCP Reset เพื่(�อี่จำ�ดการก�บเซึ่สช้��นท��คาดว*าจำะเพื่(�อี่จำ�ดการก�บเซึ่สช้��นท��คาดว*าจำะเป2นการบ)กร)ก หัร(อี่อี่าจำจำะเข!าไปเปล��ยนแปลงแก!ไข เป2นการบ)กร)ก หัร(อี่อี่าจำจำะเข!าไปเปล��ยนแปลงแก!ไข Policy Policy ในในไฟร�วอี่ลแบบอี่�ติโนม�ติ& ซึ่,�งในบางคร�'งก3อี่าจำจำะเก&ดความผ&ดพื่ลาด ไฟร�วอี่ลแบบอี่�ติโนม�ติ& ซึ่,�งในบางคร�'งก3อี่าจำจำะเก&ดความผ&ดพื่ลาด จำ,งได!ม�การปร�บปร)งใหั! จำ,งได!ม�การปร�บปร)งใหั! IPS IPS ฉลาดมากข,'น โดยม�การใช้!เทคโนโลย�ฉลาดมากข,'น โดยม�การใช้!เทคโนโลย�ข� 'นส$งในการว&เคราะหั�ข!อี่ม$ล เช้*น ข�'นส$งในการว&เคราะหั�ข!อี่ม$ล เช้*น Neural Network Neural Network และ และ Fuzzy Logic Fuzzy Logic ซึ่,�งท#าใหั!ลดปAญ่หัาการแจำ!งเติ(อี่นท��ผ&ดพื่ลาดได!ซึ่,�งท#าใหั!ลดปAญ่หัาการแจำ!งเติ(อี่นท��ผ&ดพื่ลาดได!
เน(�อี่งจำาก เน(�อี่งจำาก IPS IPS ใช้!หัล�กการเปร�ยบเท�ยบข!อี่ม$ลท��แปลกปลอี่มจำากใช้!หัล�กการเปร�ยบเท�ยบข!อี่ม$ลท��แปลกปลอี่มจำากการปร�บแติ*งแพื่3กเก3ติ โดยใช้!มาติรฐาน การปร�บแติ*งแพื่3กเก3ติ โดยใช้!มาติรฐาน RFC RFC ขอี่ง ขอี่ง IETF IETF ในการในการติ�ดส&นใจำ ท#าใหั! ติ�ดส&นใจำ ท#าใหั! IPS IPS สามารถูป/อี่งก�นการโจำมติ�แบบ สามารถูป/อี่งก�นการโจำมติ�แบบ DoS DoS หัร(อี่ หัร(อี่ DDoS DDoS ได!ด!วยได!ด!วย
Intrusion Prevention Intrusion Prevention System (IPS)System (IPS) หัล�กการท#างานขอี่ง หัล�กการท#างานขอี่ง IPS IPS จำะใช้!หัล�กการท��เร�ยกว*า จำะใช้!หัล�กการท��เร�ยกว*า ““Inline” Inline”
หัร(อี่ท��เร�ยกว*า หัร(อี่ท��เร�ยกว*า ““Gateway IDS” Gateway IDS” ซึ่,�งก3ค(อี่ การน#า ซึ่,�งก3ค(อี่ การน#า IPS IPS ไปไปก�'นกลางบนเส!นทางการส*งข!อี่ม$ล โดยไม*ติ!อี่งม�การก#าหันดก�'นกลางบนเส!นทางการส*งข!อี่ม$ล โดยไม*ติ!อี่งม�การก#าหันดหัมายเลขไอี่พื่�ใหั!ก�บ หัมายเลขไอี่พื่�ใหั!ก�บ IPS IPS แติ*ปAญ่หัาก3ค(อี่แติ*ปAญ่หัาก3ค(อี่ หัากติ�ว หัากติ�ว IPS IPS เก&ดเส�ย เก&ดเส�ย ถู!า ถู!า IPS IPS ไม*สามารถูบายพื่าสติ�วเอี่งได! ก3จำะท#าใหั!เก&ดปAญ่หัาในไม*สามารถูบายพื่าสติ�วเอี่งได! ก3จำะท#าใหั!เก&ดปAญ่หัาในการร�บการร�บ--ส*งข!อี่ม$ลระหัว*างติ!นทางก�บปลายทาง ติลอี่ดจำนถู!า ส*งข!อี่ม$ลระหัว*างติ!นทางก�บปลายทาง ติลอี่ดจำนถู!า IPS IPS ติ�ดส&นใจำผ&ด การบล3อี่กแพื่3กเก3ติท�� ติ�ดส&นใจำผ&ด การบล3อี่กแพื่3กเก3ติท�� IPS IPS ค&ดว*าเป2นการค&ดว*าเป2นการบ)กร)ก แติ*จำร&งๆเป2นการใช้!งานธิรรมดา ก3จำะเก&ดปAญ่หัาอี่�กเช้*นบ)กร)ก แติ*จำร&งๆเป2นการใช้!งานธิรรมดา ก3จำะเก&ดปAญ่หัาอี่�กเช้*นก�นก�น
เป��หม�ยลวง เป��หม�ยลวง (Honey Pot)(Honey Pot)
Honey Pot Honey Pot หัร(อี่เป/าหัมายลวง ก3ค(อี่ ช้*อี่งโหัว* หัร(อี่เป/าหัมายลวง ก3ค(อี่ ช้*อี่งโหัว* (Vulnerability) (Vulnerability) ท��เราปล*อี่ยใหั!ม�บนเคร(�อี่งเซึ่&ร�ฟเวอี่ร� เพื่(�อี่ลวงใหั!แฮคเกอี่ร�เข!ามาท��เราปล*อี่ยใหั!ม�บนเคร(�อี่งเซึ่&ร�ฟเวอี่ร� เพื่(�อี่ลวงใหั!แฮคเกอี่ร�เข!ามาเจำาะระบบ โดยเราจำะใช้!ระบบฮ�นน�พื่3อี่ติ เพื่(�อี่ด�กจำ�บการเจำาะระบบขอี่งเจำาะระบบ โดยเราจำะใช้!ระบบฮ�นน�พื่3อี่ติ เพื่(�อี่ด�กจำ�บการเจำาะระบบขอี่งแฮคเกอี่ร� ท#าใหั!เราสามารถูเร�ยนร$ !ว&ธิ�การเจำาะระบบขอี่งแฮคเกอี่ร�แฮคเกอี่ร� ท#าใหั!เราสามารถูเร�ยนร$ !ว&ธิ�การเจำาะระบบขอี่งแฮคเกอี่ร�อี่ย*างละเอี่�ยด อี่�กท�'งเราสามารถูส(บหัาติ�วแฮคเกอี่ร�ได!ก*อี่นท��จำะเจำาะอี่ย*างละเอี่�ยด อี่�กท�'งเราสามารถูส(บหัาติ�วแฮคเกอี่ร�ได!ก*อี่นท��จำะเจำาะระบบจำร&งขอี่งเรา โดยฮ�นน�พื่3อี่ติจำะใช้!ความสามารถู ระบบจำร&งขอี่งเรา โดยฮ�นน�พื่3อี่ติจำะใช้!ความสามารถู ““Stealth Stealth Logging” Logging” ขอี่งระบบในการบ�นท,กหัล�กฐานเพื่(�อี่ใช้!ในการส(บจำ�บแฮขอี่งระบบในการบ�นท,กหัล�กฐานเพื่(�อี่ใช้!ในการส(บจำ�บแฮคเกอี่ร�คเกอี่ร�
แม!ว*าฮ�นน�พื่3อี่ติ จำะท#าใหั!เราได!ศ,กษาการเจำาะระบบขอี่งแฮคเกอี่ร� แม!ว*าฮ�นน�พื่3อี่ติ จำะท#าใหั!เราได!ศ,กษาการเจำาะระบบขอี่งแฮคเกอี่ร� รวมถู,งสามารถูติรวจำจำ�บไวร�สหัร(อี่เว&ร�มได! แติ*หัากว*าเราอี่อี่กแบบรวมถู,งสามารถูติรวจำจำ�บไวร�สหัร(อี่เว&ร�มได! แติ*หัากว*าเราอี่อี่กแบบระบบเป/าหัมายลวงไม*ด� จำะท#าใหั!แฮคเกอี่ร�สามารถูใช้!ระบบเป/าหัมายระบบเป/าหัมายลวงไม*ด� จำะท#าใหั!แฮคเกอี่ร�สามารถูใช้!ระบบเป/าหัมายลวงท��เราท#าไว!น#าไปใช้!เจำาะระบบขอี่งคนอี่(�นอี่�กท�ลวงท��เราท#าไว!น#าไปใช้!เจำาะระบบขอี่งคนอี่(�นอี่�กท�
ท �ไมต้�องม� ท �ไมต้�องม� IDS/IPSIDS/IPS
เน(�อี่งจำากภ�ยค)กคามจำากอี่&นเทอี่ร�เน3ติและเคร(อี่ข*ายคอี่มพื่&วเติอี่ร�ในเน(�อี่งจำากภ�ยค)กคามจำากอี่&นเทอี่ร�เน3ติและเคร(อี่ข*ายคอี่มพื่&วเติอี่ร�ในปAจำจำ)บ�นอี่ย$*ในระด�บท��ส$งมาก การติ&ดติ�'งไฟร�วอี่ล อี่ย*างเด�ยวคงไม*ปAจำจำ)บ�นอี่ย$*ในระด�บท��ส$งมาก การติ&ดติ�'งไฟร�วอี่ล อี่ย*างเด�ยวคงไม*เพื่�ยงพื่อี่ เพื่�ยงพื่อี่ IDS/IPS IDS/IPS จำ,งเป2นส&�งจำ#าเป2นท��จำะติ!อี่งม�ในระบบการร�กษาจำ,งเป2นส&�งจำ#าเป2นท��จำะติ!อี่งม�ในระบบการร�กษาความปลอี่ดภ�ยในเคร(อี่ข*ายขอี่งท)กอี่งค�กร ติ*อี่ไปน�'ค(อี่เหัติ)ผลท��ว*าความปลอี่ดภ�ยในเคร(อี่ข*ายขอี่งท)กอี่งค�กร ติ*อี่ไปน�'ค(อี่เหัติ)ผลท��ว*าท#าไมติ!อี่งม�ระบบ ท#าไมติ!อี่งม�ระบบ IDS/IPSIDS/IPS– เพื่(�อี่เป2นเคร(�อี่งม(อี่ส#าหัร�บการส(บสวนหัาบ)คคลท��โจำมติ� บ)กร)ก หัร(อี่ใช้!ระบบในเพื่(�อี่เป2นเคร(�อี่งม(อี่ส#าหัร�บการส(บสวนหัาบ)คคลท��โจำมติ� บ)กร)ก หัร(อี่ใช้!ระบบใน
ทางท��ผ&ดทางท��ผ&ด– เพื่(�อี่ติรวจำจำ�บความพื่ยายามท��จำะบ)กร)กเคร(อี่ข*ายและป/อี่งก�นก*อี่นท��จำะเก&ดการเพื่(�อี่ติรวจำจำ�บความพื่ยายามท��จำะบ)กร)กเคร(อี่ข*ายและป/อี่งก�นก*อี่นท��จำะเก&ดการ
โจำมติ�จำร&งๆโจำมติ�จำร&งๆ– เพื่(�อี่เก3บสถู&ติ&เก��ยวก�บความพื่ยายามท��บ)กร)กหัร(อี่โจำมติ� และน#าข!อี่ม$ลไปเพื่(�อี่เก3บสถู&ติ&เก��ยวก�บความพื่ยายามท��บ)กร)กหัร(อี่โจำมติ� และน#าข!อี่ม$ลไป
ว&เคราะหั�ภ�ยค)กคามท��อี่าจำจำะเก&ดข,'นก�บอี่งค�กรได!ว&เคราะหั�ภ�ยค)กคามท��อี่าจำจำะเก&ดข,'นก�บอี่งค�กรได!– เพื่(�อี่เป2นเคร(�อี่งม(อี่ในการว�ดประส&ทธิ&ภาพื่ในการป/อี่งก�นภ�ยขอี่งระบบการเพื่(�อี่เป2นเคร(�อี่งม(อี่ในการว�ดประส&ทธิ&ภาพื่ในการป/อี่งก�นภ�ยขอี่งระบบการ
ร�กษาความปลอี่ดภ�ยอี่(�นเช้*นไฟร�วอี่ล เป2นติ!นร�กษาความปลอี่ดภ�ยอี่(�นเช้*นไฟร�วอี่ล เป2นติ!น
ประเภทของ ประเภทของ IDSIDS
IDS IDS แบ*งอี่อี่กเป2น แบ*งอี่อี่กเป2น 2 2 ประเภทค(อี่ประเภทค(อี่– เน3ติเว&ร�คเบสไอี่ด�เอี่ส เน3ติเว&ร�คเบสไอี่ด�เอี่ส (Network-Based IDS) (Network-Based IDS) ค(อี่ ระบบท��ติรวจำด$ค(อี่ ระบบท��ติรวจำด$
แพื่3คเก3ติท��ว&�งอี่ย$*ในเคร(อี่ข*ายและ แจำ!งเติ(อี่นถู!าพื่บหัล�กฐานท��คาดว*าจำะแพื่3คเก3ติท��ว&�งอี่ย$*ในเคร(อี่ข*ายและ แจำ!งเติ(อี่นถู!าพื่บหัล�กฐานท��คาดว*าจำะเป2นการบ)กร)กเคร(อี่ข*ายเป2นการบ)กร)กเคร(อี่ข*าย
– โฮสติ�เบสไอี่ด�เอี่ส โฮสติ�เบสไอี่ด�เอี่ส (Host-Based IDS) (Host-Based IDS) ค(อี่ระบบท��ติ&ดติ�'งท��โฮสติ� ค(อี่ระบบท��ติ&ดติ�'งท��โฮสติ� คอี่ยเฝ้/าระว�งและติรวจำจำ�บความพื่ยายามท��จำะบ)กร)กโฮสติ�น�'นคอี่ยเฝ้/าระว�งและติรวจำจำ�บความพื่ยายามท��จำะบ)กร)กโฮสติ�น�'น
Network-Based IDSNetwork-Based IDS
Network-Based IDS Network-Based IDS ค(อี่ ซึ่อี่ฟแวร�พื่&เศษท��ร �นบนคอี่มพื่&วเติอี่ร�เคร(�อี่งหัน,�งติ*างค(อี่ ซึ่อี่ฟแวร�พื่&เศษท��ร �นบนคอี่มพื่&วเติอี่ร�เคร(�อี่งหัน,�งติ*างหัาก หัาก IDS IDS ประเภทน�'จำะม�เน3ติเว&ร�คการ�ดท��ท#างานในโพื่รม&สเซึ่�ยสโหัมด ประเภทน�'จำะม�เน3ติเว&ร�คการ�ดท��ท#างานในโพื่รม&สเซึ่�ยสโหัมด (Promiscuous Mode) (Promiscuous Mode) ซึ่,�งในโหัมดน�'เน3ติเว&ร�คการ�ดท)กๆแพื่3กเก3ติท��ว&�งอี่ย$*บนซึ่,�งในโหัมดน�'เน3ติเว&ร�คการ�ดท)กๆแพื่3กเก3ติท��ว&�งอี่ย$*บนเคร(อี่ข*ายแล!วส*งติ*อี่ไปใหั!แอี่พื่พื่ล&เคช้�น เคร(อี่ข*ายแล!วส*งติ*อี่ไปใหั!แอี่พื่พื่ล&เคช้�น IDS IDS จำะว&เคราะหั�ข!อี่ม$ลในแพื่3คเก3ติเหัล*าน�'นก�บจำะว&เคราะหั�ข!อี่ม$ลในแพื่3คเก3ติเหัล*าน�'นก�บข!อี่ม$ลท��เป2นร$ปแบบขอี่งการบ)กร)กท��เก3บไว!ในฐานข!อี่ม$ล ถู!าติรงก�บร$ปแบบด�งกล*าว ข!อี่ม$ลท��เป2นร$ปแบบขอี่งการบ)กร)กท��เก3บไว!ในฐานข!อี่ม$ล ถู!าติรงก�บร$ปแบบด�งกล*าว IDS IDS ก3จำะแจำ!งเติ(อี่นท�นท�ก3จำะแจำ!งเติ(อี่นท�นท�
IDS IDS จำะม�ฐานข!อี่ม$ลท��ใช้!ส#าหัร�บเปร�ยบเท�ยบเพื่(�อี่บอี่กว*าเป2นการพื่ยายามท��จำะบ)กร)กจำะม�ฐานข!อี่ม$ลท��ใช้!ส#าหัร�บเปร�ยบเท�ยบเพื่(�อี่บอี่กว*าเป2นการพื่ยายามท��จำะบ)กร)กเคร(อี่ข*ายหัร(อี่ไม* ซึ่,�งข!อี่ม$ลน�'จำะเร�ยกว*า เคร(อี่ข*ายหัร(อี่ไม* ซึ่,�งข!อี่ม$ลน�'จำะเร�ยกว*า Signature Signature โดย โดย IDS IDS จำะใช้!ซึ่&กเนเจำอี่ร�ท��เก3บจำะใช้!ซึ่&กเนเจำอี่ร�ท��เก3บไว!เพื่(�อี่เปร�ยบเท�ยบก�บข!อี่ม$ลท��ได!จำากการว&เคราะหั�แพื่3กเก3ติท��ว&�งในเคร(อี่ข*าย ไว!เพื่(�อี่เปร�ยบเท�ยบก�บข!อี่ม$ลท��ได!จำากการว&เคราะหั�แพื่3กเก3ติท��ว&�งในเคร(อี่ข*าย
โดยส*วนใหัญ่*แล!ว โดยส*วนใหัญ่*แล!ว IDS IDS ประเภทน�'จำะม�เน3ติเว&ร�คการ�ด ประเภทน�'จำะม�เน3ติเว&ร�คการ�ด 22 การ�ด โดยเน3ติเว&ร�คการ�ดติ�วการ�ด โดยเน3ติเว&ร�คการ�ดติ�วแรกจำะเช้(�อี่มติ*อี่เข!าก�บเคร(อี่ข*ายท��ติ!อี่งการเฝ้/าระว�ง โดยเน3ติเว&ร�คการ�ดติ�วน�'จำะไม*ม�แรกจำะเช้(�อี่มติ*อี่เข!าก�บเคร(อี่ข*ายท��ติ!อี่งการเฝ้/าระว�ง โดยเน3ติเว&ร�คการ�ดติ�วน�'จำะไม*ม�หัมายเลขไอี่พื่� ส*วนเน3ติเว&ร�คการ�ดอี่�กอี่�นหัน,�งจำะเช้(�อี่มติ*อี่เข!าอี่�กเคร(อี่ข*ายหัน,�ง เพื่(�อี่ใช้!หัมายเลขไอี่พื่� ส*วนเน3ติเว&ร�คการ�ดอี่�กอี่�นหัน,�งจำะเช้(�อี่มติ*อี่เข!าอี่�กเคร(อี่ข*ายหัน,�ง เพื่(�อี่ใช้!ส#าหัร�บส*งการแจำ!งเติ(อี่นภ�ยไปย�งเซึ่&ร�ฟเวอี่ร� โดยเคร(อี่ข*ายน�'จำะติ!อี่งไม*ถู$กเช้(�อี่มติ*อี่ก�บส#าหัร�บส*งการแจำ!งเติ(อี่นภ�ยไปย�งเซึ่&ร�ฟเวอี่ร� โดยเคร(อี่ข*ายน�'จำะติ!อี่งไม*ถู$กเช้(�อี่มติ*อี่ก�บเคร(อี่ข*ายหัล�กท�� เคร(อี่ข*ายหัล�กท�� IDS IDS จำะติรวจำจำ�บการบ)กร)ก เพื่(�อี่ป/อี่งก�นไม*ใหั! จำะติรวจำจำ�บการบ)กร)ก เพื่(�อี่ป/อี่งก�นไม*ใหั! IDS IDS ถู$กโจำมติ�เส�ยเอี่งถู$กโจำมติ�เส�ยเอี่ง
กั�รต้�ดต้��ง กั�รต้�ดต้��ง Network-Based Network-Based IDSIDS ร$ปติ*อี่ไปน�'แสดงถู,งจำ)ดท��น&ยมในการติ&ดติ�'ง ร$ปติ*อี่ไปน�'แสดงถู,งจำ)ดท��น&ยมในการติ&ดติ�'ง Network-Network-
Based IDS Based IDS
กั�รต้�ดต้��ง กั�รต้�ดต้��ง Network-Based Network-Based IDSIDS ข!อี่ด�ขอี่งการติ&ดติ�'ง ข!อี่ด�ขอี่งการติ&ดติ�'ง IDS IDS หัล�งไฟร�วอี่ลหัล�งไฟร�วอี่ล
– สามารถูติรวจำจำ�บการบ)กร)กจำากภายนอี่กท��สามารถูเจำาะผ*านไฟร�วอี่ลได!สามารถูติรวจำจำ�บการบ)กร)กจำากภายนอี่กท��สามารถูเจำาะผ*านไฟร�วอี่ลได!– ติรวจำสอี่บความถู$กติ!อี่งในการคอี่นฟ4กไฟร�วอี่ลติรวจำสอี่บความถู$กติ!อี่งในการคอี่นฟ4กไฟร�วอี่ล– สามารถูติรวจำจำ�บการโจำมติ�เซึ่&ร�ฟเวอี่ร�ท��อี่ย$*ใน สามารถูติรวจำจำ�บการโจำมติ�เซึ่&ร�ฟเวอี่ร�ท��อี่ย$*ใน DMZDMZ
ข!อี่ด�ขอี่งการติ&ดติ�'ง ข!อี่ด�ขอี่งการติ&ดติ�'ง IDS IDS หัน!าไฟร�วอี่ลหัน!าไฟร�วอี่ล– เก3บสถู&ติ&เก��ยวก�บจำ#านวนคร�'งและ ประเภทการโจำมติ�ท��มาจำากภายนอี่กเก3บสถู&ติ&เก��ยวก�บจำ#านวนคร�'งและ ประเภทการโจำมติ�ท��มาจำากภายนอี่ก
ข!อี่ด�ขอี่งการติ&ดติ�'ง ข!อี่ด�ขอี่งการติ&ดติ�'ง IDS IDS บนแบ3คโบนหัล�กขอี่งเคร(อี่ข*ายบนแบ3คโบนหัล�กขอี่งเคร(อี่ข*าย– มอี่น&เติอี่ร�ทราฟฟ4กหัล�กท��ไหัลเว�ยนภายในเคร(อี่ข*าย ซึ่,�งจำะเป2นข!อี่ม$ลท��ช้*วยในการว&เคราะหั�และ มอี่น&เติอี่ร�ทราฟฟ4กหัล�กท��ไหัลเว�ยนภายในเคร(อี่ข*าย ซึ่,�งจำะเป2นข!อี่ม$ลท��ช้*วยในการว&เคราะหั�และ
ค!นหัาท��มาค!นหัาท��มา– ติรวจำจำ�บก&จำกรรมท��ไม*ได!ร�บอี่น)ญ่าติขอี่งผ$!ใช้!ท��วไปอี่ย$*ในเคร(อี่ข*ายติรวจำจำ�บก&จำกรรมท��ไม*ได!ร�บอี่น)ญ่าติขอี่งผ$!ใช้!ท��วไปอี่ย$*ในเคร(อี่ข*าย
ข!อี่ด�ขอี่งการติ&ดติ�'ง ข!อี่ด�ขอี่งการติ&ดติ�'ง IDS IDS บนซึ่�บเน3ติท��ม�ความเส��ยงส$งบนซึ่�บเน3ติท��ม�ความเส��ยงส$ง– ติรวจำจำ�บการโจำมติ�ท��ม�เป/าหัมายเป2นระบบท��ส#าค�ญ่ติรวจำจำ�บการโจำมติ�ท��ม�เป/าหัมายเป2นระบบท��ส#าค�ญ่
Host-Based IDSHost-Based IDS
โฮสติ�เบสไอี่ด�เอี่สเป2นซึ่อี่ฟแวร�ท��ร �นบนโฮสติ� โดยปกติ& โฮสติ�เบสไอี่ด�เอี่สเป2นซึ่อี่ฟแวร�ท��ร �นบนโฮสติ� โดยปกติ& IDS IDS ประเภทน�'จำะว&เคราะหั�ล3อี่ค ประเภทน�'จำะว&เคราะหั�ล3อี่ค (Log) (Log) เพื่(�อี่ค!นหัาข!อี่ม$ลเก��ยวก�บเพื่(�อี่ค!นหัาข!อี่ม$ลเก��ยวก�บการบ)กร)ก ในระบบย$น&กส�น�'นล3อี่คท�� การบ)กร)ก ในระบบย$น&กส�น�'นล3อี่คท�� IDS IDS จำะติรวจำสอี่บ เช้*น จำะติรวจำสอี่บ เช้*น Syslog, Messages, Lastlog Syslog, Messages, Lastlog และ และ Wtmp Wtmp ส*วนส*วนว&นโดวส� ว&นโดวส� IDS IDS ก3จำะติรวจำสอี่บอี่�เวนติ�ล3อี่คติ*างๆ เช้*น ก3จำะติรวจำสอี่บอี่�เวนติ�ล3อี่คติ*างๆ เช้*น System, Application System, Application และ และ Security Security เป2นติ!น เป2นติ!น
IDS IDS จำะอี่*านเหัติ)การณ�ใหัม*ท��เก&ดข,'นในล3อี่คและเปร�ยบเท�ยบจำะอี่*านเหัติ)การณ�ใหัม*ท��เก&ดข,'นในล3อี่คและเปร�ยบเท�ยบก�บกฎท��ติ� 'งไว!ก*อี่น ถู!าติรงก3จำะแจำ!งเติ(อี่นท�นท� ด�งน�'นการท�� ก�บกฎท��ติ� 'งไว!ก*อี่น ถู!าติรงก3จำะแจำ!งเติ(อี่นท�นท� ด�งน�'นการท�� IDS IDS จำะติรวจำจำ�บการบ)กร)กได!ระบบจำะติ!อี่งบ�นท,กเหัติ)การณ�จำะติรวจำจำ�บการบ)กร)กได!ระบบจำะติ!อี่งบ�นท,กเหัติ)การณ�ติ*างๆท��ส#าค�ญ่ท��ติ*างๆท��ส#าค�ญ่ท�� เก&ดข,'นก�บระบบในการล3อี่คไฟล� ม&เช้*นน�'น เก&ดข,'นก�บระบบในการล3อี่คไฟล� ม&เช้*นน�'น IDS IDS ก3จำะไม*ม�ข!อี่ม$ลท��จำะใช้!ว&เคราะหั�ว*าม�การบ)กร)กหัร(อี่ไม*ก3จำะไม*ม�ข!อี่ม$ลท��จำะใช้!ว&เคราะหั�ว*าม�การบ)กร)กหัร(อี่ไม*
กั�รต้�ดต้��ง กั�รต้�ดต้��ง Host-Based IDSHost-Based IDS
การติ&ดติ�'งโฮสติ�เบสไอี่ด�เอี่ส ควรจำะติ&ดติ�'งเฉพื่าะก�บเซึ่&ร�ฟเวอี่ร�การติ&ดติ�'งโฮสติ�เบสไอี่ด�เอี่ส ควรจำะติ&ดติ�'งเฉพื่าะก�บเซึ่&ร�ฟเวอี่ร�ท��ส#าค�ญ่ๆก*อี่น ซึ่,�งจำะท#าใหั!ลดค*าใช้!จำ*ายลงและท#าใหั!ผ$!ด$แลท��ส#าค�ญ่ๆก*อี่น ซึ่,�งจำะท#าใหั!ลดค*าใช้!จำ*ายลงและท#าใหั!ผ$!ด$แลร�กษาความปลอี่ดภ�ยจำะได!จำดจำ*อี่ก�บรายงานการแจำ!งเติ(อี่นท��มาร�กษาความปลอี่ดภ�ยจำะได!จำดจำ*อี่ก�บรายงานการแจำ!งเติ(อี่นท��มาจำากเซึ่&ร�ฟเวอี่ร�ท��ส#าค�ญ่เท*าน�'นจำากเซึ่&ร�ฟเวอี่ร�ท��ส#าค�ญ่เท*าน�'น
ควรท#าใหั!ผ$!ด$แลระบบค)!นเคยก�บการท#างานขอี่ง ควรท#าใหั!ผ$!ด$แลระบบค)!นเคยก�บการท#างานขอี่ง IDS IDS โฮสติ�โฮสติ�เบสไอี่ด�เอี่สจำะท#างานได!อี่ย*างม�ประส&ทธิ&ภาพื่หัร(อี่ไม* ข,'นอี่ย$*ก�บเบสไอี่ด�เอี่สจำะท#างานได!อี่ย*างม�ประส&ทธิ&ภาพื่หัร(อี่ไม* ข,'นอี่ย$*ก�บประส&ทธิ&ภาพื่ขอี่งผ$!ด$แล ประส&ทธิ&ภาพื่ขอี่งผ$!ด$แล IDS IDS ท��จำะสามารถูแยกแยะได!ระหัว*างท��จำะสามารถูแยกแยะได!ระหัว*างการแจำ!งเติ(อี่นภ�ยท��เก&ดจำากการโจำมติ�จำร&งๆหัร(อี่ไม*การแจำ!งเติ(อี่นภ�ยท��เก&ดจำากการโจำมติ�จำร&งๆหัร(อี่ไม*
กั�รว�เคร�ะห�และต้รวจำจำ�บกั�รกั�รว�เคร�ะห�และต้รวจำจำ�บกั�รบ!กัร!กับ!กัร!กั หัล�กในการว&เคราะหั�และติรวจำจำ�บการบ)กร)กน�'นม�อี่ย$* หัล�กในการว&เคราะหั�และติรวจำจำ�บการบ)กร)กน�'นม�อี่ย$* 2 2 ว&ธิ� ค(อี่ว&ธิ� ค(อี่
– การติรวจำจำ�บการใช้!งานในทางท��ผ&ดการติรวจำจำ�บการใช้!งานในทางท��ผ&ด (Misuse Detection) (Misuse Detection) ค(อี่ การค(อี่ การว&เคราะหั�เหัติ)การณ�ติ*างๆท��เก&ดข,'นในระบบ เพื่(�อี่ค!นหัาเหัติ)การณ�ท��ติรงว&เคราะหั�เหัติ)การณ�ติ*างๆท��เก&ดข,'นในระบบ เพื่(�อี่ค!นหัาเหัติ)การณ�ท��ติรงก�บเหัติ)การณ�ท��ก#าหันดไว!ว*าเป2นการโจำมติ� ก�บเหัติ)การณ�ท��ก#าหันดไว!ว*าเป2นการโจำมติ�
– การติรวจำจำ�บเหัติ)การณ�ผ&ดปกติ& การติรวจำจำ�บเหัติ)การณ�ผ&ดปกติ& (Anomaly Detection) (Anomaly Detection) ค(อี่ การค(อี่ การว&เคราะหั�และรายงานส&�งท��ผ&ดปกติ&ท��เก&ดข,'นก�บระบบหัร(อี่เคร(อี่ข*าย ว&เคราะหั�และรายงานส&�งท��ผ&ดปกติ&ท��เก&ดข,'นก�บระบบหัร(อี่เคร(อี่ข*าย แนวค&ดขอี่งการติรวจำจำ�บน�'ได!ติ�'งอี่ย$*บนสมมติ&ฐานท��ว*าการโจำมติ�ค(อี่ แนวค&ดขอี่งการติรวจำจำ�บน�'ได!ติ�'งอี่ย$*บนสมมติ&ฐานท��ว*าการโจำมติ�ค(อี่ การกระท#าท��ไม*ถู(อี่ว*าเป2นการท#างานปกติ& โดย การกระท#าท��ไม*ถู(อี่ว*าเป2นการท#างานปกติ& โดย IDS IDS จำะม�ข!อี่ม$ลท��ระบ)ว*าจำะม�ข!อี่ม$ลท��ระบ)ว*าพื่ฤติ&กรรมท��ถู(อี่ว*าเป2นส&�งปกติ&ขอี่งพื่ฤติ&กรรมท��ถู(อี่ว*าเป2นส&�งปกติ&ขอี่ง User User โฮสติ� และทราฟฟ4กขอี่งโฮสติ� และทราฟฟ4กขอี่งเคร(อี่ข*าย ซึ่,�งข!อี่ม$ลน�'จำะเก3บรวบรวมในช้*วงเวลาท��การท#างานขอี่งระบบเคร(อี่ข*าย ซึ่,�งข!อี่ม$ลน�'จำะเก3บรวบรวมในช้*วงเวลาท��การท#างานขอี่งระบบหัร(อี่เคร(อี่ข*ายปกติ& แล!ว หัร(อี่เคร(อี่ข*ายปกติ& แล!ว IDS IDS จำะใช้!เทคน&คการมอี่น&เติอี่ร�แบบติ*างๆจำะใช้!เทคน&คการมอี่น&เติอี่ร�แบบติ*างๆเพื่(�อี่ว&เคราะหั�และแยกแยะว*าเหัติ)การณ�ใดท��ผ&ดปกติ&เพื่(�อี่ว&เคราะหั�และแยกแยะว*าเหัติ)การณ�ใดท��ผ&ดปกติ&
กั�รแจำ�งเต้"อนภ�ยของ กั�รแจำ�งเต้"อนภ�ยของ IDSIDS
ร$ปแบบขอี่งการแจำ!งเติ(อี่นภ�ยขอี่ง ร$ปแบบขอี่งการแจำ!งเติ(อี่นภ�ยขอี่ง IDS IDS น�'นจำะแติกติ*างก�นไปในแติ*ละย��หั!อี่น�'นจำะแติกติ*างก�นไปในแติ*ละย��หั!อี่ขอี่ง ขอี่ง IDS IDS บางผล&ติภ�ณฑ์�ก3รายงานในร$ปแบบขอี่งข!อี่ความ บางบางผล&ติภ�ณฑ์�ก3รายงานในร$ปแบบขอี่งข!อี่ความ บางผล&ติภ�ณฑ์�ก3ม�การรายงานแบบกราฟ4ก ถู,งแม!เทคน&คการแจำ!งเติ(อี่นภ�ยจำะม�ผล&ติภ�ณฑ์�ก3ม�การรายงานแบบกราฟ4ก ถู,งแม!เทคน&คการแจำ!งเติ(อี่นภ�ยจำะม�หัลากหัลาย แติ* หัลากหัลาย แติ* IDS IDS ส*วนใหัญ่*จำะแจำ!งเติ(อี่นข!อี่ม$ลพื่('นฐานเก��ยวก�บการส*วนใหัญ่*จำะแจำ!งเติ(อี่นข!อี่ม$ลพื่('นฐานเก��ยวก�บการโจำมติ�เหัม(อี่นก�น ค(อี่ โจำมติ�เหัม(อี่นก�น ค(อี่ – ว�นเวลาว�นเวลา– IP IP ขอี่ง ขอี่ง IDS IDS ท��รายงานท��รายงาน– ช้(�อี่ขอี่งการโจำมติ�ช้(�อี่ขอี่งการโจำมติ�– หัมายเลขไอี่พื่�ติ!นทางและปลายทางหัมายเลขไอี่พื่�ติ!นทางและปลายทาง– หัมายเลขพื่อี่ร�ติขอี่งติ!นทางและปลายทางหัมายเลขพื่อี่ร�ติขอี่งติ!นทางและปลายทาง– ช้(�อี่โปรโติคอี่ลท��ใช้!ส#าหัร�บการโจำมติ�ช้(�อี่โปรโติคอี่ลท��ใช้!ส#าหัร�บการโจำมติ�และส*วนใหัญ่*จำะค#าอี่ธิ&บายคร*าวๆเก��ยวก�บแติ*ละประเภทขอี่งการโจำมติ� และส*วนใหัญ่*จำะค#าอี่ธิ&บายคร*าวๆเก��ยวก�บแติ*ละประเภทขอี่งการโจำมติ�
เช้*น ประเภท ระด�บความร)นแรงประเภทขอี่งความเส�ยหัาย เป2นติ!นเช้*น ประเภท ระด�บความร)นแรงประเภทขอี่งความเส�ยหัาย เป2นติ!น
ประเภทของกั�รโจำมต้� ประเภทของกั�รโจำมต้� (Attack(Attack Types)Types) การโจำมติ�น�'นม�หัลากหัลายร$ปแบบ แติ*ผลล�พื่ธิ�ขอี่งการโจำมติ�การโจำมติ�น�'นม�หัลากหัลายร$ปแบบ แติ*ผลล�พื่ธิ�ขอี่งการโจำมติ�
จำะเป2นการท#าลายค)ณสมบ�ติ& จำะเป2นการท#าลายค)ณสมบ�ติ& 4 4 ประการขอี่งการร�กษาความประการขอี่งการร�กษาความปลอี่ดภ�ย ด�งน�'ปลอี่ดภ�ย ด�งน�'– ความล�บ ความล�บ (Confidentiality) (Confidentiality) การโจำมติ�ท��เป2นการท#าลายความล�บการโจำมติ�ท��เป2นการท#าลายความล�บ
ขอี่งข!อี่ม$ลขอี่งข!อี่ม$ล– ความคงสภาพื่ ความคงสภาพื่ (Integrity) (Integrity) การโจำมติ�ท��เป2นการท#าลายความคงการโจำมติ�ท��เป2นการท#าลายความคง
สภาพื่ขอี่งข!อี่ม$ลสภาพื่ขอี่งข!อี่ม$ล– ความพื่ร!อี่มใช้!งาน ความพื่ร!อี่มใช้!งาน (Availability) (Availability) การโจำมติ�ท��ท#าใหั!ผ$!ใช้!หัร(อี่ผ$!ท��ได!การโจำมติ�ท��ท#าใหั!ผ$!ใช้!หัร(อี่ผ$!ท��ได!
ร�บอี่น)ญ่าติไม*สามารถูเข!าถู,งและใช้!งานระบบหัร(อี่ข!อี่ม$ลได!ร�บอี่น)ญ่าติไม*สามารถูเข!าถู,งและใช้!งานระบบหัร(อี่ข!อี่ม$ลได!– การควบค)มการเข!าถู,ง การควบค)มการเข!าถู,ง (Access Control) (Access Control) การโจำมติ�ท��ท#าใหั!ผ$!ท��ไม*การโจำมติ�ท��ท#าใหั!ผ$!ท��ไม*
ได!ร�บอี่น)ญ่าติหัร(อี่ผ$!บ)กร)กเข!าใช้!ระบบได!ได!ร�บอี่น)ญ่าติหัร(อี่ผ$!บ)กร)กเข!าใช้!ระบบได!
กั�รโจำมต้�ท�%ม�กัจำะถู'กัร�ยง�นกั�รโจำมต้�ท�%ม�กัจำะถู'กัร�ยง�น โดยส*วนใหัญ่* โดยส*วนใหัญ่* IDS IDS สามารถูติรวจำจำ�บการโจำมติ�ได! สามารถูติรวจำจำ�บการโจำมติ�ได! 3 3 ประเภทประเภท
ค(อี่ค(อี่– การสแกนระบบ การสแกนระบบ (System Scanning) (System Scanning) หัมายถู,ง การทดสอี่บระบบหัมายถู,ง การทดสอี่บระบบ
ว*าใช้!งานอี่ะไรได!บ!าง ซึ่,�งท#าได!โดยการส*งแพื่3กเก3ติประเภทติ*างๆ ไปย�งว*าใช้!งานอี่ะไรได!บ!าง ซึ่,�งท#าได!โดยการส*งแพื่3กเก3ติประเภทติ*างๆ ไปย�งระบบระบบ
– การปฏิ&เสธิการใหั!บร&การ การปฏิ&เสธิการใหั!บร&การ (Denial of Service) (Denial of Service) หัมายถู,ง การหัมายถู,ง การพื่ยายามท��จำะท#าใหั!ระบบท��เป2นเป/าหัมายท#างานช้!าลงหัร(อี่ใหั!บร&การไม*ได!พื่ยายามท��จำะท#าใหั!ระบบท��เป2นเป/าหัมายท#างานช้!าลงหัร(อี่ใหั!บร&การไม*ได!เลยเลย
– การเจำาะเข!าระบบ การเจำาะเข!าระบบ (System Penetration) (System Penetration) หัมายถู,ง การเข!ามาหัมายถู,ง การเข!ามาในระบบโดยไม*ได!ร�บอี่น)ญ่าติ และเปล��ยนแปลงส&ทธิ� ร�ซึ่อี่ร�ส และข!อี่ม$ลในระบบโดยไม*ได!ร�บอี่น)ญ่าติ และเปล��ยนแปลงส&ทธิ� ร�ซึ่อี่ร�ส และข!อี่ม$ลท��อี่ย$*ในระบบท��อี่ย$*ในระบบ
ข�ดคว�มส�ม�รถูของ ข�ดคว�มส�ม�รถูของ IDSIDS
IDS IDS สามารถูท#าหัน!าท��ติ*อี่ไปน�'ได!ด�สามารถูท#าหัน!าท��ติ*อี่ไปน�'ได!ด�– มอี่น&เติอี่ร�และว&เคราะหั�เหัติ)การณ�ท��เก&ดข,'นในระบบและพื่ฤติ&กรรมขอี่งมอี่น&เติอี่ร�และว&เคราะหั�เหัติ)การณ�ท��เก&ดข,'นในระบบและพื่ฤติ&กรรมขอี่ง
ผ$!ใช้!ผ$!ใช้!– ทดสอี่บระด�บความปลอี่ดภ�ยขอี่งระบบทดสอี่บระด�บความปลอี่ดภ�ยขอี่งระบบ– รายงานข!อี่ม$ลเก��ยวก�บนโยบายการร�กษาความปลอี่ดภ�ยพื่('นฐานรายงานข!อี่ม$ลเก��ยวก�บนโยบายการร�กษาความปลอี่ดภ�ยพื่('นฐาน
IDS IDS ไม*สามารถูท#าหัน!าท��ด�งติ*อี่ไปน�'ได!ไม*สามารถูท#าหัน!าท��ด�งติ*อี่ไปน�'ได!– ไม*สามารถูป4ดช้*อี่งโหัว*หัร(อี่จำ)ดอี่*อี่นขอี่งระบบท��ไม*ได!ป/อี่งก�นโดยระบบไม*สามารถูป4ดช้*อี่งโหัว*หัร(อี่จำ)ดอี่*อี่นขอี่งระบบท��ไม*ได!ป/อี่งก�นโดยระบบ
ร�กษาความปลอี่ดภ�ยอี่(�นร�กษาความปลอี่ดภ�ยอี่(�น– ไม*สามารถูข�ดขวางไม*ใหั!โจำมติ� ไม*สามารถูข�ดขวางไม*ใหั!โจำมติ� IDS IDS เอี่งได!เอี่งได!
สร!ปสร!ป Firewall Firewall และ และ IDS IDS น�'นม�ความจำ#าเป2นอี่ย*างมากติ*อี่อี่งค�กรน�'นม�ความจำ#าเป2นอี่ย*างมากติ*อี่อี่งค�กร
ท�'งหัมดท��เช้(�อี่มติ*อี่อี่งค�กรขอี่งตินส$*ระบบอี่&นเทอี่ร�เน3ติ และท�'งหัมดท��เช้(�อี่มติ*อี่อี่งค�กรขอี่งตินส$*ระบบอี่&นเทอี่ร�เน3ติ และจำ#าเป2นอี่ย*างย&�งท��ติ!อี่งใช้!ควบค$*ก�นเพื่(�อี่ท��จำะท#าใหั!ความเส��ยงในจำ#าเป2นอี่ย*างย&�งท��ติ!อี่งใช้!ควบค$*ก�นเพื่(�อี่ท��จำะท#าใหั!ความเส��ยงในการได!ร�บผลจำากโจำมติ�จำากผ$!ท��ไม*หัว�งด�ลดลง แติ*ถู,งแม! จำะม�การได!ร�บผลจำากโจำมติ�จำากผ$!ท��ไม*หัว�งด�ลดลง แติ*ถู,งแม! จำะม�ระบบร�กษาความปลอี่ดภ�ยท��ยอี่ดเย��ยมเพื่�ยงใด หัากการระบบร�กษาความปลอี่ดภ�ยท��ยอี่ดเย��ยมเพื่�ยงใด หัากการอี่อี่กแบบนโยบายในการร�กษาความปลอี่ดภ�ยน�'นไม*ด�พื่อี่ อี่อี่กแบบนโยบายในการร�กษาความปลอี่ดภ�ยน�'นไม*ด�พื่อี่ ระบบร�กษาความปลอี่ดภ�ยเหัล*าน�'นก3จำะหัมดประโยช้น�ไปอี่ย*างระบบร�กษาความปลอี่ดภ�ยเหัล*าน�'นก3จำะหัมดประโยช้น�ไปอี่ย*างส&'นเช้&ง ระบบท�'งหัมดในอี่งค�กรก3จำะม�ความเส��ยงส$งมากท��จำะส&'นเช้&ง ระบบท�'งหัมดในอี่งค�กรก3จำะม�ความเส��ยงส$งมากท��จำะติกอี่ย$*ในอี่�นติรายจำากการโจำมติ�ติกอี่ย$*ในอี่�นติรายจำากการโจำมติ�