งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

การสร้างระบบการป้องกันการ บุกรุกโดยใช้ Open Source Software.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "การสร้างระบบการป้องกันการ บุกรุกโดยใช้ Open Source Software."— ใบสำเนางานนำเสนอ:

1 การสร้างระบบการป้องกันการ บุกรุกโดยใช้ Open Source Software

2 การวิเคราะห์ Traffic vs. Content ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบ รายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก traffic และ content analysis IDS ส่วนใหญ่จะใช้ content analysis เนื่องจาก network admin ไม่มีเวลาในการคอยตรวจเช็คข้อมูลซึ่งมีขนาดมหาศาลทั้งหมด ได้ การวิเคราะห์ Content ของข้อมูลจะเป็นการตรวจหา signatures (rules) ใน payload ซึ่งการทำงานแบบนี้จะคล้าย กับการทำงานของ anti-virus software ซึ่งจำเป็นที่ต้องกำหนด signatures หรือ rules ให้กับ IDS การเขียน rules ให้กับ IDS นั้นจำเป็นที่ต้องใช้ความละเอียด เพราะไม่ต้องการการแจ้งเตือนที่ไม่จำเป็นจาก IDS หรือ false alarm และก็ไม่ต้องการให้เกิดการตรวจจับที่ผิดพลาด เช่นเดียวกัน

3 Content Analysis ต้องมีการ capture packets ทั้งหมด ซึ่งโดย ปกติแล้วขนาดของ Ethernet Packet สามารถ มีขนาดได้ถึง 1500 bytes เพราะฉะนั้น จำเป็นต้องมี disk space และ CPU time ใน การ process ข้อมูล ข้อดีของการวิเคราะห์แบบนี้คือง่ายและรวดเร็ว กว่าและเป็น real-time detection มากกว่า ข้อเสียคือ โอกาสของความผิดพลาดของการ แจ้งเตือนนั้นสูงกว่าและต้องการ resource ของ system ในการ run มากกว่า

4 Traffic Analysis เป็นการแปลความหมายจาก patterns ใน packet header ซึ่งจะแสดงถึงความผิดปกติของ network เพราะฉะนั้นจึงมีความจำเป็นที่ผู้วิเคราะห์จะต้องมี ความรู้และทักษะในการแปลความหมายจากข้อมูล ดังกล่าว เนื่องจาก analyst จะดูเฉพาะส่วนที่เป็น header ฉะนั้น จึงมีการ capture เฉพาะ header ของข้อมูล โดยปกติ แล้ว header ที่จะต้อง capture จะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องใน การวิเคราะห์จึงจำเป็นต้องมีการ capture ทุกๆ header ที่ผ่านใน wire ข้อดีของ traffic analysis คือ ความถูกต้องของการ แปลความหมายของข้อมูล ผลเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่าง ดี และในการ process ไม่สามารถเป็นแบบ real time ได้

5 The Shadow Method Shadow เป็นระบบที่ใช้แนวความคิดของ CIDER (Cooperative Intresion Detection Evaluation and Response) โดยที่ Shadow จะเป็นการรวบรวม Perl scripts ที่ทำการโต้ตอบและติดต่อ กับ tcpdump และ SSH ซึ่ง output จากการวิเคราะห์ traffic ของ shadow นั้นจะเป็น html document และ สามารถดูได้จาก web browser Shadow เป็นโปรแกรมสำหรับ ระบบปฏิบัติการ unix-like shadow และ IDS อื่นๆอีกหลายชนิดจะประกอบด้วย 2 ส่วนใหญ่ๆคือ - sensor - analyzer sensor จะเริ่มต้น tcpdump process ทุกๆชั่วโมง และจะหยุด process ของ ชั่วโมงที่แล้ว แล้ว analyzer จะทำการดึง file ของชม. ที่แล้วโดยใช้ SSH มา ทำการวิเคราะห์ หลังจากนั้น analyzer ทำการวิเคราะห์ข้อมูลของ tcpdump โดยใช้ tcpdump filters แล้วทำการสร้าง html pages

6 Snort การใช้ snort เป็น IDS นั้นมีมาตั้งแต่ปี 1998 และในปัจจุบันได้รับความนิยมอย่างมาก ซึ่ง snort เป็น open source rule-based และ content analysis snort มีเข้า สำหรับ unix platform และ Windows NT/2000 สำหรับ rules ของ snort นั้นก็สามารถเข้าใจได้ ง่าย ซึ่งทำให้สามารถใช้ snort กับ tools อื่นๆ ได้อีกและที่สำคัญคือ snort rules ทำให้เกิด การแจ้งเตือนแบบ real time ท่านสามารถหา ข้อมูลเพิ่มเติมเกี่ยวกับ snort

7 Open Source Software อื่นๆ ( กล่าวโดยสังเขป ) - Tcpdump เป็น network sniffer โดยที่ tcpdump จะคอยเฝ้าดูและ รวบรวม traffic ทั้งหมด ก็แม้ว่าจะมี sniffer อื่นๆ อีกหลายตัว ที่มีอยู่ แต่ tcpdump มีข้อดีหลายอย่างที่ได้เปรียบ sniffer ชนิดอื่นๆคือ tcpdump มีอยู่ในทุกๆ platform และ output ของ tcpdump สามารถนำไปใช้โดย tools อีกหลายชนิด แต่ ยังไงก็แล้วแต่ tcpdump ต้องการ libpcap library ในการจับ packet [ftp://ftp.ee.lbl.gov/]ftp://ftp.ee.lbl.gov/ - logsurfer เป็น tool ใช้ในการ monitor text log files เมื่อมี เหตุการณ์ไม่ปกติเกิดขึ้น logsurfer จะส่งการแจ้งเตือนไปยัง system asministrator ได้ - shadow shadow เป็น IDS ที่สามารถใช้ได้ทั้งที่เป็นตัวมัน เองหรือใช้ร่วมกับ application อื่นๆ

8 snort เป็น IDS ซึ่งเขียนโดยใช้ภาษา C เป็น stand-alone program แต่ snort จะมีประสิทธิ์ภาพยิ่งขึ้นเมื่อมีการใช้ร่วมกับ tools อื่นๆ Shadow/Snort Hybrid – เนื่องจาก shadow ประกอบด้วย Perl scripts ซึ่งทำหน้าที่ในการจัดการ และ process ข้อมูลจาก sensor – ในขณะที่ snort จะทำการ process tcpdump binary files แต่เรา สามารถทำการแก้ไข shadow ให้สามารถทำการ process ข้อมูลของ tcpdump ผ่านทาง snort – ส่วนหน้าที่สามารถแก้ไขได้คือ ความยาวของข้อมูลที่จะทำการ capture โดย tcpdump ของ sensor ซึ่งจะต้องทำการแก้ไขสามารถ capture ข้อมูลมากกว่า 88 byte แต่ admin ก็ต้องพิจารณาถึง disk storage ด้วย นั้นคือ admin ต้องเลือก snaplen ซึ่งสามารถเก็บข้อมูลให้ได้ประโยชน์ ในการวิเคราะห์มากที่สุดแต่ขณะเดียวกันก็ไม่ทำให้ประสิทธิภาพการ processing ของระบบลดลง – วิธีนี้เหมาะสำหรับองค์กรที่มีข้อจำกัดของบุคลากรและเวลา ถึงแม้ว่า ข้อมูลไม่ถูกวิเคราะห์แบบ real-time แต่เพียงแค่ admin เพียงคนเดียวก็ สามารถ respond ได้ตลอดเวลา

9 sensor ทำการ run tcpdump ทุกๆชม. ด้วย snaplen ที่มากกว่า analyzer จะทำการติดต่อผ่าน SSH กับ sensor ทุกๆชม. เพื่อเก็บข้อมูลของ ชม. ที่ผ่าน มา analyzer ทำการ run snort ซึ่งจะทำการ process data และแจ้งเตือน program อื่นๆอาจทำการจัดเรียง alert file เพื่อง่ายในการอ่านและทำความเข้าใจ Software ที่ใช้ shadow tcpdump SSH Snort Snort-sort.pl Apache web Server A UNIX


ดาวน์โหลด ppt การสร้างระบบการป้องกันการ บุกรุกโดยใช้ Open Source Software.

งานนำเสนอที่คล้ายกัน


Ads by Google