งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software"— ใบสำเนางานนำเสนอ:

1 การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

2 การวิเคราะห์ Traffic vs. Content
ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบรายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก traffic และ content analysis IDS ส่วนใหญ่จะใช้ content analysis เนื่องจาก network admin ไม่มีเวลาในการคอยตรวจเช็คข้อมูลซึ่งมีขนาดมหาศาลทั้งหมดได้ การวิเคราะห์ Content ของข้อมูลจะเป็นการตรวจหา signatures (rules) ใน payload ซึ่งการทำงานแบบนี้จะคล้ายกับการทำงานของ anti-virus software ซึ่งจำเป็นที่ต้องกำหนด signatures หรือ rules ให้กับ IDS การเขียน rules ให้กับ IDS นั้นจำเป็นที่ต้องใช้ความละเอียด เพราะไม่ต้องการการแจ้งเตือนที่ไม่จำเป็นจาก IDS หรือ false alarm และก็ไม่ต้องการให้เกิดการตรวจจับที่ผิดพลาดเช่นเดียวกัน

3 Content Analysis ต้องมีการ capture packets ทั้งหมด ซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะนั้นจำเป็นต้องมี disk space และ CPU time ในการ process ข้อมูล ข้อดีของการวิเคราะห์แบบนี้คือง่ายและรวดเร็วกว่าและเป็น real-time detection มากกว่า ข้อเสียคือ โอกาสของความผิดพลาดของการแจ้งเตือนนั้นสูงกว่าและต้องการ resource ของ system ในการ run มากกว่า

4 Traffic Analysis เป็นการแปลความหมายจาก patterns ใน packet header ซึ่งจะแสดงถึงความผิดปกติของ network เพราะฉะนั้นจึงมีความจำเป็นที่ผู้วิเคราะห์จะต้องมีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าว เนื่องจาก analyst จะดูเฉพาะส่วนที่เป็น header ฉะนั้นจึงมีการ capture เฉพาะ header ของข้อมูล โดยปกติแล้ว header ที่จะต้อง capture จะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องใน การวิเคราะห์จึงจำเป็นต้องมีการ capture ทุกๆ header ที่ผ่านใน wire ข้อดีของ traffic analysis คือ ความถูกต้องของการแปลความหมายของข้อมูล ผลเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่างดี และในการ process ไม่สามารถเป็นแบบ real time ได้

5 The Shadow Method Shadow เป็นระบบที่ใช้แนวความคิดของ CIDER (Cooperative Intresion Detection Evaluation and Response) โดยที่ Shadow จะเป็นการรวบรวม Perl scripts ที่ทำการโต้ตอบและติดต่อกับ tcpdump และ SSH ซึ่ง output จากการวิเคราะห์ traffic ของ shadow นั้นจะเป็น html document และสามารถดูได้จาก web browser Shadow เป็นโปรแกรมสำหรับระบบปฏิบัติการ unix-like shadow และ IDS อื่นๆอีกหลายชนิดจะประกอบด้วย 2 ส่วนใหญ่ๆคือ - sensor - analyzer sensor จะเริ่มต้น tcpdump process ทุกๆชั่วโมง และจะหยุด process ของชั่วโมงที่แล้ว แล้ว analyzer จะทำการดึง file ของชม.ที่แล้วโดยใช้ SSH มาทำการวิเคราะห์ หลังจากนั้น analyzer ทำการวิเคราะห์ข้อมูลของ tcpdump โดยใช้ tcpdump filters แล้วทำการสร้าง html pages

6 Snort การใช้ snort เป็น IDS นั้นมีมาตั้งแต่ปี 1998 และในปัจจุบันได้รับความนิยมอย่างมาก ซึ่ง snort เป็น open source rule-based และ content analysis snort มีเข้าสำหรับ unix platform และ Windows NT/2000 สำหรับ rules ของ snort นั้นก็สามารถเข้าใจได้ง่าย ซึ่งทำให้สามารถใช้ snort กับ tools อื่นๆได้อีกและที่สำคัญคือ snort rules ทำให้เกิดการแจ้งเตือนแบบ real time ท่านสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ snort

7 Open Source Software อื่นๆ(กล่าวโดยสังเขป)
- Tcpdump เป็น network sniffer โดยที่ tcpdump จะคอยเฝ้าดูและรวบรวม traffic ทั้งหมด ก็แม้ว่าจะมี sniffer อื่นๆ อีกหลายตัวที่มีอยู่ แต่ tcpdump มีข้อดีหลายอย่างที่ได้เปรียบ sniffer ชนิดอื่นๆคือ tcpdump มีอยู่ในทุกๆ platform และ output ของ tcpdump สามารถนำไปใช้โดย tools อีกหลายชนิด แต่ยังไงก็แล้วแต่ tcpdump ต้องการ libpcap library ในการจับ packet [ftp://ftp.ee.lbl.gov/] - logsurfer เป็น tool ใช้ในการ monitor text log files เมื่อมีเหตุการณ์ไม่ปกติเกิดขึ้น logsurfer จะส่งการแจ้งเตือนไปยัง system asministrator ได้ - shadow shadow เป็น IDS ที่สามารถใช้ได้ทั้งที่เป็นตัวมันเองหรือใช้ร่วมกับ application อื่นๆhttp://www.nswc.navy.mil/ISSEC/CID/step.tar.gz

8 snort เป็น IDS ซึ่งเขียนโดยใช้ภาษา C เป็น stand-alone program แต่ snort จะมีประสิทธิ์ภาพยิ่งขึ้นเมื่อมีการใช้ร่วมกับ tools อื่นๆ Shadow/Snort Hybrid เนื่องจาก shadow ประกอบด้วย Perl scripts ซึ่งทำหน้าที่ในการจัดการและ process ข้อมูลจาก sensor ในขณะที่ snort จะทำการprocess tcpdump binary files แต่เราสามารถทำการแก้ไข shadow ให้สามารถทำการ process ข้อมูลของ tcpdump ผ่านทาง snort ส่วนหน้าที่สามารถแก้ไขได้คือ ความยาวของข้อมูลที่จะทำการ capture โดย tcpdump ของ sensor ซึ่งจะต้องทำการแก้ไขสามารถ capture ข้อมูลมากกว่า 88 byte แต่ admin ก็ต้องพิจารณาถึง disk storage ด้วยนั้นคือ admin ต้องเลือก snaplen ซึ่งสามารถเก็บข้อมูลให้ได้ประโยชน์ในการวิเคราะห์มากที่สุดแต่ขณะเดียวกันก็ไม่ทำให้ประสิทธิภาพการ processing ของระบบลดลง วิธีนี้เหมาะสำหรับองค์กรที่มีข้อจำกัดของบุคลากรและเวลา ถึงแม้ว่า ข้อมูลไม่ถูกวิเคราะห์แบบ real-time แต่เพียงแค่ admin เพียงคนเดียวก็สามารถ respond ได้ตลอดเวลา

9 sensor ทำการ run tcpdump ทุกๆชม.ด้วย snaplen ที่มากกว่า
analyzer จะทำการติดต่อผ่าน SSH กับ sensor ทุกๆชม. เพื่อเก็บข้อมูลของ ชม.ที่ผ่านมา analyzer ทำการ run snort ซึ่งจะทำการ process data และแจ้งเตือน program อื่นๆอาจทำการจัดเรียง alert file เพื่อง่ายในการอ่านและทำความเข้าใจ Software ที่ใช้ shadow tcpdump SSH Snort Snort-sort.pl Apache web Server A UNIX


ดาวน์โหลด ppt การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

งานนำเสนอที่คล้ายกัน


Ads by Google