บทที่ 7 : IDS/IPS Part2 สธ412 ความมั่นคงของระบบสารสนเทศ

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
เรื่อง แนวทางการเลือกซื้อคอมพิวเตอร์
Advertisements

เป็นการนำความรู้ด้าน Microsoft Excel ที่มีความพิเศษตรงที่สามารถ กำหนดสูตรการคำนวณในแต่ละเซลล์ ของ Sheet งานนั้นๆได้ โดยอาศัย ความแม่นยำในการคีย์ข้อมูลเข้าไป.
การพัฒนาระบบทะเบียน ของ โรงเรียนเมโทรเทคโนโลยี จังหวัดเชียงใหม่
 เครือข่ายคอมพิวเตอร์  การที่ระบบเครือข่ายมีบทบาทและ ความสำคัญเพิ่มขึ้น เพราะไมโครคอมพิวเตอร์ได้รับ การใช้งานอย่างแพร่หลาย จึงเกิดความต้องการที่จะ.
การเพิ่ม ลบ จำกัดสิทธิ์ User จัดทำโดย 1. นายธัชนนท์ ต๊ะต้องใจ 1-B เลขที่ 4 2. นาย ไพบูรณ์ อินทะซาว 1-B เลขที่ 23.
Fix common PC problems จัดทำโดย เตรียมสถาปัตยกรรมศาสตร์ ปี 1 นาย ภูวิศ นิ่มตระกูล เลขที่ 27 นาย วีรภัทร ท้วมวงษ์ เลขที่ 30.
การฝึกอบรมและพัฒนาพนักงานขาย
ซอฟต์แวร์ระบบที่รู้จักกันดี คือซอฟต์แวร์ควบคุมการปฏิบัติการ ของคอมพิวเตอร์ที่เรียกว่า ระบบปฏิบัติการ ระบบปฏิบัติการเป็นชุดคำสั่งที่ใช้ควบคุมระบบฮาร์ดแวร์และ.
ผู้นำเสนอ น. ส. สุทธินี มหามิตร ฝ่ายระบบคอมพิวเตอร์ สำนักบริการคอมพิวเตอร์ 30 พฤษภาคม 2550 ผู้นำเสนอ น. ส. สุทธินี มหามิตร ฝ่ายระบบคอมพิวเตอร์ สำนักบริการคอมพิวเตอร์
ซอฟต์แวร์และการเลือกใช้
ประชุมจัดทำแผนปฏิบัติการ เพื่อพัฒนาบริการกลุ่มวัยรุ่น ปี 2558 วันที่ 15 มิถุนายน 2558 ณ ห้องประชุมสหกรณ์ออมทรัพย์สาธารณสุขจังหวัดเชียงใหม่ จำกัด.
ประเภทโครงงาน พัฒนาระบบ (System Development)
การประเมินผลโครงการ คปสอ.คลองใหญ่.
7 เทรนด์ การตลาดออนไลน์ปี 2014 แรงแน่ ! ในปีที่ผ่านมา การเปิดตัวเครือข่าย 3G ในประเทศ ทำให้คำว่า “การตลาดออนไลน์ (Online Marketing)” กันมากขึ้น แล้วในปี
การรักษาความปลอดภัยข้อมูลขั้นพื้นฐาน
นาย สรวิศ เตธัญญวรากูล ปวช.3/2 นาย ศิวกร มาลี ปวช.3/2.
บทที่ 3 นักวิเคราะห์ระบบและการ วิเคราะห์ระบบ. 1. นักวิเคราะห์ระบบ (System Analysis) 1.1 ความหมายของนักวิเคราะห์ระบบ นักวิเคราะห์ระบบ (System Analysis:
หนังสือ เข้า 1. หน่วยสาร บรรณ หรือ งานธุรการ ระบบสารบรรณกระดาษ - บันทึกรายละเอียดผ่านระบบ - สแกนเอกสารลงระบบ ( กรณีเร่งด่วน ) 2. หน่วยงาน ภายใน - ลงทะเบียนรับผ่านระบบ.
การกำจัดขยะ โดยใช้หลัก 3R. มารู้จักหลัก 3R กัน Reduce Reuse Recycle.
หลักเกณฑ์วิธีที่ดีในการผลิตอาหาร
การกำจัดขยะ โดยใช้หลัก 3R. มารู้จักหลัก 3R กัน Reduce Reuse Recycle.
“วิธีการใช้งาน PG Program New Version สำหรับ PGD”
อาจารย์อภิพงศ์ ปิงยศ บทที่ 3 : รูปแบบการเชื่อมต่อเครือข่ายและส่วนประกอบของเครือข่ายท้องถิ่น (Topologies and LAN Components) Part3.
อาจารย์อภิพงศ์ ปิงยศ บทที่ 8 : TCP/IP และอินเทอร์เน็ต Part1 สธ313 การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์ทางธุรกิจ อาจารย์อภิพงศ์
Content Team: คู่มือการป้องกันสินค้าลอกเลียนแบบ 9 July 2015
อาจารย์อภิพงศ์ ปิงยศ บทที่ 2 : แบบจำลองเครือข่าย (Network Models) part1 สธ313 การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์ทางธุรกิจ อาจารย์อภิพงศ์
ระบบ ISO 9001:2015 สำหรับธุรกิจบริหารจัดการเรือ
การประยุกต์ Logic Gates ภาค 2
บทที่ 1 สถาปัตยกรรมของระบบฐานข้อมูล (Database Architecture)
อาจารย์อภิพงศ์ ปิงยศ บทที่ 3 : รูปแบบการเชื่อมต่อเครือข่ายและส่วนประกอบของเครือข่ายท้องถิ่น (Topologies and LAN Components) Part3.
บทที่ 7 : IDS/IPS Part1 สธ412 ความมั่นคงของระบบสารสนเทศ
อาจารย์อภิพงศ์ ปิงยศ บทที่ 7 : TCP/IP และอินเทอร์เน็ต Part1 สธ313 การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์ทางธุรกิจ อาจารย์อภิพงศ์
อาจารย์อภิพงศ์ ปิงยศ บทที่ 5 : การตรวจจับข้อผิดพลาด การควบคุมการไหลของข้อมูล และการควบคุมข้อผิดพลาด Part1 สธ313 การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์ทางธุรกิจ.
อาจารย์อภิพงศ์ ปิงยศ บทที่ 4 : สื่อกลางส่งข้อมูลและการมัลติเพล็กซ์ (Transmission Media and Multiplexing) Part3 สธ313 การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์ทางธุรกิจ.
อาจารย์อภิพงศ์ ปิงยศ บทที่ 3 : รูปแบบการเชื่อมต่อเครือข่ายและส่วนประกอบของเครือข่ายท้องถิ่น (Topologies and LAN Components) Part2.
ความหมายของเลเซอร์ เลเซอร์ คือการแผ่รังสีของแสงโดยการกระตุ้นด้วยการขยายสัญญาณแสง คำว่า Laser ย่อมาจาก Light Amplification by Stimulated Emission of Radiation.
Basic Input Output System
ระบบรักษาความปลอดภัย
Presentation การจัดการข้อร้องเรียนในธุรกิจบริการ Customer Complaint Management for Service.
บทที่ 8 การควบคุมโครงการ
One Point Lesson (OPL).....บทเรียนประเด็นเดียว
โดย ศรีปัญญา ม่วงเพ็ชร พยาบาลวิชาชีพชำนาญการ
การประเมินผลการปฏิบัติงาน
ขั้นตอนการออกแบบ ผังงาน (Flow Chart)
1.
การบริหารโครงการซอฟต์แวร์
พื้นฐานการออกแบบ กราฟิก หมายถึง ศิลปะแขนงหนึ่งซึ่งใช้การสื่อความหมาย ด้วยเส้น สัญลักษณ์ รูปวาด ภาพถ่าย กราฟ แผนภูมิ การ์ตูน ฯลฯ เพื่อให้สามารถสื่อความหมายของข้อมูลได้ถูกต้องตรง.
วิธีการกำหนดค่า Microsoft SharePoint ของคุณ เว็บไซต์ออนไลน์
อาจารย์อภิพงศ์ ปิงยศ บทที่ 3 : รูปแบบการเชื่อมต่อเครือข่ายและส่วนประกอบของเครือข่ายท้องถิ่น (Topologies and LAN Components) Part2.
Internet Technology and Security System
สาเหตุที่ต้องมีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ภัยคุกคาม ที่เกิดขึ้นในระบบสารสนเทศ
SMS News Distribute Service
วัฏจักรหิน วัฏจักรหิน : วัดวาอาราม หินงามบ้านเรา
กฎกระทรวง ความปลอดภัยทางรังสี พ.ศ.2561
บทที่ 3 : รูปแบบการเชื่อมต่อเครือข่ายและส่วนประกอบของเครือข่ายท้องถิ่น (Topologies and LAN Components) Part1.
บทที่ 9 การเรียงลำดับข้อมูล (Sorting)
มะเร็งปากมดลูก โดย นางจุฑารัตน์ กองธรรม พยาบาลวิชาชีพ รพ.สต.บ้านโนนแต้
บทที่ 8 การแก้ไขข้อผิดพลาดโปรแกรม(Debugging)
การเปลี่ยนแปลงประมาณการทางบัญชี และข้อผิดพลาด
พื้นฐานเครือข่ายคอมพิวเตอร์
ค่ารูรับแสง - F/Stop ค่ารูรับแสงที่มีค่าตัวเลขต่ำใกล้เคียง 1 มากเท่าไหร่ ค่าของรูรับแสงนั้นก็ยิ่งมีความกว้างมาก เพราะเราเปรียบเทียบค่าความสว่างที่ 1:1.
การวางแผนกำลังการผลิต
ชัยพฤกษ์รัตนาธิเบศร์ - วงแหวน
มหาวิทยาลัยราชภัฏสวนสุนันทา
การเขียนโปรแกรมด้วยภาษาไพทอน การเขียนโปรแกรมแบบทางเลือก
โครงการถ่ายทอดเทคโนโลยีถนนรีไซเคิลเพื่อลดขยะพลาสติกใน 4 ภูมิภาค
กระดาษทำการ (หลักการและภาคปฏิบัติ)
อ. ดร. ณฐิตากานต์ ปินทุกาศ
มหาวิทยาลัยเทคโนโลยีราชมงคลศรีวิชัย วิทยาเขตภาคใต้
ใบสำเนางานนำเสนอ:

บทที่ 7 : IDS/IPS Part2 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com

Outline ช่องโหว่ของระบบคอมพิวเตอร์ การรายงานแจ้งเตือนภัย การออกแบบและติดตั้ง IDS ผลิตภัณฑ์ IDS/IPS

ช่องโหว่ของระบบคอมพิวเตอร์ มาตรฐานสำหรับการเรียกชื่อช่องโหว่ และการโจมตีที่นิยมมากที่สุดคือ CVE (Common Vulnerabilities and Exposure) สร้างโดยบริษัท MITRE เป็นการรวบรวมข้อมูลจาก ผู้เชี่ยวชาญด้านการรักษาความ ปลอดภัยทั่วโลก สามารถดูข้อมูลได้จากเว็บไซต์ https://cve.mitre.org

เว็บไซต์ https://cve.mitre.org

ช่องโหว่ของระบบคอมพิวเตอร์ [2] ส่วนใหญ่ IDS จะรายงานโดยบอก รายละเอียดของการโจมตีนั้นๆ รวม ไปถึงช่องโหว่ที่การโจมตีนั้นใช้ ประโยชน์ ซึ่งเป็นสิ่งสำคัญที่จะทำ ให้ผู้ดูแลระบบสามารถวิเคราะห์และ ปิดช่องโหว่นั้นๆได้

ช่องโหว่ของระบบคอมพิวเตอร์ [3] ช่องโหว่ที่มักพบเป็นประจำได้แก่ Input Validation Error Buffer Overflow Boundary Condition Error Access Validation Errors Exceptional Condition Handling Error Environmental Error Configuration Error Race Condition

การรายงานแจ้งเตือนภัย สิ่งที่ผู้ดูแลระบบจะต้องคอนฟิกให้กับ IDS คือ 1) ซิกเนเจอร์ของการบุกรุก 2) เหตุการณ์ที่ผู้ดูแลระบบให้ความสำคัญ หรือคาดว่าจะเป็นการนำไปสู่การบุกรุกใน ภายหน้า เหตุการณ์ที่ IDS จะรายงานให้ทราบ มี 3 ประเภท คือ การสำรวจเครือข่าย การโจมตี เหตุการณ์น่าสงสัยหรือผิดปกติ

การรายงานแจ้งเตือนภัย : การสำรวจเครือข่าย เป็นการสำรวจเครือข่ายเพื่อพยายาม รวบรวมข้อมูลก่อนที่โจมตีจริงๆ วิธีการ เช่น IP Scans Port Scans Trojan Scans Vulnerability Scans File Snooping

การรายงานแจ้งเตือนภัย : การโจมตี การโจมตีเครือข่ายจะมีการแบ่งลำดับ ความสำคัญเอาไว้ตามความรุนแรง หาก IDS รายงานการโจมตีที่มี ระดับความรุนแรงสูง ผู้ดูแลระบบ จะต้องตอบสนองทันที เพื่อป้องกัน การสูญเสียที่มากกว่านี้ ปกติแล้วผู้ดูแลระบบจะต้องทำการ วิเคราะห์เพิ่มเติมว่าเป็นการโจมตีจริง หรือการสแกน

การรายงานแจ้งเตือนภัย : เหตุการณ์ที่น่าสงสัย เป็นเหตุการณ์ที่นอกเหนือจากที่กล่าว มาข้างต้น ซึ่ง IDS ไม่มีข้อมูลเพียงพอที่จะบอก ได้ว่าเป็นเหตุการณ์อะไร แต่จะแจ้ง เตือนให้ผู้ดูแลระบบทราบเพื่อสืบหา สาเหตุต่อไป เช่น ได้รับแพ็คเก็ตที่มีส่วนหัวผิดไป จากที่กำหนดในมาตรฐาน ซึ่งอาจ เป็นการโจมตีแบบใหม่ หรือ เน็ตเวิร์คการ์ดเครืองส่งอาจจะเสียก็ ได้

การออกแบบและติดตั้ง IDS องค์กรควรเลือกใช้ทั้งโฮสต์เบสและ เน็ตเวิร์คเบสไอดีเอสควบคู่กัน เพื่อการ ทำงานร่วมกันอย่างมีประสิทธิภาพ ติดตั้งเน็ตเวิร์คเบสก่อน จากนั้นป้องกัน เซิร์ฟเวอร์ที่สำคัญด้วยโฮสต์เบส ควรใช้เครื่องมือวิเคราะห์ช่องโหว่เพื่อ ทดสอบการทำงานของ IDS ควรมีการใช้ Honeypot ร่วมด้วย

การออกแบบและติดตั้ง IDS : การเชื่อมต่อ IDS เข้ากับเครือข่าย การติดตั้ง IDS ลงบนเครือข่ายที่ใช้ Hub เป็นเรื่องที่ง่าย เพราะฮับจะ แจกจ่ายแพ็คเก็ตแบบ Broadcast อยู่แล้ว ซึ่งสามารถปรับเน็ตเวิร์ค การ์ดของ IDS ให้รับทุกๆแพ็คเก็ต ได้เลย ถ้าเป็นเครือข่ายที่ใช้สวิตช์การติดตั้ง จะมีความยุ่งยากมากขึ้น เนื่องจาก สวิตช์จะส่งแพ็คเก็ตไปยังพอร์ตที่ ปลายทางเชื่อมต่ออยู่เท่านั้น จึงทำ ให้ IDS ไม่สามารถจับทุกๆ แพ็คเก็ตที่วิ่งในเครือข่ายได้

การออกแบบและติดตั้ง IDS : การเชื่อมต่อ IDS เข้ากับเครือข่าย [2] การทำ Port Mirroring การใช้ฮับ การใช้แท็พ (Tap)

การออกแบบและติดตั้ง IDS : การเชื่อมต่อ IDS เข้ากับเครือข่าย : Port Mirroring จะใช้สวิตช์ที่มีคุณสมบัติการทำ Port Mirroring ได้ บางครั้งเรียกว่า Spanning Port สวิตช์จะส่งต่อทุกๆแพ็คเก็ตที่รับจาก พอร์ตหนึ่งไปยังอีกพอร์ตหนึ่ง การใช้งาน เช่น การทำ Port Mirroring จากพอร์ตที่เชื่อมกับเรา เตอร์หรือไฟร์วอลล์

การเชื่อมต่อ IDS แบบ Port Mirroring

ข้อดี-ข้อเสียของการเชื่อมต่อ IDS แบบ Port Mirroring ง่ายต่อการติดตั้ง เพราะไม่ต้องเปลี่ยนโครงสร้างใดๆบนเครือข่าย สามารถทำได้แบบพอร์ตต่อพอร์ตเท่านั้น ไม่มีผลกระทบต่อการคอนฟิกไฟร์วอลล์ ประสิทธิภาพของสวิตช์จะลดลง สวิตช์จะส่งต่อแพ็คเก็ตที่สมบูรณ์เท่านั้น ทำให้ไม่สามารถตรวจจับบางแพ็คเก็ตที่สำคัญในการวิเคราะห์ได้

การออกแบบและติดตั้ง IDS : การเชื่อมต่อ IDS เข้ากับเครือข่าย : การใช้ฮับ

ข้อดี-ข้อเสียของการเชื่อมต่อ IDS แบบใช้ฮับ ง่ายต่อการคอนฟิก ไม่สามารถเชื่อมต่อได้ถ้าลิงก์ระหว่างเราเตอร์กับสวิตช์เป็นแบบ Full Duplex แต่ฮับจะเป็นแบบ Half-Duplex ไม่มีผลกระทบต่อการคอนฟิกไฟร์วอลล์ ถ้าบริหาร IDS ผ่านฮับตัวเดียวกัน จะทำให้เพิ่มโอกาสการชนกันของข้อมูล มีราคาถูก ฮับเกิดการชำรุดได้ง่าย เป็นวิธีที่ไม่เป็นที่นิยม เพราะเกิดปัญหามากกว่าวิธีอื่นๆ และทำให้ประสิทธิภาพของเครือข่ายลดลง

การออกแบบและติดตั้ง IDS : การเชื่อมต่อ IDS เข้ากับเครือข่าย : การใช้แท็พ เป็นวิธีการที่ใช้แก้ปัญหาการเชื่อมต่อ โดยใช้ฮับหรือ Port Mirroring อุปกรณ์ Tap จะทำหน้าที่คล้ายๆฮับ แต่แท็พสามารถทนต่อข้อผิดพลาดได้ (Fault Tolerance) การเชื่อมต่อจะเป็นแบบถาวร (Hardwired) ระหว่างสองพอร์ตหลัก

การเชื่อมต่อ IDS ด้วยแท็พแบบ 4 พอร์ต

ข้อดี-ข้อเสียของการเชื่อมต่อ IDS แบบใช้แท็พ ทนต่อข้อผิดพลาด หากไฟฟ้าของแท็พดับ ลิงก์ระหว่างสองพอร์ตหลักยังคงใช้งานได้อยู่ แท็พมีราคาแพง ไม่มีผลกระทบต่อการไหลของทราฟิก การสิ้นสุดเซสชั่นอาจต้องมีการคอนฟิกเพิ่ม ไม่ทำให้โครงสร้างของเครือข่ายเปลี่ยนไป IDS ต้องทำงานในโหมดหายตัว (Stealth Mode) เท่านั้น ไม่ทำให้ประสิทธิภาพของเครือข่ายลดลง IDS สามารถมอนิเตอร์แพ็คเก็ตที่ผิดปกติได้

การออกแบบและติดตั้ง IDS : การติดตั้ง Network-Based IDS คำถามแรกในการติดตั้งเน็ตเวิร์คเบส ไอดีเอสคือจะติดตั้งตรงจุดไหนของ เครือข่าย? หน้าไฟร์วอลล์ หรือหลังไฟร์วอลล์ จะดีกว่ากัน?

จะติดตั้ง Network-Based IDS จุดไหนดี? 2 1 3

การออกแบบและติดตั้ง IDS : การติดตั้ง Network-Based IDS [2] ข้อดีของการติดตั้งหลังไฟร์วอลล์ สามารถตรวจจับการบุกรุกที่สามารถ เจาะผ่านไฟร์วอลล์มาได้ ใช้ตรวจสอบการคอนฟิกและ ประสิทธิภาพของไฟร์วอลล์ได้ สามารถตรวจจับการโจมตีเซิร์ฟเวอร์ที่ อยู่ใน DMZ ได้ อาจตรวจเจอแพ็คเก็ตที่จะส่งไป ภายนอกได้ ข้อดีของการติดตั้งหน้าไฟร์วอลล์ เก็บสถิติของจำนวนครั้งของการโจมตี ที่มาจากภายนอกได้ เก็บสถิติของประเภทการโจมตีที่มาจาก ภายนอกได้

การออกแบบและติดตั้ง IDS : การติดตั้ง Network-Based IDS [3] ข้อดีของการติดตั้งบนแบ็คโบนหลัก ของเครือข่าย มอนิเตอร์ทราฟิกหลักที่ไหลเวียนอยู่ใน เครือข่าย เพื่อวิเคราะห์ที่มาหรือ เป้าหมายหลักในการโจมตีได้ ตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตของ ผู้ใช้ทั่วไปได้ ข้อดีของการติดตั้งบนซับเน็ตที่มี ความเสี่ยงสูง ตรวจจับการโจมตีเป้าหมายเป็นระบบที่ สำคัญ ลดจำนวนไอดีเอสที่ต้องใช้ และ มอนิเตอร์เฉพาะจุดสำคัญเท่านั้น เพื่อ ความคุ้มค่าในการใช้งาน IDS

การออกแบบและติดตั้ง IDS : การติดตั้ง Host-Based IDS ควรติดตั้งโฮสต์เบสไอดีเอสเฉพาะกับ เซิร์ฟเวอร์ที่สำคัญๆ จะทำให้ลด ค่าใช้จ่ายลง และทำให้ผู้ดูแลระบบ จดจ่อกับรายงานการแจ้งเตือนที่มา จากเซิร์ฟเวอร์สำคัญๆเท่านั้น หากจะติดตั้งกับโฮสต์ส่วนใหญ่ ควร เลือกใช้งานระบบ IDS ที่สามารถ บริหารจัดการจากส่วนกลางได้ ประสิทธิภาพของโฮสต์เบสไอดีเอสจะ ขึ้นอยู่กับความชำนาญของผู้ดูแล ระบบเป็นหลัก เพราะฉะนั้นผู้ดูแล ระบบต้องใช้เวลาพอสมควรในการ เรียนรู้

ผลิตภัณฑ์ IDS/IPS IDS ที่นิยมใช้งานอย่างแพร่หลายคือ โปรแกรมที่ชื่อว่า Snort ซึ่งเป็น IDS/IPS แบบ Open Source สามารถใช้ได้ทั้งบน Windows และ Unix มีโหมดการใช้งาน 3 โหมด คือ Sniffer Mode Packet Logger Mode Network IDS Mode Inline Mode

Snort : www.snort.org

การติดต่อกลับ: ความเป็นส่วนตัว การติดต่อกลับ
เรื่องโครงการ: SlidePlayer ข้อกำหนด

© 2024 SlidePlayer.in.th Inc. All rights reserved.