การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
รายละเอียดวิชา ง การงานพื้นฐาน4(คอมพิวเตอร์2)
Advertisements

ภาษา JAVA.
Introduction to C Introduction to C.
ระบบปฏิบัติการ (Operating System : OS )
Chapter 1 Introduction to Information Technology
การพัฒนาระบบประเมินผลการปฏิบัติงานของพนักงานแทนที่กา​รใช้ระบบ SAP-ESS ในส่วนของกา​รประเมินผลการปฏิบัติงานเพื่อลดค่าใช้จ่ายในเรื่องของ License.
Research Problem ปัญหาการวิจัย
การเขียนผังงาน.
ภาษาคอมพิวเตอร์ กฎเกณฑ์เกี่ยวกับคำศัพท์ ไวยากรณ์ และ หลักภาษาในการเขียนคำสั่งงานให้คอมพิวเตอร์ทำงานอย่างใดอย่างหนึ่งให้กับเราได้ มีหลากหลายชนิดต่างๆ กัน.
Software คือ ชุดคำสั่งหรือ ขั้นตอนการทำงานของคอมพิวเตอร์
การศึกษารายกรณี.
Accessing the Internet
บทที่ 12 การจดทะเบียนชื่อโดเมน (Domain Name Registration)
การพัฒนาการใช้งานในระบบเว็บ
Intro : การเขียนโปรแกรมบนอินเตอร์เน็ต
ซอฟต์แวร์.
NU. Library Online Purchasing System
มาตรการป้องกัน.
วิธีปิดทางHacker วิธีปิดทางHacker.
ลักษณะระบบสารสนเทศเพื่อการจัดการ
Surachai Wachirahatthapong
Operating System ฉ NASA 4.
Network programming Asst. Prof. Dr. Choopan Rattanapoka
ความรู้เบื้องต้นเกี่ยวกับคอมพิวเตอร์และเทคโนโลยีสารสนเทศ
การเขียนโปรแกรมคอมพิวเตอร์และอัลกอริธึม
คุณสมบัติของซอฟท์แวร์ SCADA
Introduction to php Professional Home Page :PHP
การติดตั้งภาษาไทยและการจัดการดิสก์
เอกสาร และงานวิจัยที่เกี่ยวข้อง
การสอบถาม อ.สมพงษ์ พันธุรัตน์.
บทที่ 2 การพัฒนาระบบ (System Development)
PHP.
Lecture 7 ฟังก์ชัน To do: Hand back assignments
ความรู้เบื้องต้นเกี่ยวกับระบบฐานข้อมูล
บทที่ 1 ความรู้พื้นฐานในการ พัฒนาระบบ
การออกแบบสถาปัตยกรรมแอปพลิเคชั่น
CSC420 Operating Systems ผู้สอน : อ.สุรชัย ดียิ่ง ห้องเรียน : 5-357
Memory Management ในยุคก่อน
CSC431 Computer Network System
วิธีการทางคอมพิวเตอร์
ที่ใช้ใน Object-Oriented Design
ระบบฐานข้อมูล (Database Management System)
2.1 วิธีแก้ปัญหาด้วยคอมพิวเตอร์ (Computer problem solving methods)
ระบบคอมพิวเตอร์และการประมวลผล
1. การเขียนโปรแกรมภาษา PHP เบื้องต้น
เกียรติพงษ์ ยอดเยี่ยมแกร
A Comparison on Quick and Bubble sort on large scale data
การจัดการฐานข้อมูล.
 จัดเก็บ บริหาร บันทึกการ ฝึกอบรม ความต้องการ การฝึกอบรม การวางแผนการ ฝึกอบรม การมอบหมาย งาน   บริหารจัดการบันทึก สภาพแวดล้อมทั้ง  อุณหภูมิ ความชื้น.
โปรแกรมฐานข้อมูลที่นิยมใช้
บทที่ 4 ระบบตรวจจับการบุกรุก
-เครื่องมือสำหรับการรักษาความปลอดภัยของระบบสารสนเทศ - ไฟรว์วอลล์
นางสาวชุติมา อักขราภรณ์ ตอนB19
การอ่านเชิงวิเคราะห์
การพัฒนาโปรแกรมเสริมสำหรับการ แสดงวีดีโอจากเว็บไซต์ภายนอกใน เวิร์ดเพรส (Development plugin for displaying video from an external website in WordPress)
ADDIE Model.
PHP : [1] PHP เบื้องต้น. PHP คืออะไร ? PHP ได้รับการเผยแพร่เป็นครั้ง แรกในปี ค. ศ โดย Rasmus Lerdorf ต่อมาได้มีนัก โปรแกรมเมอร์เข้ามาช่วยในการ พัฒนาต่อมาตามลำดับ.
ระบบฐานข้อมูล.
นาย เกียรติศักดิ์ แสนนวล โรงเรียนจักรคำคณาทรลำพูน
SHARK COMPANY WEBBOARD เว็บบอร์ดความบันเทิง. สมาชิกในกลุ่ม 1. นายศรัณญ์ จันทร์หา นายนิติธร ดิษฐาพร นายภาณุพงศ์ แสนเตชะ
PHP. P ersonal H ome P age P rofessional H ome P age PHP : H ypertext P reprocessor.
ชื่อ นางสาวชื่นฤดี ไชยวงค์ โปรแกรมวิทยาการคอมพิวเตอร์ ชั้นปีที่ 3 รหัส
ความรู้เบื้องต้นเกี่ยวกับคอมพิวเตอร์และเทคโนโลยีสารสนเทศ
ทางการวิจัยและพัฒนาของประเทศไทย
ระบบคอมพิวเตอร์ และ การสื่อสาร กนกวรรธน์ เซี่ยงเจ็น สำนักวิชาเทคโนโลยีสารสนเทศ และการสื่อสาร มหาวิทยาลัยนเรศวร วิทยาเขต สารสนเทศพะเยา.
หน่วยที่1 ข้อมูลทางการตลาด
Computer Program คือ ขั้นตอนการทำงาน ของคอมพิวเตอร์
ซอฟต์แวร์ (software) จัดทำโดย นาย ยุทธพงศ์ คำยอง
ส่วนประกอบของคอมพิวเตอร์
Intrusion Detection / Intrusion Prevention System
ใบสำเนางานนำเสนอ:

การสร้างระบบการป้องกันการบุกรุกโดยใช้ Open Source Software

การวิเคราะห์ Traffic vs. Content ในการเลือกใช้ tools ที่เหมาะสม จำเป็นที่จะต้องมีการทราบรายละเอียดเกี่ยวกับวิธีการของการตรวจจับการบุกรุก traffic และ content analysis IDS ส่วนใหญ่จะใช้ content analysis เนื่องจาก network admin ไม่มีเวลาในการคอยตรวจเช็คข้อมูลซึ่งมีขนาดมหาศาลทั้งหมดได้ การวิเคราะห์ Content ของข้อมูลจะเป็นการตรวจหา signatures (rules) ใน payload ซึ่งการทำงานแบบนี้จะคล้ายกับการทำงานของ anti-virus software ซึ่งจำเป็นที่ต้องกำหนด signatures หรือ rules ให้กับ IDS การเขียน rules ให้กับ IDS นั้นจำเป็นที่ต้องใช้ความละเอียด เพราะไม่ต้องการการแจ้งเตือนที่ไม่จำเป็นจาก IDS หรือ false alarm และก็ไม่ต้องการให้เกิดการตรวจจับที่ผิดพลาดเช่นเดียวกัน

Content Analysis ต้องมีการ capture packets ทั้งหมด ซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะนั้นจำเป็นต้องมี disk space และ CPU time ในการ process ข้อมูล ข้อดีของการวิเคราะห์แบบนี้คือง่ายและรวดเร็วกว่าและเป็น real-time detection มากกว่า ข้อเสียคือ โอกาสของความผิดพลาดของการแจ้งเตือนนั้นสูงกว่าและต้องการ resource ของ system ในการ run มากกว่า

Traffic Analysis เป็นการแปลความหมายจาก patterns ใน packet header ซึ่งจะแสดงถึงความผิดปกติของ network เพราะฉะนั้นจึงมีความจำเป็นที่ผู้วิเคราะห์จะต้องมีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าว เนื่องจาก analyst จะดูเฉพาะส่วนที่เป็น header ฉะนั้นจึงมีการ capture เฉพาะ header ของข้อมูล โดยปกติแล้ว header ที่จะต้อง capture จะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องใน การวิเคราะห์จึงจำเป็นต้องมีการ capture ทุกๆ header ที่ผ่านใน wire ข้อดีของ traffic analysis คือ ความถูกต้องของการแปลความหมายของข้อมูล ผลเสียคือ ผู้วิเคราะห์จะต้องผ่านการฝึกฝนมาเป็นอย่างดี และในการ process ไม่สามารถเป็นแบบ real time ได้

The Shadow Method Shadow เป็นระบบที่ใช้แนวความคิดของ CIDER (Cooperative Intresion Detection Evaluation and Response) โดยที่ Shadow จะเป็นการรวบรวม Perl scripts ที่ทำการโต้ตอบและติดต่อกับ tcpdump และ SSH ซึ่ง output จากการวิเคราะห์ traffic ของ shadow นั้นจะเป็น html document และสามารถดูได้จาก web browser Shadow เป็นโปรแกรมสำหรับระบบปฏิบัติการ unix-like shadow และ IDS อื่นๆอีกหลายชนิดจะประกอบด้วย 2 ส่วนใหญ่ๆคือ - sensor - analyzer sensor จะเริ่มต้น tcpdump process ทุกๆชั่วโมง และจะหยุด process ของชั่วโมงที่แล้ว แล้ว analyzer จะทำการดึง file ของชม.ที่แล้วโดยใช้ SSH มาทำการวิเคราะห์ หลังจากนั้น analyzer ทำการวิเคราะห์ข้อมูลของ tcpdump โดยใช้ tcpdump filters แล้วทำการสร้าง html pages

Snort การใช้ snort เป็น IDS นั้นมีมาตั้งแต่ปี 1998 และในปัจจุบันได้รับความนิยมอย่างมาก ซึ่ง snort เป็น open source rule-based และ content analysis snort มีเข้าสำหรับ unix platform และ Windows NT/2000 สำหรับ rules ของ snort นั้นก็สามารถเข้าใจได้ง่าย ซึ่งทำให้สามารถใช้ snort กับ tools อื่นๆได้อีกและที่สำคัญคือ snort rules ทำให้เกิดการแจ้งเตือนแบบ real time ท่านสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ snort

Open Source Software อื่นๆ(กล่าวโดยสังเขป) - Tcpdump เป็น network sniffer โดยที่ tcpdump จะคอยเฝ้าดูและรวบรวม traffic ทั้งหมด ก็แม้ว่าจะมี sniffer อื่นๆ อีกหลายตัวที่มีอยู่ แต่ tcpdump มีข้อดีหลายอย่างที่ได้เปรียบ sniffer ชนิดอื่นๆคือ tcpdump มีอยู่ในทุกๆ platform และ output ของ tcpdump สามารถนำไปใช้โดย tools อีกหลายชนิด แต่ยังไงก็แล้วแต่ tcpdump ต้องการ libpcap library ในการจับ packet [ftp://ftp.ee.lbl.gov/] - logsurfer เป็น tool ใช้ในการ monitor text log files เมื่อมีเหตุการณ์ไม่ปกติเกิดขึ้น logsurfer จะส่งการแจ้งเตือนไปยัง system asministrator ได้ http://www.cert.dfn.de/eng/logsurf/ - shadow shadow เป็น IDS ที่สามารถใช้ได้ทั้งที่เป็นตัวมันเองหรือใช้ร่วมกับ application อื่นๆhttp://www.nswc.navy.mil/ISSEC/CID/step.tar.gz

snort เป็น IDS ซึ่งเขียนโดยใช้ภาษา C เป็น stand-alone program แต่ snort จะมีประสิทธิ์ภาพยิ่งขึ้นเมื่อมีการใช้ร่วมกับ tools อื่นๆ http://www.snort.org Shadow/Snort Hybrid เนื่องจาก shadow ประกอบด้วย Perl scripts ซึ่งทำหน้าที่ในการจัดการและ process ข้อมูลจาก sensor ในขณะที่ snort จะทำการprocess tcpdump binary files แต่เราสามารถทำการแก้ไข shadow ให้สามารถทำการ process ข้อมูลของ tcpdump ผ่านทาง snort ส่วนหน้าที่สามารถแก้ไขได้คือ ความยาวของข้อมูลที่จะทำการ capture โดย tcpdump ของ sensor ซึ่งจะต้องทำการแก้ไขสามารถ capture ข้อมูลมากกว่า 88 byte แต่ admin ก็ต้องพิจารณาถึง disk storage ด้วยนั้นคือ admin ต้องเลือก snaplen ซึ่งสามารถเก็บข้อมูลให้ได้ประโยชน์ในการวิเคราะห์มากที่สุดแต่ขณะเดียวกันก็ไม่ทำให้ประสิทธิภาพการ processing ของระบบลดลง วิธีนี้เหมาะสำหรับองค์กรที่มีข้อจำกัดของบุคลากรและเวลา ถึงแม้ว่า ข้อมูลไม่ถูกวิเคราะห์แบบ real-time แต่เพียงแค่ admin เพียงคนเดียวก็สามารถ respond ได้ตลอดเวลา

sensor ทำการ run tcpdump ทุกๆชม.ด้วย snaplen ที่มากกว่า analyzer จะทำการติดต่อผ่าน SSH กับ sensor ทุกๆชม. เพื่อเก็บข้อมูลของ ชม.ที่ผ่านมา analyzer ทำการ run snort ซึ่งจะทำการ process data และแจ้งเตือน program อื่นๆอาจทำการจัดเรียง alert file เพื่อง่ายในการอ่านและทำความเข้าใจ Software ที่ใช้ shadow tcpdump SSH Snort Snort-sort.pl Apache web Server A UNIX