IDS (Intrusion Detection System) คือเครื่องมือที่ใช้ในการตรวจหาและแจ้งเตือนให้ผู้ดูแลระบบได้ทราบว่าระบบเครือข่ายซึ่งรวมถึงคอมพิวเตอร์ต่างๆที่ดูแลอยู่นั้นกำลังถูกบุกรุกหรือโจมตีอยู่ซึ่งช่องทางการโจมตีหรือบุกรุกมักจะมาจากเครือข่ายภายนอก เช่น อินเตอร์เน็ต หรือมาจากเครือข่ายคอมพิวเตอร์ต่างๆภายในระบบเครือข่ายด้วยกันเองก็ได้ โดยสามารถทำการ วิเคราะห์ข้อมูลทั้งหมดที่ผ่านเข้าออกภายในเครือข่ายว่า มีลักษณะการทำงานที่เป็นความเสี่ยงที่ก่อให้เกิดความ เสียหายต่อระบบเครือข่ายหรือไม่
IPS (Intrusion Prevention System) คือ ระบบที่มีลักษณะเช่นเดียวกับระบบ IDS แต่มีความ สามารถพิเศษมากกว่านอกเหนือจากการตรวจหาและแจ้งเตือนเหมือน IDS แล้วมันยังสามารถหยุดยั้งการบุกรุกหรือตอบโต้การโจมตีได้โดยอัตโนมัติทันทีที่ตรวจพบด้วยตัวของมันเอง ซึ่งจะช่วยชะลอหรือหยุดยั้งความเสียหายที่อาจเกิดขึ้นกับระบบเครือข่ายได้อย่างทันท่วงที
IDS นั้นเกิดขึ้นมาก่อน IPSผ่านการพัฒนาปรับปรุงให้มีความสามารถมากขึ้น เช่น สามารถติดต่อสั่งการหรือประสานงานกับอุปกรณ์ Router หรือFirewall ทำให้การปิดกั้นแพ็คเก็ตเมื่อตรวจพบการบุกรุกหรือโจมตีทางเครือข่าย หรือแม้กระทั่งตอบโต้การโจมตีโดยการส่งแพ็คเก็ตกลับไปหาผู้บุกรุก ในสมัย่อมาจึงได้พัฒนา IDS เข้าไปด้วย ดังนั้นในปัจจุบันอุปกรณ์ IDS จึงถูกแทนที่โดยอุปกรณ์ IPS ในที่สุด
อย่างไรก็ตามIDS นั้นไม่ได้หายไปไหน และไม่ได้ถือป็นเทคโนโลยีที่ล้าสมัยเพียงแต่ถูกรวมไว้เป็นส่วนหนึ่งของIPS เท่านั้นเอง
IDS (Intrusion Detection System) เมื่อแจ้งเตือนว่าระบบเครือข่ายที่ดูแลนั้นกำลังจะถูกบุกรุกหรือโจมตี IDS ก็จะเก็บบันทึกข้อมูลพร้อมกับแจ้งเตือนให้ผู้ดูแลระบบทราบเพื่อที่จะหยุดยั้งความเสียหายให้ทันท่วงทีหรือเสียหายน้อยที่สุด ช่องทางการบุกรุกหรือโจมตีมักจะมาจากอินเตอร์เน็ตส่วนใหญ่ นอกจากนี้ IDS ยังอาจใช้ตรวจจับเครือข่ายที่ผิดประเภทของพนักงานในองค์กรด้วย ซึ่งหากมันตรวจพบสิ่งผิดปกติกจะส่งสัญญาณเตือนพร้อมกับเก็บข้อมูลไว้ให้ตรวจสอบย้อนหลังหรือใช้เป็นหลักฐานได้
ส่วนประกอบของ IDS โดยทั่วไป IDS จะประกอบด้วยส่วนต่างๆ ดังนี้
- Host System/Network Sniffer ทำหน้าที่เป็นตัวตรวจจับเหตุการณ์ต่างๆ ที่เกิดขึ้นใน Host หรือเครือข่ายข้อมูลจากส่วนนี้เป็นเหมือน input ที่เข้าไปประมวลผลใน IDS
- Pre-processing จัดรูปแบบของ Input ที่รับเข้ามาเพื่อให้นำไปประมวลผลได้สะดวกต่อไป
- Statistical analysis ส่วนวิเคราะห์ผลทางสถิติ
- Signature matching ส่วนวิเคราะห์จากพฤติกรรมที่มีแบบแผน แนวความคิดตรงนี้นำมาจากที่ว่า การบุกรุกมักจะมีรูปแบบที่ค่อนข้างแน่นอน ส่วนนี้จะทำงานได้ก็ต่อเมื่อมีข้อมูลมากพอที่จะวิเคราะห์ได้ว่าพฤติกรรมที่ปรากฏในระบบเป็นรูปแบบของการบุกรุกหรือไม่
- Knowledge Base เป็นตัวเก็บข้อมูลเกี่ยวกับพฤติกรรมของการบุกรุก ข้อมูลนี้ถูกใช้โดยส่วนของ Signature Matching ข้อมูลส่วนนี้มีความสำคัญมากกับระบบ เป็นตัวตัดสินเลยว่าระบบฉลาดพอที่จะตรวจจับการบุกรุกได้หรือไม่
- Alert Manager ทำหน้าที่เป็นตัวตัดสินใจว่าจะเหตุการณ์ที่เกิดขึ้นในระบบควรจะต้องเตือนหรือไม่ ระบบจะมีความ sensitive มากน้อยแค่ไหนอยู่ที่ตัวนี้ด้วย
- User Interface เป็นส่วนที่โต้ตอบกับผู้ใช้ อาจจะเป็นการแสดงผลที่หน้าจอ ส่งเสียงเตือนถึงการบุกรุก สั่งพิมพ์เป็น Hardcopy หรือแม้แต่เชื่อมกับ Pager/โทรศัพท์ นอกจากนี้ User Interface ยังเป็นส่วนโต้ตอบระหว่างผู้ใช้กับระบบเพื่อเปลี่ยนแปลงหรือ Update ข้อมูลใน knowledge Base
- Response Manager รับข้อมูลจาก Alert Manager เพื่อนำมาตัดสินใจว่าจะโต้ตอบกับการบุกรุกอย่าง
การทำงานของ IDS นั้นจะเปรียบเสมือนสัญญาณกันขโมยที่ทำงานควบคู่กับกล้องวงจรปิดที่ติดตั้งไว้ตามบ้านหรือสำนักงาน หากพบว่ามีผู้บุกรุกแล้ว สัญญาณกันขโมยจะดังขึ้น IDS ก็เช่นเดียวกันหากมันตรวจพบว่ามีการบุกรุกระบบเครือข่ายเกิดขึ้นมันจะส่งสัญญาณเตือนนรูปแบบต่างๆเช่น การส่งอีเมล ข้อความทางโทรศัพท์ มือถือ ส่งเสียงเตือนหรือขึ้นข้อความที่
หน้าจอของผุ้ที่ดูแลระบบ เป็นต้น ในขณะที่กล้องวงจรปิดก็บันทึกภาพวิดีโอไว้ใช้ในการตรวจสอบหรือไว้เป็นหลักฐานมัดว่าใครเป็นผู้บุกรุกได้ ซึ่งเปรียบเสมือนการบันทึกการทำงานของIDS (Logs) ที่ใช้ในการตรวจสอบข้อมูลย้อนหลังหรือใช้เป็นหลักฐานนั่นเอง นอกจากนี้ผู้ดูแลระบบยังสามารถใช้ประโยชน์จาาการบันทึกการทำงานหรือ Logs ของ IDS.ในการตรวจสอบร่องรอยการบุกรุกต่างๆทั้งที่สำเร็จหรือไม่สำเร็จเพื่อให้ทราบที่มาของการบุกรุกและรูปแบบการโจมตีไว้เพื่อเตรียมการวางแผนป้องกันต่อไป ความหมายของคำว่า IDS ดังกล่าวหมายถึง Network Based Intrusion Detecion System(NIDS)ซึ่งเป็นประเภทของ IDS แบ่งออกเป็น 2 ประเภทดังนี้
Network Based Intrusion Detection System (NIDS)
คือ IDS ที่ติดตั้งไว้เป็นส่วนหนึ่งของระบบเครือข่าย เพื่อตรวจสอบหาการบุกรกที่เกิดขึ้นภายในเครือข่ายที่มันเกาะหรือติดตั้งอยู่ NIDS จะทำการตรวจสอบแพ็กเก็ตต่างๆที่ผ่านเข้า ออกในระบบเครือข่าย ว่ามีลักษณะเข้าข่ายว่าเป็นอันตรายต่อเครื่องคอมพิวเตอร์หรืออุปกรณ์ต่างๆในระบบเครือข่ายหรือไม่ หากใช่ ก็จะแ จ้งเตือนผู้ดูแลระบบพร้อมกับบันทึกจัดเก็บการทำงานไว้เพื่อ เป็นหลักฐานภายหลัง NIDS จะมีทั้งแบบเป็นซอฟแวร์ที่ใช้ในการติดตั้งลงไปในเคริ่องเช่น ซอฟฟต์แวร์ที่เป็นOpen Source ที่ชือ่ว่า Snort และ NIDSยังมีในรูปแบบของอุปกรณ์ฮาร์ดแวร์สำเร็จรูปที่เรียกกันว่า Appliances ด้วย แต่ปัจจุบันนี้อุปกรณ์สำเร็จรูป NIDSไม่ค่อยมีใครผลิตออกขายแล้วเนื่องจากถูกแทนที่ด้วยอุปกรณ์สำเร็จรูปประเภท NIPS อุปกรณ์สำเร็จรูป NIDS ของ CISCO ก็คืออุปกรณ์ในตระกูล IDS 4200 Series Sensors ซึ่งจะทำหน้าที่รวมกับอุปกรณ์Firewall (Pix Firewall)และเลาน์เตอร์ของ CISCO ด้วยกันเอง ปัจจุบันอุปกรณ์ดังกล่าวถูกแทนที่ด้วยอุปกรณ์ในตระกูล CISCO IPS 4200 Series Sensors จนเกือบทุกโมเดล ที่เห็นยังมีขายอยู่คือโมเดล CISCO 4250 XL Sensor และ4215 Sensor แต่ก็คงจะเลิกผลิตไปในไม่ช้านี้เช่นกัน
เนื่องจากอุปกรณ์ NIDS มีราคาค่อนข้างแพงและยังไม่ค่อยมีขายกันแล้วด้วย ดังนั้นผู้ดูแลระบบมักจะสร้าง NIDS ขึ้นใช้เองโดยอาศัยเครื่องเซิร์ฟเวอร์หรือเดสก์ท็อปที่ติดตั้งซอฟต์แวร์ที่ชื่อว่า Snort ซึ่งเป็นซอฟต์แวร์ประเภท Open Source
หลักการทำงานของ NIDS
เทคนิคที่ NIDS .ใช้ในการตรวจสอบแพ็กเก็ตที่ผิดปกติหรือกล่าวอีกนัยหนึ่งคือตรวจจับการบุกรุกหรือโจมตีโดยทั่วๆไปจะมี 3 วิธีคือ
Signature Detection
คือการตรวจหารูปแบบผิดปกติในเนื้อข้อมูลของแพ็กเก็ตในระบบเครือข่ายโดยเปรียบเทียบกับฐานข้อมูลที่มีอยู่หากพบว่าตรงกันก็จะส่งสัญญาณหรือแจ้งเตือน วิธีนี้เรียกอีกอย่างหนึ่งว่าPattern Matching ข้อดีของวิธีนี้ก็คือผู้ดูแลสามารถทราบว่ากำลังถูกบุกรุกหรือโจมตีโดยรูปแบบหรือวิธีการใดอยู่ทำให้สามารถเตรียมหาวิธีป้องกันแก้ไขได้ทันที
Behavioral Anomaly Detection
คือการตรวจหาพฤติกรรมการใช้งานที่มีลักษณะผิดแผกแตกต่างจากการใช้งานปกติประจำวัน ตัวอย่างเช่น ในระบบเครือข่ายขององค์กรปกติในวันหยุดสุดสัปดาห์มักจะไม่มีการใช้งานหรือมีก็น้อย ดังนั้นหากพบว่าวันหยุดใดมีการใช้งานระบบเครือข่ายปริมาณสูงก็ถือว่าผิดปกติได้
Protocol Anomaly Detection
คือต้องตรวจแพ็กเก็ตที่ผ่านเข้าออกระบบเครือข่าย ในระดับโครงสร้างของแพ็กเก็ตพร้อมทั้งลำดับขั้นตอนการสื่อสารของโปรโตคอลชนิดต่างๆเช่น SMTP,POP3,IMAP,NetBIOS,RPC,DNS,FTP,HTTP ว่าเป็นไปตามข้อกำหนดมาตรฐานของโปรโตคอลนั้นๆหรือไม่ อธิบายง่ายๆก้คือเป็นการตรวจหาช่องโหว่ในตัวโปรโตคอลแต่ละชนิด
การนำ NIDS เชื่อมต่อเข้ากับระบบเครือข่าย
สามารถทำได้โดยผ่านอุปกรณื Hub หรือถ้าเป็นในกรณีของ Switch นั้นต้องเป็น Switch ที่สนับสนุนคุณสมบัติของ Port Mirroring (บางทีก็เรียกว่า Port Spanning หรือ Port Monitoring ) กล่าวคือมีความสามารถในการคัดลอกสัญญาณจากพอร์ตกลุ่มหนึ่งไปให้พอร์ตๆหนึ่งซึ่งพอร์ตนี้จะเรียกว่าSPAN Port หรือ Mirror Port ซึ่งสามารถนำเอาอุปกรณ์ NIDS หรืออุปกรณ์ประเภท Packet Sniffer ที่ใช้ในการตรวจสอบแพ็กเก็ตต่างๆในเครือข่ายเข้าเชื่อมต่อได้
ข้อดีของการใช้ Port Monitoring ใน Switch ก็คือไม่ต้องเสียค่าใช้จ่ายเพิ่มในกรณีที่มี Switch ที่สนับสนุนคุณสมบัติของ Port Monitoring อยู่แล้วแต่ข้อเสียก้คือต้องมีการเซ็ตอัพ Switchให้มีการคัดลอกสัญญาณไปที่พอร์ตที่ต้องการ การคัดลอกสัญญารจากพอร์ตหลายๆพอร์ตไปไว้ที่พอร์ตๆเดียวอาจทำให้พอร์ตดังกล่าวนั้นรับข้อมูลไม่ทันหรือเกิด Buffer Overflow และมีผลทำให้แพ็กเก็ตสูญหายหรือได้รับไม่ครบถ้วนหรืออาจมีผลทำให้ Switch ทำงานหนักหรือกระจายสัญญาณไปที่พอร์ตต่างๆได้ช้าลงดังนั้นถ้าต้องการความน่าเชื่อถือและความเร็วในการทำงานต้องใช้อุปกรณ์พิเศษที่เรียกว่า Network Tap ในปัจจุบันสามารถเชื่อมต่อกับระบบเครือข่ายความเร็วสูง เช่น Gig –E(Gigabit Ethernet) 10Gig-E(10 Gigabit Ethernet) และ Fibre Channal ได้
สำหรับการนำ Hubมาใช้แทน Port Monitoring ของ Switch หรือ Network Tap นั้นมีข้อดีคือราคาถูกและหาซื้อง่าย สามารถติดตั้งง่ายโดยที่ไม่ต้องเซ็ตอัพอะไรเพิ่มเติม แต่ข้อเสียก็คือด้วยข้อจำกัดของ Hub จะสนับสนุนการส่งข้อมูลแบบHalf Duplex เท่านั้น ในขณะที่อุปกรณ์เชื่อมต่อกับHub ตัวดังกล่าวไม่ว่าจะเป็นRouter,Firewall,Switch,NIDS เองจะรับส่งข้อมูลแบบ Full Drplex ซึ่งหากนำมาต่อเข้ากันก้อาจจะทำให้เกิดการชนของสัญญาณอีเธอร์เน็ต(Collsion) ทำให้ต้องส่งซ้ำกันอยู่บ่อยๆซึ่งจะมีผลต่อประสิทธิภาพการทำงานของระบบเครือข่ายการเกิดการสูญหายของแพ็กเก็ตด้วย นอกจากนี้ Hub สมัยใหม่ราคาถูกๆอาจจะใช้งานได้ไม่ทนทาน หากนำมาใช้จะกลายเป็นจุดอ่อนที่ทำให้ระบบเครือข่ายเกิดปัญหาได้ ดังนั้นHub จึงควรใช้แบบชั่วคราวหรือเพื่อทดสอบเท่านั้น
ในกรณีที่ระบบเครือข่ายมีขนาดใหญ่และมีการจัดแบ่งเป็นเครือข่ายย่อยๆแล้วอาจต้องใช้ NIDS มากกว่า 1 ตัวเพื่อช่วยกันตรวจสอ บเครือข่ายย่อยๆเหล่านั้น ในกรณีนี้ NIDS แต่ละตัวนั้นจะเรียกว่า Sensor โดยที่Sensor แต่ละตัวจะส่งข้อมูลไปยังเซิร์ฟเวอร์กลางหรือที่เรียกว่า Management Server ที่ใช้ควบคุมดูแล Sensor ทั้งหมด (NIDS Management Server) ผู้ดูแลระบบสามารถอาศัยหน้าจอที่ต่อกับเซิร์ฟเวอร์กลางนี้ในการควบคุมดูแล Sensor ทุกตัวจากจุดเดียวได้
โหมดการทำงานของ NIDS
สามรถเลือกใช้งาน NIDSใน 2ลักษณะคือแบบ Passive และแบบ Reactive Mode ซึ่งมีรายละเอียดดังนี้
Passive Mode
คือการติดตั้ง NIDS เพื่อใช้ในการตรวจสอบเครือข่ายในลักษณะสังเกตการณ์แบบเงียบๆโดยหากมันตรวจพบว่ามีการบุกรุกหรือความผิดปกติเกิดขึ้นก็จะส่งสัญญาณแจ้งเตือนให้ผู้ดูแลระบบทราบและพร้อมกับบันทึกการทำงานไว้ในการตรวจสอบต่อไป NIDS ในยุคแรกๆจะทำหน้าที่ในแบบ Passive Mode เท่านั้น
Reactive Mode
จะทำงานเหมือน Passive Mode แต่จะมีความสามารถที่เรียกว่า Active Response เพิ่มขึ้นคือหากมันพบว่ามีการบุกรุกหรือผิดปกติ มันสามารถดำเนินการดังต่อไปนี้โดยอัตโนมัติคือ
- ส่งแพ็กเก็ตตอบโต้(TCP Reset Packet หรือ ICMP Port/Host/NET Unreachable) กลับไปยังเครื่องของผู้บุกรุกและ/หรือเครื่องที่ตกเป็นเป้าหมายเพื่อตัดการเขชื่อมต่อระหว่างกัน
- ดำเนินการติดต่อสั่งการไปที่ตัวอุปกรณ์ Firewall ให้ทำการทิ้งแพ็กเก็ต (Drop Packet) ที่มาจากเครื่องของผู้บุกรุก หรือทำการปรับเปลี่ยน Rule หรือ Policy ของตัว Firewall ใหม่เพื่อปิดกั้นไม่ให้แพ็กเก็ตที่มาจากเครื่องของผู้บุกรุกผ่านเข้ามาในระบบได้อีกต่อไป นอกจากนี้ NIDS บางตัว ยังสามารถติดต่อกับอุปกรณ์ Rounter ให้ทำการทิ้งแพ็กเก็ต หรือปรับเปลี่ยน Access Control List (ACL) ในตัว Router เพื่อปิดกั้นไม่ให้แพ็กเก็ตที่มาจากเครื่องของผู้บุกรุกผ่านทะลุเข้ามาในระบบเครือข่ายภายในได้อีกเช่นเดียวกับในกรณีของ Firewall
NIDS ยังมีปัญหาเรื่องการแจ้งเตือนที่ผิดพลาดบ่อยๆ (False Positive) เนื่องจากเทคนิคการตรวจสอบแพ็กเก็ตที่ใช้อยู่ใน NIDS นั้นยังมีข้อจำกัดบ่งประการ ดังนั้นการเกิด False Positive บางครั้งอาจทำให้ผู้ดูแลระบบเกิดความเคยชินกับสัญญาณแจ้งเตือน และอาจมีผลทำให้อุปกรณ์ Firewall หรือ Router ทำงานผิดพลาดตามไปด้วย ซึ่งส่งผลให้ระบบเครือข่ายไม่สามารถใช้งานได้หรือที่เรียกว่าเครือข่ายล่มนั่นเอง นอกจากนี้ผู้บุกรุกยังอาจใช้วิธีปลอม IP Address ต้นทาง (IP Spoofing) เป็น IP Address ของ เว็บไซต์หรือขององค์กรที่ติดต่ออยู่เป็นประจำ แล้วทำการส่งแพ็กเก็ตเข้ามาเพื่อมุ่งหวังให้ตัว NIDS ติดต่อสั่งการไปที่ตัวอุปกรณ์ Firewall ให้ปรับเปลี่ยน Policy ใหม่เพื่อห้ามไม่ให้แพ็กเก็ตที่มาจาก IP Address ดังกล่าวผ่านเข้ามาได้อีก ซึ่งจะมีผลทำให้ไม่สามารถติดต่อกับเว็บไซต์หรือบริษัทที่ต้องการจะติดต่อด้วยได้ นอกจากนี้การตรวจจับการบุกรุกประเภท Backdoor หรือการบุกรุกที่เกิดจากภายในเครื่องของผู้ดูแลระบบเอง ซึ่งในกรณีนี้ NIDS นั้นยังทำได้ไม่ค่อยดีเมื่อเทียบกับ NIPS
การวางตำแหน่งของ NIDS ในระบบเครือข่าย
การวางตำแหน่ง NIDS นั้น โดยทั่วไปจะวางไว้หลังอุปกรณ์ Firewall ตัวที่เชื่อมต่อกับระบบเครือข่ายภายนอกหรืออินเทอร์เน็ต (Perimeter Firewall) อย่างไรก็ตามสามารถที่จะเอาไปไว้หน้า Firewall ก็ได้ ขึ้นอยู่กับวัตถุประสงค์ของการใช้งาน หรืออาจจะวาง NIDS ไว้ทั้ง 2 ตำแหน่งเลยก็ได้ แต่การวาง NIDS ไว้หน้า Firewall หากปรับจูนไม่ดีจะทำให้เกิดการแจ้งเตือนบ่อย เนื่องจากจะต้องรับภาระหนักในการตรวจสอบแพ็กเก็ตที่มาจากอินเตอร์เน็ตจำนวนมากตลอดเวลา ซึ่งส่วนใหญ่แล้วการแจ้งเตือนที่เกิดขึ้นมักจะไม่ได้เกิดจากการตรวจพบการตรวจพบการบุกรุกจริงๆ ซึ่งเรียกกรณีนี้ว่า False Positive การแจ้งเตือนบ่อยๆที่มากเกินไปจะทำให้ผู้ดูแลระบบเกิดความเคยชินและจะไม่แจ้งเตือนในที่สุด ซึ่งบางครั้งอาจเป็นสัญญาณแจ้งเตือนที่บ่งบอกว่า ระบบเครือข่ายตกอยู่ในอันตรวยจริงก็ได้ วิธีการลดอัตตราการเกิด False Positive ก็คือการติดตั้งให้ตัว NIDS มีความไวน้อยลงแต่ผลกระทบที่ตามมาคือบางครั้งหากมีการบุกรุกเครือข่ายเกิดขึ้นจริง มันก็อาจจะตรวจไม่พบก็ได้
ดังนั้นการใช้งานโดยทั่วไปจะวาง NIDS ไว้หลัง Firewall จะเหมาะสมกว่า เพราะจะทำให้มันไม่ต้องรับภาระจากกระแสแพ็กเก็ตปริมาณมหาศาล จากอินเทอร์เน็ต เนื่องจากตัว Firewall จะทำหน้าที่คัดกรองแพ็กเก็ตที่ไม่เกี่ยวข้องออกไปให้เหลือเหลือเฉพาะแพ็กเก็ตที่เกี่ยวข้องหรือที่ได้รับอรุญาตให้ผ่าน Firewall เข้ามาในระบบ LAN แล้วเท่านั้นซึ่งเป็นการลดภาระการทำงานของตัว NIDS ลงอย่างมาก และส่งผลให้การแจ้งเตือนมีความแม่นยำมากขึ้น กล่าวคืออัตตรา False Positive จะมีน้อยลง
Host Based Intrusion Detection System (HIDS)
คือซอฟแวร์ที่หรือโปรแกรมที่ติดตั้งไว้ในเครื่องเพื่อทำหน้าที่น่าสงสัยหรือที่เข้าข่ายก่อให้เกิดความเสียหายต่อตัวระบบปฏิบัติการหรือข้อมูลที่อยู่ในรูปของไฟล์หรือฐานข้อมูลต่างๆ หลักการทำงานของ HIDS นั้นจะใช้วิธีง่ายๆ ตรงไปตรงมากล่าวคือมันจะตรวจและวิเคราะห์หาพฤติกรรมที่เข้าข่ายเป็นภัยกับระบบปฏิบัติงานจากบันทึกการทำงาน (System Logs) ของเครื่องเป็นระยะๆ ถ้าเป็นในกรณีของระบบปฏิบัติการในตระกูล Windows ก็จะมีบันทึกการทำงานของระบบที่เรียกว่า Event Logs (คลิกไอคอน Event Viewer ใน Administrative Tools) หรือในกรณีของ Linux ก็จะมีบันทึกการทำงานของระบบปฏิบัติการที่เรียกว่า Syslog นอกจากนี้ HIDS บางตัวยังสามารถตรวจสอบพฤติกรรมการเข้าใช้ระบบไฟล์ของโปรแกรมหรือผู้ใช้งานต่างๆว่า เข้าข่ายเป็นอันตรายต่อระบบปฏิบัติการหรือไม่ ตรวจสอบการละเมิดสิทธิ์ของผู้ใช้งานต่างๆในเครื่อง หรือสามารถตรวจสอบคอนเน็คชั่นที่เชื่อมต่อมาจากเครื่องที่แปลกปลอมหรือไม่ เป็นต้น ซึ่งหากมันตรวจพบความผิดปกติดังกล่าวข้างต้นก็จะแจ้งเตือนให้ทราบทันที (ถ้าเป็น Host-base IPS จะมีความสามารถมากกว่า คือ สามารถป้องกันการบุกรุกได้) กล่าวโดยสรุปคือ HIDS โดยทั่วไปจะแบ่งออกได้ 3 ประเภทหลักๆคือ
- File System Monitor จะตรวจสอบการเปลี่ยนแปลงที่เกี่ยวกับระบบไฟล์ เช่น การเปลี่ยนแปลงสิทธิในการเข้าใช้ไฟล์และโฟลเดอร์ ชื่อเจ้าของไฟล์และโฟลเดอร์ ขนาดของไฟล์ และค่าพารามิเตอร์ต่างๆ ที่เกี่ยวข้องกับระบบไฟล์ การเปลี่ยนแปลงแก้ไขไฟล์ที่เก็บค่า Configuration ต่างๆของตัวระบบปฏิบัติการ
- System Logs Analysis จะตรวจสอบ System Logs ของตัวระบบปฏิบัติการและทำการวิเคราะห์ว่า มีการใช้งานที่มีลักษณะผิดปกติและเป็นอันตรายต่อระบบปฏิบัติการหรือไม่ เช่น มีการ Logon ที่ใส่รหัสผ่านผิดติดต่อกันหลายๆครั้ง มีการเปลี่ยนแปลงแก้ไขสิทธิของผู้ใช้ต่างๆให้สูงขึ้นหรือเทียบเท่าระดับผู้ดูแลระบบ มีการเพิ่มลบ หรือแก้ไขรหัสผู้ใช้หรือรหัสผ่าน มีการเปิดปิดบริการต่างๆในเครื่องหรือมีการรีบู๊ตเครื่องใหม่
- Connection Analysis จะตรวจสอบการเชื่อมต่อที่ไม่ได้รับอนุณาติ หรือแพ็กเก็ตผิดปกติที่มาจากเครื่องแปลกปลอม ตรวจสอบการถูกแสกนพอร์ต การถูกส่งข้อมูลขยะปริมาณมากๆ เป็นต้น
IPS (Intrusion Prevention System)
คือเครื่องมือที่ใช้ในการปกป้องระบบเครือข่ายให้ปลอดภัยจากการบุกรุกหรือโจมตีไม่ว่าจะมาจากเครือข่ายภายนอก เช่น อินเทอร์เน็ต หรือ จากระบบภายในระบบ LAN ด้วยกันเอง IPS นั้นแตกต่างจาก IDS ในแง่ที่ว่ามันถูกออกแบบมาให้มีความสามารถในการหยุดยั้งการบุกรุกหรือตอบโต้การโจมตีได้โดยอัตโนมัติทันทีที่ตรวจพบ โดยไม่ต้องอาศัยอุปกรณ์ Firewall หรือ Router ช่วย จึงสามารถจะชะลอหรือหยุดยั้งความเสียหายที่อาจเกิดขึ้นกับระบบเครือข่ายได้อย่างทันท่วงที
IPS สามารถแบ่งออกได้เป็น 2 ประเภท คือ
- Network Based Intrusion Prevention System (NIPS)
NIPS ที่ติดตั้งไว้เป็นส่วนหนึ่งของระบบเครือข่ายเพื่อใช้หยุดหรือสกัดการบุกรุกจากเครือข่ายภายนอกหรือภายในโดยอัตโนมัติทันที NIPS นี้ ในปัจจุบันมักจะผลิตออกมาขายกันในรูปของฮาร์ตแวร์สำเร็จรูปกันเป็นส่วนใหญ่ เนื่องจากฮาร์ดแวร์สำเร็จรูปนั้น มีข้อได้เปรียบทางด้านความเร็วในการประมวลผลซึ่งหัวใจสำคัญของ NIPS ทั้งนี้ก็เนื่องจากว่า การทำงานของ NIPS นั้นจำเป็นต้องให้สัญญาณเครือข่ายไหลเข้าไปในตัวของมันเพื่อผ่านการตรวจสอบเสียก่อน
จากนั้นสัญญาณเครือข่ายที่ผ่านการตรวจสอบแล้วพบว่าไม่มีปัญหาก็จะถูกปล่อยออกมา ซึ่งขบวนการนี้จะต้องอาศัยการทำงานที่เร็วมากๆ มิฉะนั้นจะทำให้เกิดคอขวดขึ้นในระบบเครือข่ายและทำให้การทำงานของระบบเครือข่ายเกิดความล่าช้า NIPS ที่มาในรูปแบบของอุปกรณ์หรือฮาร์ดแวร์สำเร็จรูปมีให้เลือกใช้มากมายหลายรุ่น หลายยี่ห้อ เช่น Cisco Systems,Internet Security Systems, Juniper Networks, McAfee, HIPS,NFR Security, TippingPoint และ TopLayer เป็นต้น
NIDS ที่เป็นแบบ Active Response นั้น มันจะใช้วิธีติดต่อสั่งการหรือประสานงานร่วมกับอุปกรณ์ Firewall หรือ Router ให้ทำการปรับเปลี่ยน Policy ของ Firewall หรือ Access Control List ในกรณีของ Router เพื่อปิดกั้นไม่ให้แพ็กเก็ตที่มีแหล่งกำเนิดมาจาก IP Address ของเครื่องที่เป็นต้นเหตุของการบุกรุกผ่านเข้าไปในระบบเครือข่าย แต่เนื่องจากมีปัญหาเรื่องการแจ้งเตือนที่ผิดพลาดหรือ False Positive บ่อยๆ ซึ่งอาจทำให้เครือข่ายล่มได้ ดังนั้น NIPS โดยทั่วไปจะไม่นิยมใช้หลักการของ Active Response แต่อาศัยวิธีขจัดหรือทิ้งเฉพาะแพ็กเก็ตที่พบว่าเป็นอันตรายต่อระบบเครือข่ายเท่านั้น แพ็กเก็ตใหม่หรือที่ต่อเนื่องที่มาจากเครื่องของผู้บุกรุกจะยังคงอนุญาตให้ผ่านเข้ามาได้ แต่มันจะถูกตรวจสอบโดย NIPS อีก เป็นเช่นนี้เรื่อยไป แพ็กเก็ตที่ผ่านการตรวจสอบแล้วพบว่าไม่เป็นอันตรายต่อระบบเครือข่ายถึงจะให้ผ่านไปได้
NIPS เกิดขึ้นจากการนำเอาความสามารถในการตรวจหาสิ่งผิดปกติจากแพ็กเก็ตต่างๆของ NIDS มารวมกับความสามารถในการหยุดยั้งแพ็กเก็ตของ firewall มากกว่า หรือถ้าจะเขียนให้ชัดเจนในลักษณะของสมาการทางคณิตศาสตร์ก็คือ NIPS = NIDS + Firewall
การติดตั้ง NIPS
การนำ NIPS ติดตั้งเข้าไปในระบบเครือข่ายจะแตกต่างจากในกรณีของ NIDS โดยสิ้นเชิง กล่าวคือจะต้องติดตั้งในลักษณะที่ให้สัญญาณเครือข่ายหรือกระแสแพ็กเก็ตทั้งหมดที่ต้องการตรวจสอบไหลเข้าไปในตัว NIPS โดยตรงเพื่อตรวจหาความผิดปกติของแพ็กเก็ตเหล่านั้นก่อนที่จะปล่อยออกไปยังเครือข่ายอีกด้านหนึ่ง การติดตั้งแบบนี้เรียกว่าการติดตั้งแบบ Inline ซึ่งจำเป็นต้องอาศัยการ์ด LAN อย่างน้อย 2 ชุด ซึ่งการติดตั้งแบบ Inline นี้จะเป็นการติดตั้งในลักษณะเดียวกับการติดตั้งอุปกรณ์ Firewall นั่งเอง
ลักษณะการทำงานของ NIPS ซึ่งติดตั้งแบบ Inline แพ็กเก็ตต่างๆที่ไหลเข้าไปในตัว NIPS และจำทำการตรวจสอบ แพ็กเก็ตที่มีปัญหาจะถูกแยกออกมาเพื่อทำการตรวจสอบโดยละเอียดต่อไป NIPS ก็เช่นเดียวกันหาดตรวจพบความผิดปกติในแพ็กเก็ตแล้วมันสามารถที่จะคิดกรองหรือปิดกั้นไม่ให้แพ็กเก็ตนั้นๆหลุดหรือผ่านเข้าไปในระบบ LAN ได้ด้วยความสามารถของตัวมันเอง
NIDS นั้นต้องอาศัยอุปกรณ์ช่วย เช่น Hub , SPEN Port ของ Switch หรือ Network Tap อย่างไรก็ตามก็สามารถใช้การติดตั้งแบบ Inline เหมือนในกรณีของ NIPS ก็ได้ แต่ต้องระวังเรื่องของการเกิดคอขวดขึ้นในตัว NIDS และจะเป็นการเพิ่มจุดอ่อน ให้กับเครือข่าย
ในกรณีที่ระบบเครือข่ายมีขนาดใหญ่และมีการจัดแบ่งเป็นเครือข่ายย่อยๆแล้วอาจต้องใช้ NIPS มากกว่า 1 ตัวเพื่อช่วยกันตรวจสอบเครือข่ายบ่อบๆเหล่านั้น ในกรณีนี้ NIPS แต่ละตัวนั้นจะเรียกว่า Sensor โดยที่ Sensor แต่ละตัวจะส่งข้อมูลไปยังเซิร์ฟเวอร์กลางที่ใช้ควบคุมดูแล Sensor ทั้ง (NIPS Management Server) Sensor แต่ละตัวจะส่งข้อมูลไปยังเซิร์ฟเวอร์กลางที่
ใช้ควบคุมดูแล Sensor ทุกตัวจากจุดเดียวได้
การวางตำแหน่ง NIPS
การวางตำแหน่งของ NIPS จะต้องวางไว้หลัง Firewall เท่านั้น และควรจะต่อท้าย Firewall ตัวที่อยู่หน้าสุด (Perimeter Firewall) ด้วยนอกจากนี้ยังสามารถติดตั้ง NIPS ตัวอื่นๆเพิ่มภายในระบบ LAN ได้อีกตามต้องการ
Host Based Intrusion Prevention System (HIPS)
คือซอฟต์แวร์ที่ใช้ติดตั้งในเครื่องเซิร์ฟเวอร์ต่างๆ เช่น เว็บเซิร์ฟเวอร์ หรือ ดาต้าเบสเซิฟเวอร์ หรือแม้กระทั้งเครื่องระดับเดสก์ท๊อปหรือโน๊ตบุ๊คก็ได้เช่นกัน เพื่อทำหน้าที่ปกป้องเครื่องให้ปลอดภัยจากการบุกรุกหรือโจมตี ทั้งที่ผ่านเข้ามาทางระบบเครือข่ายหรือจากโปรแกรมแปลกปลอมภายในเครื่อง HIPS จะเป็นซอฟแวร์ประจำเครื่องอีกตัวหนึ่งที่ขาดไม่ได้ในไม่ช้าจะมาช่วยเติมเต็มหรืออุดช่องโหว่ของซอฟแวร์ประเภท (Endpoint Security) เช่น Antivirus Antispyware และ Personal Firewall หรือ Desktop Firewall ที่ใช้เป็นการป้องกันด่านสุดท้ายของเครื่องให้ปลอดภัยจากการบุกรุกในรูปแบบต่างๆ
ในปัจจุบันมีผลิตภัณฑ์ประเภท HIPS ที่ได้รับความนิยมอยู่ 2 ตัวคือ StromWatch และ Entercept (McAfee Host Intrusion Prevention) หลักการทำงานของ HISP ของผลิตภัณฑ์ทั้ง 2 ใช้เทคนิคที่เรียกว่า Kernet Based Protection ซึ่งจะอาศัยการตรวจสอบการใช้งาน System Call ของโปรแกรมหรือบริการต่างๆที่ทำงานอยู่ในเครื่องว่าทำผิดกฏที่ตั้งไว้หรือไม่ (System Call คือช่องทางที่มีไว้ให้โปรแกรมหรือแอพพลิเคชั่นต่างๆใช้ในการติดต่อสั่งงานให้ระบบปฏิบัติการทำตามที่ต้องการได้) เช่น ควบคุมการเข้าใช้ CPU, หน่วยความจำ , ไฟล์ต่างๆ, ระบบเครือข่าย และอุปกรณ์ต่างๆ ดังนั้นมันจึงช่วยปกป้องระบบปฏิบัติการในเครื่องให้ปลอดภัยจากการบุกรุกหรือโจมตีในรูปแบบต่างๆได้
การตรวจสอบว่าพฤติกรรมการเรียกใช้ System Call ของโปรแกรมต่างๆในเครื่องนั้นๆขะใช้หลักของ Behavior Based Protection ซึ่งจะทำการเปรียบเทียบกับกฏหรือกติกาที่กำหนดไว้ว่ามีการฝ่าฝืนหรือไม่ หากพบว่ามี ก็จะไม่อนุญาตให้โปรแกรมนั้นดำเนินการหรือทำงานต่อไปได้ เช่นในกรณีของ Okena SotrmWatch จะมีส่วนประกอบที่ใช้ตรวจสอบการเรียกใช้ System Call และ ของโปรแกรมหรือแอพพลิเคชั่นอยู่ 4 ส่วน คือ
- File System Interceptor จะคอยตรวจสอบพฤติกรรมการเข้าใช้งานไฟล์โปรแกรมหรือแอพพลิเคชั่นต่างๆเพื่อป้องกันการทำความเสียหายให้กับระบบไฟล์หรือไฟล์ต่างๆในเครื่อง
- Network Interceptor จะคอยตรวจสอบพฤติกรรมการเรียกใช้บริการทางด้านเครือข่ายของเครื่องโดยส่วนประกอบนี้จะทำหน้าที่คล้ายๆ Firewall ที่มีความสามารถในการปิดพอร์ตหรือปิดการเชื่อมต่อจาก IP Address ของเครื่องที่กำลังบุกรุกอยู่ได้
- Configuration Interceptor ในกรณีของระบบปฏิบัติการ Windows จะคอยตรวจสอบพฤติกรรมการแก้ไขหรือเปลี่ยนแปลงข้อมูลของ Registry หรือถ้าเป็นกรณีของ Linux ก็จะเป็นไฟล์ที่เก็บ Configuration ต่างๆ
- Execution Space Interceptor จะคอยตรวจสอบพฤติกรรมการเข้าใช้หน่วยความจำของโปรแกรม เพื่อป้องกันไม่ให้เกิดการใช้หน่วยความจำที่ผิดปกติ เช่น การเกิด Memory หรือ Buffer Overflow หรือการใช้หน่วยความจำที่ถูกครอบคองโดยโปรแกรมอื่นๆ
สำหรับผู้ที่ใช้โน๊ตบุ๊คที่ต้องเคลื่อนย้ายไปชื่อมต่อกับระบบ LAN ในสถานที่ต่างๆซึ่งอาจจะไม่มีการติดตั้งระบบป้องกันความปลอดภัยทางเครือข่ายที่ดีพอ โดยเฉพาะระบบ LANแบบไร้สาย จะได้รับประโยชน์จาก HIPS ที่ติดตั้งไว้ในเครื่องอย่างเห็นได้ชัด และยังสามารถหยุดยั้งการบุกรุกหรือโจมตีจากการรันโปรแกรมที่ติดไวรัสหรือแอบแฝงมากับอีเมล์
โดยทั่วไป HIPS ประกอบด้วย 2 ส่วน โดยอ้างอิงจาก StromWatch และ McAfee Host Intrusion Prevention คือ
1. ส่วนควบคุมกลาง (Central Manahement System) คือส่วนควบคุมและเฝ้าติดตามการทำงานของ HIPS ในเครื่องแต่ละเครื่องที่ได้รับการติดตั้ง Agent ไว้ Central Management System สามารถควบคุม Agent ได้หลายตัว
2. Agent คือส่วนที่ติดตั้งไว้ในเครื่องที่ต้องการการปกป้องเรียกว่า ซึ่งจะถูกควบคุมโดยส่วนควบคุมกลาง Agent จะถูกติดตั้งให้ใกล้ชิดกับส่วนแกนกลางของระบบปฏิบัติการ เพื่อคอยตรวจสอบการเรียกใช้ System Call ต่างๆ ของโปรแกรม ซึ่งหากพบความผิดปกติขึ้นก็จะหยุดยั้งไม่ให้โปรแกรมนั้นๆทำงานต่อไป พร้อมกับรายงานผลหรือแจ้งเตือนกลับไปยังส่วนควบคุมกลางเพื่อให้ผู้ดูแลระบบทราบ
รูปแบบการทำงานของ IDS/IPS แบ่งออกได้เป็น 5 อย่างตามลักษณะของวิธีการตรวจจับ
1. Anomaly Detection เป็นการตรวจหาสิ่งผิดปกติ กลไกก็คือต้องวิเคราะห์ระบบเครือข่าย (ขึ้นกับแหล่งข้อมูล) ให้ได้คำตอบก่อนว่าอะไรคือการทำงาน "ปกติ" การตรวจจับจะวัดตามค่าทางสถิติหรือ heuristic เพื่อดูว่าเหตุการณ์ที่เกิดอยู่ในขอบเขตของคำว่า "ปกติ" หรือไม่ ถ้าไม่แสดงว่าเหตุการณ์ที่เกิดเป็นสิ่งที่ไม่ปกติและหมายถึงการบุกรุก ปกติจะใช้การวิเคราะห์โดย Neural Nets, Statistical Analysis หรือ Atate-Changed Analysis ข้อดีของ Anomaly Detection คือ สามารถปรับให้ตรวจจับการบุกรุกได้ทุกประเภท รวมทั้งการบุกรุกที่ไม่เคยเกิดขึ้นมาก่อนด้วย ข้อเสียระบบนี้ยังทำงานได้ไม่ดีพอในปัจจุบัน การตรวจจับยังพลาดบ่อย ปัจจุบันเป็นเรื่องที่กำลังทำวิจัยกันอยู่
2. Misuse Detection หลักการคือหาว่าอะไรคือองค์ประกอบของการบุกรุกแล้วพยายามตรวจจับจุดนั้น วิธีการอาจจะใช้ Network Grep หา Strings ใน Network Connection ที่แสดงถึงการบุกรุกหรือ Pattern Matching ตรวจการเปลี่ยนแปลงของ State เช่น Owner ของ /etc/password ถูกเปลี่ยน ตามด้วย /etc/ password ถูกเปิด แก้ไข และบันทึกลงไปใหม่ ข้อดีของ misuse detection คือ ง่าย เร็ว โอกาสพลาดมีน้อย แต่ก็มีข้อเสียที่ต้องรู้จักวิธีการบุกรุกถึงจะตรวจจับเจอ และมีโอกาสที่ระบบจะถูกลวงได้ง่าย
3. Burglar Alarm คือ misuse detection ที่เจาะจงเป้าหมายที่แน่นอน การทำงานจะขึ้นอยู่กับการตั้ง policy ของ site นั้นๆ ดังนั้นก็จะตรวจจับการฝ่าฝืน policy ที่กำหนดไว้เป็นหลัก burglar alarm อย่างง่ายอาจจะทำได้จาก Tcpdump + Perl หรือที่เป็น Software ก็มี NetLog? และ Network Flight Recorder ข้อดีคือความน่าเชื่อถือง่ายและอาจจะตรวจจับการบุกรุกที่ไม่รู้จักมาก่อนได้ ข้อเสียคือเป็น Policy-Based ซึ่งต้องอาศัยความรู้และประสบการณ์ในการตั้ง Policy
4. Honey Pots ระบบลวงตั้งเพื่อล่อให้ถูกบุกรุก ระบบต้องอ่อนพอที่จะบุกรุกได้และแข็งพอที่จะถ่วงเวลานานพอ ส่วนการตรวจจับสามารถใช้ Tools ง่ายๆ เช่น tcpwrapper, burglar alarm, หรือแม้แต่ System Logs วิธีนี้ดีที่ง่ายและไม่ลดประสิทธิภาพของระบบ ข้อเสียคือวิธีนี้ได้ผลกับผู้บุกรุกด้วยวิธีธรรมดาเท่านั้น
5. Hybrid IDS ระบบจะรวมเอาหลายๆ อย่างมาผสมกัน ระบบที่มีขายกันในปัจจุบันส่วนใหญ่จะเป็น Hybrid IDS อย่างเช่นใช้ Misuse Detection + Expert System + Statistical Anomaly Analysis Hybrid IDS ดูเหมือนจะเป็นรูปแบบที่ดีที่สุด เพราะใช้การทำงานหลายๆ อย่างเพื่อตรวจจับและกำจัดข้อเสีย แต่ก็ยังมีข้อเสียคือ Hybrid IDS ปัจจุบันมันเกิด False Positive มากเกินไป จนบาง Site ต้องยกเลิกการใช้กลไกบางส่วนของระบบ
ในปัจจุบันได้มีการนำ IDS ซึ่งเกิดก่อน IPS (พัฒนามาจาก IDS) และ IPS มาทำงานรวมกันเพราะว่า ทั้ง IDS และ IPS นั้นต่างมีข้อดีแตกต่างกันในคนละบทบาทหน้าที่ แต่กลยุทธ์ที่ดีที่สุดในการรักษาความปลอดภัยก็คือรวมเอาเทคโนโลยีทั้งสอง เข้ามาทำงานด้วยกัน เพื่อช่วยป้องกันความปลอดภัยให้กับเครือข่ายได้อย่างครอบคลุมที่สุด
แหล่งที่มา : หนังสือคู่มือดูแลระบบ Network ฉบับมืออาชีพ (ผู้แต่ง สมเกียรติ รุ่งเรืองลดา)
