Intrusion Detection System
วัตถุประสงค์
- รู้และเข้าใจฟังก์ชันและข้อจำกัดของ IDS/IPS
- รู้และเข้าใจประเภทต่าง ๆ ของ IDS
- รู้และเข้าใจหลักในการวิเคราะห์ตรวจจับการบุกรุกของ IDS
- รู้และเข้าใจรูปแบบการโจมตีแบบต่าง ๆ ที่มักถูกจับได้โดย IDS
- รู้และเข้าใจหลักในการออกแบบ และตำแหน่งการวาง IDS
- รู้และเข้าใจฟังก์ชันของ NAC
อินเทอร์เน็ตในปัจจุบันได้เปลี่ยนรูปแบบการใช้งานไปอย่างมาก คอมพิวเตอร์ใช้งานส่วนใหญ่จำเป็นต้องเชื่อมต่อเข้ากับอินเทอร์เน็ต
เพื่อใช้ประโยชน์จากเครือข่ายนี้เกือบทุกองค์กรที่มีเครือข่ายภายในของตนเอง มักต้องการเชื่อมต่อกับอินเทอร์เน็ตเสมอ
อินเทอร์เน็ตมีทั้งข้อดีและข้อเสียผู้ใช้งานมีทั้งคนดีและคนไม่ดี กลุ่มคนที่ไม่ดีก็พยายามสร้างความเสียหายให้กับระบบ
อาจมีแรงจูงใจหลายอย่างไม่ว่าจะเป็นการทดลองหรือการจารกรรมข้อมูล การโจมตีเครือข่าย เป็นต้น
การเชื่อมต่อเครือข่ายเข้ากับอินเทอร์เน็ตควรมีระบบการรักษาความปลอดภัยที่ดีไม่เช่นนั้นอาจเกิดผลเสียมากกว่าผลดีได้
การเชื่อมต่อเครือข่ายเข้ากับอินเทอร์เน็ตควรมีระบบการรักษาความปลอดภัยที่ดีไม่เช่นนั้นอาจเกิดผลเสียมากกว่าผลดีได้
สิ่งแรกที่ระบบการรักษาความปลอดภัยกล้องวงจรปิดในเครือข่ายคือการติดตั้งไฟร์วอลล์เป็นสิ่งจำเป็นเมื่อต้องเชื่อมต่อเข้ากับเครือข่ายอินเทอร์เน็ต
แต่ไฟร์วอลล์มีข้อจำกัดในตัวเอง การติดตั้งไฟร์วอลล์อย่างเดียวนั้นไม่สามารถป้องกันอันตรายจากอินเทอร์เน็ตได้ทุกอย่าง
จึงมีความจำเป็นที่ต้องมีระบบการรักษาความปลอดภัยอื่นเข้ามาช่วย ระบบตรวจจับการบุกรุก หรือ IDS เป็นอีกหนึ่งเครื่องมือการรักษาความปลอดภัยที่ทุกองค์กรควรมี
สินค้าแนะนำระบบรักษาความปลอดภัย : รั้วไฟฟ้า สัญญาณกันขโมย กล้องวงจรปิด
IDS/IPS คืออะไร
IDS เครื่องมืออีกประเภทหนึ่งที่ใช้สำหรับการรักษาความปลอดภัยใช้ตรวจจับความพยายามที่จะบุกรุกเครือข่าย ระบบจะแจ้งเตือนผู้ดูแล IDS
ไม่ใช่ระบบที่ใช้ป้องกันการบุกรุกแต่เป็นระบบที่คอยแจ้งเตือนเหมือนกับสัญญาณกันขโมย หน้าที่หลักของ IDS คือ การแจ้งเตือนการเข้าถึงเครือข่ายที่ผิดปกติ
สิ่งที่สำคัญในการออกแบบระบบ IDS คือเหตุการณ์ใดคือสิ่งที่ถือว่าผิดปกติ การใช้ IDS ขึ้นอยู่กับว่าอะไรที่จะแจ้งเตือนให้ทราบคำตอบนั้นไม่ใช่ว่าถูกหรือผิด ขาวหรือดำ
แต่จะขึ้นอยู่กับสภาวะของระบบในขณะนั้น ปัญหาอีกอย่างหนึ่งคือบางครั้งไม่สามารถตรวจจับการบุกรุกได้เนื่องจากการทำงานของ IDS
แต่จะขึ้นอยู่กับสภาวะของระบบในขณะนั้น ปัญหาอีกอย่างหนึ่งคือบางครั้งไม่สามารถตรวจจับการบุกรุกได้เนื่องจากการทำงานของ IDS
ทำงานกับเครือข่ายที่ใช้ระบบสวิตช์ชิง และปัญหาที่สำคัญอีกอย่างหนึ่งก็คือไม่สามารถป้องกันการบุกรุกได้โดยทันทีหรือแบบเรียลไทม์
จึงมีการคิดค้นเทคโนโลยีใหม่เรียกว่า IPS สามารถตรวจจับการบุกรุกและหยุดการบุกรุกได้แบบอัตโนมัติหรือมรุทันที
หลักการทำงาน IPSโดยการใช้หลักการที่เรียว่า “Inline” มีการนำ IPS ไปกั้นกลางบนเส้นทางการส่งข้อมูล
หลักการทำงาน IPSโดยการใช้หลักการที่เรียว่า “Inline” มีการนำ IPS ไปกั้นกลางบนเส้นทางการส่งข้อมูล
โดยไม่ต้องมีการกำหนดหมายเลขไอพีให้กับ IPS แต่ปัญหาที่เกิดก็คือถ้าตัว IPS เกิดเสียและไม่สามารถพาสตัวเองได้ทำให้เกิดปัญหา
ในการรับส่งข้อมูลระหว่างต้นทางกับปลายทาง ถ้าตัดสินใจผิดการบล็อกแพ่คเก็ตที่คิดว่าเป็นการบุกรุกแต่จริง ๆ แล้วเป็นการใช้งานธรรมดาก็จะเกิดปัญหากับผู้ใช้งานทั่วไปได้เช่นกัน
IDS คือระบบใช้สำหรับการเฝ้าระวังหรือมอนิเตอร์เหตุการณ์ต่าง ๆ ที่เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่ายและวิเคราะห์
ทำไมต้องมี IDS/IPS
IDS คือระบบใช้สำหรับการเฝ้าระวังหรือมอนิเตอร์เหตุการณ์ต่าง ๆ ที่เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่ายและวิเคราะห์
เพื่อหาร่องรอยของการบุกรุก การพยายามที่จะทำลายความลับ ความถูกต้อง และความพร้อมใช้งาน การหลีกเลี่ยงระบบการรักษาความปลอดภัย
ของระบบคอมพิวเตอร์หรือเครือข่าย การบุกรุกเกิดจากผู้ที่บุกรุกเข้าถึงระบบอินเทอร์เน็ตIDS/IPS ทำหน้าที่ในการตรวจจับสิ่งผิดปกติเหล่านี้ รายงานให้ทราบพร้อมทั้งหยุดการบุกรุกได้ทันท่วงที
ปัจจุบันภัยคุกคามจากอินเทอร์เน็ต และเครือข่ายคอมพิวเตอร์อยู่ในระดับที่สูงมาก การติดตั้งไฟร์วอลล์อย่างเดียวคงไม่เพียงพอ IDS/IPS
สิ่งที่จำเป็นที่ต้องมีในระบบการรักษาความปลอดภัยกล้องวงจรปิดในเครือข่ายของทุกองค์กร เหตุผลหลักว่าทำไมต้องมีระบบ IDS/IPS ในเครือข่ายมีดังนี้
- เพื่อเป็นเครื่องมือสำหรับการสืบสวนหาบุคคลที่กระทำการโจมตี บุกรุก หรือใช้ระบบในทางที่ผิด อาจนำไปสู่การดำเนินคดีและลงโทษตามกฎหมายต่อบุคคลเหล่านี้
- เพื่อตรวจจับการโจมตี การฝ่าฝืนข้อบังคับ หรือนโยบายของระบบการรักษาความปลอดภัยที่ไม่สามารถป้องกันได้จากระบบการรักษาความปลอดภัย
- เพื่อตรวจจับความพยายามที่จะบุกรุกเครือข่ายและป้องกันก่อนที่จะเกิดการโจมตีจริง ๆ
- เพื่อเก็บรวบรวมสถิติเกี่ยวกับความพยายามหรือการโจมตี และนำข้อมูลไปวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้นกับองค์กรได้
- เพื่อเป็นเครื่องมือในการวัดประสิทธิภาพในการป้องกันภัยของระบบการรักษาความปลอดภัยอื่น เช่น ไฟร์วอลล์ เป็นต้น
- เพื่อเป็นข้อมูลที่เป็นประโยชน์เมื่อมีการบุกรุกจริง ๆ เกิดขึ้น จะช่วยในการค้นหาส่วนที่โจมตี การกู้คือระบบหรือข้อมูล และการแก้ไขผลเสียที่เกิดจากการบะรุกและการป้องกันในอนาคตได้
อินเทอร์เน็ตในปัจจุบันมีเครื่องมือสำหรับแฮคเกอร์และสามารถหาดาวน์โหลดได้ง่าย แฮคเกอร์ใช้เครื่องมือเหล่านี้ก็สามารถเจาะเข้าระบบได้ง่าย
- เพื่อเป็นเครื่องมือสำหรับการสืบสวนหาบุคคลที่กระทำการโจมตี บุกรุก หรือใช้ระบบในทางที่ผิด อาจนำไปสู่การดำเนินคดีและลงโทษตามกฎหมายต่อบุคคลเหล่านี้
- เพื่อตรวจจับการโจมตี การฝ่าฝืนข้อบังคับ หรือนโยบายของระบบการรักษาความปลอดภัยที่ไม่สามารถป้องกันได้จากระบบการรักษาความปลอดภัย
- เพื่อตรวจจับความพยายามที่จะบุกรุกเครือข่ายและป้องกันก่อนที่จะเกิดการโจมตีจริง ๆ
- เพื่อเก็บรวบรวมสถิติเกี่ยวกับความพยายามหรือการโจมตี และนำข้อมูลไปวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้นกับองค์กรได้
- เพื่อเป็นเครื่องมือในการวัดประสิทธิภาพในการป้องกันภัยของระบบการรักษาความปลอดภัยอื่น เช่น ไฟร์วอลล์ เป็นต้น
- เพื่อเป็นข้อมูลที่เป็นประโยชน์เมื่อมีการบุกรุกจริง ๆ เกิดขึ้น จะช่วยในการค้นหาส่วนที่โจมตี การกู้คือระบบหรือข้อมูล และการแก้ไขผลเสียที่เกิดจากการบะรุกและการป้องกันในอนาคตได้
อินเทอร์เน็ตในปัจจุบันมีเครื่องมือสำหรับแฮคเกอร์และสามารถหาดาวน์โหลดได้ง่าย แฮคเกอร์ใช้เครื่องมือเหล่านี้ก็สามารถเจาะเข้าระบบได้ง่าย
โดยส่วนใหญ่จะไม่มีระบบป้องกันที่ดีหรือรัดกุมเพียงพอ เครือข่ายที่มีการเชื่อมต่อเข้ากับอินเทอร์เน็ต แม้จะมีการประกาศให้ทราบ
ต่อสาธารณะว่าระบบอะไรมีช่องโหว่อะไรบ้าง เพื่อให้เจ้าของหาทางป้องกันหรือปิดช่องโหว่ จุดอ่อนหรือช่องโหว่ของระบบนี้อาจไม่ได้รับแก้ไขจากเหตุผลดังนี้
- ระบบปฏิบัติการที่เก่าหรือล้าสมัยไปแล้วไม่สามารถแก้ไขช่องโหว่หรือจุดอ่อนที่ค้นพบได้
- ระบบปฏิบัติการที่เก่าหรือล้าสมัยไปแล้วไม่สามารถแก้ไขช่องโหว่หรือจุดอ่อนที่ค้นพบได้
- แม้ว่าระบบปฏิบัติการจะมีแพตช์สำหรับแก้ไขช่องโหว่ ผู้ดูแลอาจไม่มีเวลาหรือไม่มีเครื่องมือที่จะคอยติดตามว่าเครื่องไหน
ที่ได้ติดตั้งแพตช์หรืออัพเดทเรียบร้อยแล้ว นี่เป็นปัญหาที่เกิดขึ้นเป็นประจำ โดยเฉพาะกับเครือข่ายที่มีขนาดใหญ่หรือมีโฮสต์จำนวนมาก
- ผู้ใช้อาจมีความจำเป็นที่ต้องใช้ช่องโหว่หรือจุดอ่อนในการปฏิบัติงาน ซึ่งอาจเป็นช่องโหว่ที่ผู้ไม่หวังดีอาจใช้ช่องโหว่เดียวกันในการทำลายระบบ
- ข้อผิดพลาดอาจเกิดจากผู้ใช้หรือผู้ดูแลระบบ อาจเกิดขึ้นจากความไม่ได้ตั้งใจหรือเข้าใจผิด หรือผู้ดูแลระบบอาจคอนฟิกระบบไม่ถูกต้อง
- ในการคอนฟิกระบบควบคุมการเข้าถึงระบบเพื่อให้เป็นไปตามนโยบายการรักษาความปลอดภัยหรือระเบียบการใช้งานคอมพิวเตอร์นั้น
มีข้อขัดแย้งเกิดขึ้นเสมอ ซึ่งความขัดแย้งกันนี้อาจทำให้ผู้ใช้บางคนสามารถใช้งานระบบมากกว่าสิทธิ์ที่ได้รับอนุญาตก็ได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น