Network-Based IDS
ซอฟต์แวร์พิเศษที่รันบนคอมพิวเตอร์เครื่องหนึ่งต่างหากจะมีเน็ตเวิร์คการ์ดที่ทำงานในโพรมิสเซียสโหมด ในโหมดนี้เน็คเวิร์คจะรับทุก ๆแพ็กเก็ตที่วิ่งอยู่บนเครือข่ายและส่งต่อไปให้แอพพลิเคชันเพื่อโพรเซสต่อไปเมื่อทุกแพ็กเก็ตส่งผ่านไปให้แอพพลิเคชันไอดีเอสจะวิเคราะห์ข้อมูล
ในแพ็กเก็ตนั้นกับข้อมูลที่เป็นรูปแบบของการบุกรุกเก็บไว้เป็นหลักฐาน ถ้าตรงกับรูปแบบไอดีเอสก็จะแจ้งเตือนทันที
โดยส่วนใหญ่ไอดีเอสนี้จะมีเน็คเวิร์คการ์ด 2 การ์ด โดยการ์ดแรกจะเชื่อมต่อกับเครือข่ายที่ต้องการเฝ้าระวังหรือตรวจจับการบุกรุกจะไม่มีหมายเลขไอพี เครื่องอื่น ๆ
ที่อยู่ในเครือข่ายจะมองไม่เห็นเครื่องนี้ ส่วนการ์ดอีกหนึ่งอันจะเชื่อมต่อกับอีกเครือข่ายหนึ่งเพื่อใช้สำหรับส่งการแจ้งเตือนภัยไปยังเซิร์ฟเวอร์
เครือข่ายนั้นต้องไม่ถูกเชื่อมต่อกับเครือข่ายหลักที่ไอดีเอสจะตรวจจับการบุกรุกเพื่อเป็นการป้องกันไม่ให้ไอดีเอสถูกโจมตีเสียเอง
อุปกรณ์รักษาความปลอดภัยแนะนำ : รั้วไฟฟ้า สัญญาณกันขโมย กล้องวงจรปิด
ข้อดีของเน็ตเวิร์คเบสไอดีเอส
- เน็ตเวิร์คเบสไอดีเอสจะถูกซ่อนในเครือข่าย ทำให้ผู้บุกรุกไม่รู้ว่ากำลังถูกเฝ้ามองอยู่
- เน็ตเวิร์คเบสไอดีเอสหนึ่งเครื่อง สามารถใช้เฝ้าระวังการบุกรุกได้กับหลายระบบหรือโฮสต์
- เน็ตเวิร์คเบสไอดีเอสสามารถตรวจจับทุก ๆ แพ็กเก็ตที่วิ่งไปยังระบบที่ถูกเฝ้าระวังภัยอยู่
ข้อเสียของเน็ตเวิร์คเบสไอดีเอส
- เน็ตเวิร์คเบสไอดีเอสจะแจ้งเตือนภัย ก็ต่อเมื่อตรวจพบแพ็กเก็ตที่ตรงกับซิกเนเจอร์ที่กำหนดไว้ก่อนหน้าเท่านั้น
- เน็ตเวิร์คเบสไอดีเอสอาจไม่สามารถตรวจจับแพ็กเก็ตได้ทั้งหมด ในกรณีที่มีการใช้เครือข่ายอย่างหนาแน่นจนทำให้ไอดีเอสวิเคราะห์แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไม่ทัน
หรือมีเส้นทางข้อมูลอื่นที่ไม่ต้องผ่านไอดีเอส
- เน็ตเวิร์คเบสไอดีเอสไม่สามารถสรุปได้ว่าการบุกรุกนั้นสำเร็จหรือไม่
- เน็ตเวิร์คเบสไอดีเอสไม่สามารถตรวจวิเคราะห์แพ็กเก็ตที่ถูกเข้ารหัสได้
- เครือข่ายที่ใช้สวิตช์นั้นต้องคอนฟิกเพื่อให้พอร์ตที่เชื่อมต่อกับไอดีเอสสามารถมองเห็นทุกแพ็กเก็ตที่วิ่งผ่านสวิตช์นั้น หรือการทำพอร์ตมิเรอริง
โฮสต์เบสไอดีเอสและเน็ตเวิร์คเบสไอดีเอส มีทั้งข้อดีและข้อเสียที่แตกต่างกัน เน็ตเวิร์คเบสสามารถใช้เฝ้าระวังและครอบคลุมเครือข่ายได้มากกว่า
จึงเป็นทางเลือกที่ประหยัดกว่า แต่โฮสต์เบสไอดีเอสจะเหมาะสำหรับการเฝ้าระวังภัยที่อาจสร้างโดยผู้ใช้ของเครือข่าย
การเลือกประเภทของไอดีเอสให้เหมาะสมขึ้นอยู่กับภัยที่คุกคามเครือข่ายขององค์กร
การวิเคราะห์และตรวจจับการบุกรุก
การวิเคราะห์และตรวจจับการบุกรุก
ไอดีเอสส่วนใหญ่จะใช้ 2 วิธีในการวิเคราะห์เพื่อตรวจจับการโจมตี หรือความพยายามในการโจมตี การตรวจจับการใช้งาน
ในทางที่ผิดและการตรวจจับเหตุการณ์ผิดปกติ ส่วนใหญ่การตรวจจับการใช้งานในทางที่ผิดนิยมใช้ในไอดีเอสทั่วไป
ส่วนการตรวจจับเหตุการณ์ผิดปกติกำลังเริ่มนำมาใช้งาน ทั้งสองวิธีในการตรวจจับก็มีทั้งข้อดีและข้อเสียที่แตกต่างกัน ไอดีเอสที่มีขายตามท้องตลาดในปัจจุบันก็จะใช้ทั้งสองวิธีนี้ควบคู่กันไป
เครื่องมือที่ช่วยเพิ่มประสิทธิภาพให้กับระบบการรักษาความปลอดภัยขององค์กร และเป็นเครื่องมือใหม่ที่ยังต้องการพัฒนาอย่างต่อเนื่อง
การแจ้งเตือนภัยของ IDS
เครื่องมือที่ช่วยเพิ่มประสิทธิภาพให้กับระบบการรักษาความปลอดภัยขององค์กร และเป็นเครื่องมือใหม่ที่ยังต้องการพัฒนาอย่างต่อเนื่อง
ทำให้องค์กรส่วนใหญ่ยังขาดประสบการณ์เกี่ยวกับการปฏิบัติต่อไอดีเอส แต่ยังมีความจำเป็นที่ต้องมีการฝึกอบรมผู้ปฏิบัติและประสบการณ์
ของผู้ดูแลระบบก็ยังมีความสำคัญ ประสิทธิภาพของไอดีเอสจะไม่มากไปกว่าประสิทธิภาพของผู้ดูแลระบบกล้องวงจรปิด
ส่วนใหญ่การโจมตีทางเครือข่ายจะเป็นรูปแบบเฉพาะ ทำให้ระบบการรักษาความปลอดภัยของระบบใช้ไม่ได้
ประเภทของการโจมตี
ส่วนใหญ่การโจมตีทางเครือข่ายจะเป็นรูปแบบเฉพาะ ทำให้ระบบการรักษาความปลอดภัยของระบบใช้ไม่ได้
แม้ว่าการโจมตีจะมีหลากหลายรูปแบบก็ตาม แต่ผลลัพธ์ก็คือ เป็นการทำลายคุณสมบัติ 4 ประการของการรักษาความปลอดดภัย คือ
- ความลับ การโจมตีที่เป็นการทำลายความลับของข้อมูล การที่ผู้บุกรุกสามารถเข้าถึงข้อมูลโดยที่ไม่ได้รับอนุญาตจากเจ้าของข้อมูล ไม่ว่าจะเป็นการตั้งใจหรือไม่ก็ตาม
- ความคงสภาพ การโจมตีถือว่าเป็นการลำลายความคงสภาพของข้อมูล การที่ผู้บุกรุกสามารถเปลี่ยนแปลงแก้ไขระบบ หรือข้อมูลที่อยู่ในระบบ หรือที่อยู่ระหว่างการถ่ายโอนผ่านเครือข่าย
- ความพร้อมใช้งาน การโจมตีที่เป็นการทำลายความพร้อมใช้งาน การโจมตีที่ทำให้ผู้ใช้หรือผู้ที่ได้รับอนุญาตไม่สามารถเข้าถึงและใช้งานระบบหรือข้อมูลได้
- การควบคุมการเข้าถึง การโจมตีที่ทำให้ผู้ที่ไม่ได้รับอนุญาต หรือผู้บุกรุกสามารถเข้าใช้ระบบได้ ซึ่งเป็นผลทำให้ความลับ ความคงสภาพ และความพร้อมใช้งานถูกละเมิดด้วยเช่นกัน
- ความลับ การโจมตีที่เป็นการทำลายความลับของข้อมูล การที่ผู้บุกรุกสามารถเข้าถึงข้อมูลโดยที่ไม่ได้รับอนุญาตจากเจ้าของข้อมูล ไม่ว่าจะเป็นการตั้งใจหรือไม่ก็ตาม
- ความคงสภาพ การโจมตีถือว่าเป็นการลำลายความคงสภาพของข้อมูล การที่ผู้บุกรุกสามารถเปลี่ยนแปลงแก้ไขระบบ หรือข้อมูลที่อยู่ในระบบ หรือที่อยู่ระหว่างการถ่ายโอนผ่านเครือข่าย
- ความพร้อมใช้งาน การโจมตีที่เป็นการทำลายความพร้อมใช้งาน การโจมตีที่ทำให้ผู้ใช้หรือผู้ที่ได้รับอนุญาตไม่สามารถเข้าถึงและใช้งานระบบหรือข้อมูลได้
- การควบคุมการเข้าถึง การโจมตีที่ทำให้ผู้ที่ไม่ได้รับอนุญาต หรือผู้บุกรุกสามารถเข้าใช้ระบบได้ ซึ่งเป็นผลทำให้ความลับ ความคงสภาพ และความพร้อมใช้งานถูกละเมิดด้วยเช่นกัน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น