ระบบตรวจจับการบุกรุกหรือไอดีเอส IDS คือระบบที่ใช้ในการตรวจจับการพยายามเข้าใช้งานคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ ซึ่งการพยายามเข้าใช้งานดังกล่าวนั้นขัดกับกฎข้อบังคับของการใช้งานตามปกติ หรือการพยายามเข้าใช้งานที่ส่อแววถึงการบุกรุกระบบ ซึ่งส่งผลต่อความปลอดภัยของระบบคอมพิวเตอร์ อย่างไรก็ตามไอดีเอสยังมีข้อจำกัดอยู่อย่างหนึ่งคือหากตรวจพบการบุกรุกมันจะทำได้เพียงแค่แจ้งเตือนเท่านั้น ไอดีเอสไม่สามารถป้องกันการบุกรุกนั้น จึงมีการสร้างไอพีเอสขึ้นมา IPS โดยไอพีเอส IPSจะทำหน้าที่ตรวจจับการบุกรุกได้เช่นเดียวกันกับไอดีเอส แต่สิ่งที่มันทำได้มากกว่านั้นคือ สามารถหยุดยั้งการบุกรุกนั้นได้ เช่น สั่งบล็อคไอพีแอดเดรสที่ตรวจจับได้ว่ากำลังโจมตีระบบ
ความสำคัญของ IDS / IPS
เราสามารถเปรียบเทียบความปลอดภัยของคอมพิวเตอร์กับการรักษาความปลอดภัยของอาคาร สถานที่ได้ เช่น การรักษาความปลอดภัยของอาคาร สถานที่ นอกจากสร้างรั้วรอบบริเวณอาคาร สถานที่นั้นและมีกุญแจที่ใช้ล็อคประตูทางเข้าออกแล้ว ยังจำเป็นต้องจัดให้มีบุคคล หรืออุปกรณ์ที่คอยครวจสอบการบุกรุก โดยยามหรือ รปภ. จะคอยสังเกตพฤติกรรมของผู้ที่ผ่านเข้าออก เพื่อดูว่าใครที่มีท่าทางไม่น่าไว้วางใจ ส่วนอุปกรณ์ที่คอยตรวจสอบ เช่น อุปกรณ์ตรวจหาอาวุธหรือวัตถุระเบิด เป็นต้น ซึ่งระบบคอมพิวเตอร์ก็เช่นเดียวกัน ควรจะต้องมีระบบที่คอยตรวจจับการบุกรุกระบบ หรือความพยามยามยามในการบุกรุกระบบ
นักคอมพิวเตอร์จำนวนมากเข้าใจผิดคิดว่าไฟร์วอลล์สามารถป้องกันระบบของเราได้ 100% แต่ความจริงแล้วไฟร์วอลล์อย่างเดียวยังไม่เพียงพอ เช่น ผู้ดูแลระบบที่ตั้งค่ากฏไฟร์วอลล์เพื่อป้องกันการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ที่พอร์ตต่างๆ โดยอนุญาตให้เชื่อมต่อได้เพียงพอร์ต 80 เท่านั้น เมื่อมีแฮกเกอร์พยายามโจมตีช่องโหว่ของพอร์ต 139 หรือ 445 ไฟร์วอลล์จะสามารถป้องกันได้ แต่ถ้าหาก แฮกเกอร์โจมตีมายังเว็บแอพพลิเคชั่นโดยใช้พอร์ต 80 และถ้าเว็บเอพพลิเคชั่นมีช่องโหว่ แฮกเกอร์ก็สามารถโจมตีเว็บเซิร์ฟเวอร์ได้โดยที่ไฟร์วอลล์ยังคงเปิดพอร์ตนี้ไปเรื่อยๆและไม่มีการแจ้งเตือนใดๆ ดังนั้นเราควรมีระบบตรวจจับการบุกรุกระบบคอมพิวเตอร์ IDS เพื่อที่ IDS จะได้แจ้งเตือนเมื่อตรวจพบว่ามีผู้กำลังพยายามบุกรุกระบบคอมพิวเตอร์ IDS เปรียบเสมือนสัญญาณกันขโมย เพราะเมื่อใดที่มีคนพยายามงัดรถหรือขโมยรถ สัญญาณกันขโมยจะส่งเสียงร้องแจ้งเตือนเจ้าของรถทันทีทันใด
ประเภท IDS / IPS
เราสามารถแบ่งชนิดของ IDS / IDP ได้เป็น 3 ชนิด ได้แก่ Host based IDS Network based IDS และ IPS
Host based IDS
Host base IDS คือ IDS ที่ทำหน้าที่ตรวจจับการโจมตีได้เฉพาะในHostนั้นๆ เช่นโปรแกรม snort ที่ติดตั้งบนเครื่องเว็บเซิร์ฟเวอร์ที่คอยตรวจสอบการโจมตีที่เข้ามายังเว็บแอพพลิเคชั่นและการโจมตีมาที่พอร์ตอื่นๆ นอกเหนือจากพอร์ต 80 และ 443 แต่มันไม่สามารถแจ้งเตือนเมื่อเมล์เซิร์ฟเวอร์ ดีเอนเอสเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์อื่นๆ ที่วางอยู่ข้างๆโจมตี
ข้อดีของ Host based IDS
IDS ไม่ต้องทำงานหนักมากเนื่องจากมีหน้าที่ตรวจจับการบุกรุกเฉพาะโฮสต์ที่ติดตั้งซอฟต์แวร์
IDS ไว้ ทำให้สามารถตรวจจับการโจมตีได้ทันทุกรายระเอียด
ใช้งานง่าย เพราะปัจจุบันมี Host based IDS ที่เป็นซอฟต์แวร์ฟรีให้เลือกใช้หลากหลายตัว
ข้อเสียของ Host based IDS
โปรเซสของ IDS จะกินหน่วยความจำและ CPU ของเครื่องเซิร์ฟเวอร์ ทำให้ประสิทธิภาพการทำงานของเซิร์ฟเวอร์ลดลง
ต้องติดตั้ง ดูแล ตรวจสอบ Log file ของ IDS บนเซิร์ฟเวอร์แต่ละเครื่องทำให้เพิ่มภาระของผู้ดูแลระบบ
Network based IDS
Network based IDS คือ IDS ตัวเดียวที่ทำหน้าที่ตรวจจับการโจมตีเซิร์ฟเวอร์ ได้หลายเครื่องพร้อมกัน ตัวอย่างเช่น โปรแกรม snort ที่ได้การคอนฟิกที่วิ่งเข้ามายังเน็ตเวิร์กโดยผู้ดูแลระบบจะต้องคอนฟิกอุปกรณ์ Switch ให้มี Mirror Port เพื่อที่ทราฟฟิกที่มีจุดหมายไปยังเซิร์ฟเวอร์ต่างๆ จะได้ถูกส่งมาที่ IDS แล้วจากนั้น IDS ก็จะนำแพ็กเก็ตเหล่านั้นมาวิเคราะห์และแจ้งเตือนหากมีการบุกรุกเซิร์ฟเวอร์เครื่องใดเครื่องหนึ่ง
ข้อดีของ Network based IDS
โปรเซสของ IDS จะไม่กินหน่วยความจำและ CPU ของเครื่องเซิร์ฟเวอร์ เพราะไม่จำเป็นต้องติดตั้ง IDS บนเซิร์ฟเวอร์
ไม่ต้องติดตั้ง ดูแล หรือตรวจสอบ log file ของ IDS บนเซิร์ฟเวอร์แต่ละเครื่องเหมือนกับ Host based IDS
ข้อเสียของ Network based IDS
IDS ต้องทำงานหนักมากเนื่องจากมีหน้าที่ตรวจจับการบุกรุกของหลายๆโฮสต์พร้อมกัน ดังนั้น
IDS อาจจะไม่สามารถตรวจจับการโจมตีได้ทันทุกรายละเอียด
ติดตั้งใช้งานยากกว่า Host based IDS เพราะผู้ดูแลระบบจะต้องคอนฝิกให้ Switch มีพอร์ตหนึ่งทำงานเป็น Mirror Port
Network based IDS มักจะเป็นอุปกรณ์ฮาร์ดแวร์ ที่มีราคาแพง เรียกว่า Applicance
IPS
IPS นักคอมพิวเตอร์บางกลุ่มอาจจะเรียกว่า IDPS หรือ IDP เป็นอุปกรณ์ที่ทำงานเหมือนกับ Network based IDS แต่มีฟังก์ชั่นพิเศษเพิ่มเข้ามาคือ ป้องกันการโจมตีเมื่อตรวจพบการบุกรุก IPS มักจะเป็นอุปกรณ์ฮาร์ดแวร์และมีราคาสูงมากๆ ตัวอย่างเช่น IPS ได้แก่ Juniper networks IDP
ไม่มีความคิดเห็น:
แสดงความคิดเห็น