 |
| ThaiCERT:
Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย |
|
|
||||||||
|
|
|||||||
ชื่อเรื่อง : Basic Intrusion Detection FAQ [3]
- Products & Honeypots and Deception Systems
เรียบเรียงโดย : ร.อ. วิวัต เรืองมี
เรียบเรียงเมื่อ : 17 สิงหาคม 2544
4. Products
Q: ท่านสามารถค้นหา freeware/shareware IDS
ได้จากที่ไหน ?
A: ท่านสามารถดูได้ที่ web site ของ COAST
Intrusion Detection System Resources http://www.cs.purdue.edu/coast/ids
Q: Commercial IDS ในขณะนี้มีอะไรบ้าง ?
A: Commercial IDS ซึ่งมีอยู่ในขณะนี้ได้แก่
Q: ระบบ "network grep " คืออะไร
?
A: "network grep " เป็นระบบที่จะหา
pattern ของข้อมูลในเครือข่าย โดยการใช้ "regular expression" parser
ตัวอย่างเช่น pattern คือ "/cgi-bin/phf" ซึ่งจะบ่งบอกถึงความพยายามในการเข้าใช้จุดอ่อนของ
cgi script ที่เรียกว่า "phf" หลังจากที่มีการสร้างระบบนี้ขึ้นมาแล้ว
ท่านสามารถที่จะวิเคราะห์การโจมตีที่รู้จักกันดีหรือระบุ string และทำการเก็บข้อมูลของ
pattern นั้น ๆ
ในระบบที่ใช้ UNIX , "Regexp" หรือ "Regular Expression"
เป็นภาษาที่ใช้ในการหา pattern ซึ่งในสมัยก่อนเราใช้ Regexp ในการค้นหา text file
แต่เราสามารถใช้ Regexp ในการค้นหา binary date ได้อีกด้วย
"libpcap" หรือ "library for packet capture" คือ library ที่ใช้ในการ "sniff" packet ในระบบ UNIX soure code ของทั้ง Regexp และ libpcap นั้นเป็น free module ซึ่ง IDS ส่วนใหญ่ทำการป้อน output ที่ได้จาก libpcap เข้าสู่ Regexp parser ซึ่ง expression จะได้มาจากไฟล์ในดิสก์ หรือในระบบง่าย ๆ อาจไม่ต้องใช้ Regular expression ด้วยซ้ำ แต่โดยการเปรียบเทียบ packet กับ byte pattern ซึ่งรู้จักกันดี
IDS ประเภทนี้มีข้อดีอย่างหนึ่งคือ ง่ายในการ update แม้ว่าระบบนี้จะมี "signature" จำนวนมหาศาล แต่บางครั้งก็จะตรวจจับการบุกรุกที่รุนแรงได้เพียงน้อยครั้ง ตัวอย่างเช่น ข้อมูลของ Back Orifice ซึ่งมี default password จะเริ่มต้นด้วย "CE63D1B216E713CF" แม้ว่าประมาณ 80 % ของการโจมตีของ Back Orifice จะใช้ default password แต่ยังมีอีก 20 % ซึ่งใช้ password ที่ต่างออกไป และไม่มีการถูกตรวจจับโดย IDS รวมทั้งจะเกิด false alarm บ่อยครั้งใน IDS ประเภทนี้ ตัวอย่างเช่น ข้อมูลของ Back Orifice 64 - bit pattern ซึ่งจะไม่ค่อยปรากฏใน traffic อื่น ๆ ซึ่งลักษณะดังนี้จะทำให้ alarm ทำงาน ถึงแม้ว่าจะไม่มี Back Orifice จริง ๆ ก็ตามแต่ ตัวอย่างของ IDS ประเภทนี้คือ Dragon , Snort และ Argus
3. Honeypots and Deception Systems
Q: honeypot คืออะไร ?
A: honeypot คือระบบซึ่งออกแบบมาเพื่อให้ดูเหมือนว่าเป็นสิ่งที่ผู้บุกรุกสามารถที่จะ
hack ได้ เช่น
Q: ข้อดีของ honeypot มีอะไรบ้าง ?
A: NIDS โดยทั่วไปจะมีปัญหาในการแยกแยะ traffic
ว่า traffic ไหนที่เป็นการ hack หรือไม่เป็นการ hack แต่ honeypot จะค่อนข้างสะดวกกว่าเนื่องจากว่า
traffic ที่มาสู่ honeypot เป็น traffic ที่น่าสงสัยทั้งสิ้น
Q: ข้อด้อยของ honeypot มีอะไรบ้าง ?
A:
Q: ท่านจะติดตั้ง honeypot ได้อย่างไร ?
A: การติดตั้ง
honeypot นั้นทำได้ง่าย เนื่องจากท่านสามารถใช้อุปกรณ์ hardware และ software ที่มีอยู่แล้ว
เป็น honeypot ได้ ในการติดตั้ง honeypot ซึ่งท่านต้องมีคือ
Q: ประเภทของ honeypot มีอะไร ?
A:
Q: ข้อดีและข้อเสียของการสร้างระบบที่จะให้ถูก
hacked ได้
A: server ซึ่งจะถูก hacked บ่อย ๆ คือระบบซึ่งไม่ได้
update patch และรันเวอร์ชันเก่าของ Linux , Solaris 2.6 และ Microsoft IIS 4.0
ดังนั้นท่านควรจะสร้าง honeypot ซึ่งประกอบด้วยระบบดังกล่าวข้างต้น
ข้อดี
| Home
|| เอกสารเผยแพร่ || IDS
ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved. |