Pages

Translate

Saturday, June 14, 2014

Intrusion Detection System (IDS) ကိုအသုံးျပဳ၍ Unauthorized Access မ်ားဝင္ေရာက္လာမႈကို ကာကြယ္ျခင္း အေၾကာင္း တေစ့တေစာင္း

Intrusion Detection System (IDS) ဆိုသည္မွာအဘယ္နည္း။

Intrusion Detection System (IDS) ဆိုသည္မွာ မိမိတို႔ရဲ႔ Network Infrastructure ႀကီးတစ္ခုလုံးရဲ႕ Network ေတြနဲ႔ System ေတြရဲ႕ လႈံၿခံဳေရးကို ေစာင့္ၾကည့္ေပးေနၿပီး Network အတြင္းတြင္ Malicious Activity မ်ားေတြ႔ရိွပါက Alert ကဲ့သို႔ Report မ်ားထုတ္ေပးႏိုင္တဲ့ Intrusion Detection System တစ္ခုပဲ ျဖစ္ပါတယ္။ IDS ကို သီးျခား Device အေနနဲ႔ ေသာ္လည္းေကာင္း Software Application ျဖင့္ေသာ္ လည္းေကာင္း အသုံးျပဳႏိုင္ပါသည္။ IDS ကို Passive Security Solution လုိ့လည္းေျပာနိုင္ပါသည္။ အဘယ့္ေၾကာင့္ဆိုေသာ္ Network ေပၚရိွ Intrusion ႏွင့္ပတ္သက္ေသာ Malicious Activity မ်ားကို Detect သိၿပီး Alert ေပးရံုအဆင့္သာျဖစ္ပါသည္။

Fig (1): Typical locations for an Intrusion Detection System

Intrusion Detection System (IDS) (၂) မ်ဳိးအေၾကာင္း။

Intrusion Detection System (IDS) ကို္ Network ေပၚတြင္ အေျချပဳ၍ေစာင့္ၾကည့္ျခင္း Network-based IDS (NIDS) ႏွင့္ Host ေတြ System ေတြေပၚတြင္ အေျချပဳ၍ေစာင့္ၾကည့္ျခင္း Host-based IDS (HIDS) ဟူ၍ (၂) မ်ိဳးခဲြျခားထားပါသည္။
NIDS စနစ္ကို မိမိတို႔၏ Network အတြင္းသုိ႔ဝင္ေရာက္လာေသာ Traffic ေတြကို ေစာင့္ၾကည့္ရန္အတြက္ အသုံးျပဳပါသည္။ ဥပမာအားျဖင့္ တစံုတေယာက္မွ Firewall တြင္ထည့္သြင္းထားေသာ Rule ကုိေဖာက္၍ မိမိ Network အတြင္းသုိ႔ အတင္းဝင္ေရာက္ရန္ ႀကိဳးစားလာပါက NIDS သည္ Alert ေပးမည္ျဖစ္ပါသည္။
HIDS စနစ္ကို Network အတြင္းရိွ System တိုင္း Host တခုခ်င္းစီတိုင္းတြင္ Run ေပးျခင္းျဖင့္ Device တိုင္း၏ Inbound/Outbound Packet မ်ားတြင္ Suspicious Activity မ်ားကိုေတြ႔ရိွလာပါက ၄င္း Host/System အားအသုံးျပဳသူ User (သို႔မဟုတ္) Administrator သို႔ Alert ေပးပါမည္။

Fig (2): Network/Host based Intrusion Detection System

IDS ၏ Detection Method (၂) မ်ိဳးႏွင့္ ၄င္းတို႔၏ အားသာခ်က္၊ အားနည္းခ်က္မ်ား။

Unauthorized Access ေတြနဲ႔ Attack ေတြကို Detect လုပ္ရန္ IDS သည္ Signature-Based ႏွင့္ Anomaly-Based ဆိုတဲ့ Detection Method (၂) မ်ဳိးကို အသုံးျပဳပါတယ္။
Signature-Based IDS သည္ Network Traffic အတြင္းတြင္၀င္ေရာက္လာေသာ Data Packet မ်ား၏ ပုံစံကို Signature Database ထဲတြင္ႀကိဳတင္ Assign ေပးထားေသာ Attack Pattern မ်ားႏွင့္ တိုက္ဆိုင္စစ္ေဆးၿပီး Detect လုပ္ပါသည္။ ၄င္း Data Packet မ်ားသည္ Signature Database ထဲရိွ Pattern တခုခုႏွင့္ တူညီမႈရိွပါက IDS သည္ Alert ေပးပါသည္။ Signature Database ထဲတြင္ မရိွေသးေသာ Vulnerability အသစ္မ်ားႏွင့္ Exploit အသစ္မ်ားကိုမူ Detect လုပ္ေပးႏိုင္မည္မဟုတ္ပါ။ ထို႔ေၾကာင့္ Network Administrator မွ Signature အသစ္မ်ားကို Update ျပဳလုပ္ေပးရမည္ျဖစ္ပါသည္။ ထုိ႔ေၾကာင့္ Signature-Based IDS ကို Knowledge-Based IDS လုိ႔လည္းေခၚဆိုႏိုင္ပါတယ္။ Signature-Based IDS ကိုအသုံးျပဳျခင္းေၾကာင့္ အားနည္းခ်က္အေနျဖင့္ Signature Database ထဲတြင္သိမ္းထားေသာ ေျမာက္ျမားစြာေသာ Attack Pattern မ်ား၊ Signature မ်ားႏွင့္ တုိက္ဆိုင္စစ္ေဆးရေသာေၾကာင့္ Network Traffic သည္အနည္းငယ္ ေႏွးေကြးႏိုင္ပါသည္။
ဆက္လက္ၿပီး ဒုတိယ Method တခုျဖစ္တဲ့ Anomaly-Based IDS သည္ Network Administrator မွ သတ္မွတ္ထားေသာ Security Baseline အတုိင္းတိုက္ဆိုင္စစ္ေဆးၿပီး ၄င္း၏ ခ်မွတ္ထားေသာ Rule ႏွင့္ မညီညြတ္ပါက Malicious Activity ဟုယူဆကာ Alert ထုတ္ေပးပါမည္။ တနည္းဆိုရေသာ္ Signature Database ထဲတြင္ Assign မလုပ္ထားေသာ Normal မဟုတ္သည့္ Attack Pattern မ်ားကုိ Detect လုပ္ေပးပါသည္။ Security Baseline တြင္ Network အတြင္းရိွ System မ်ား၏ Internet Bandwidth အသုံးျပဳမႈ၊ Service မ်ားအသုံးျပဳမႈႏွင့္ Network Port မ်ား၏အသုံးျပဳမႈမ်ားကို သတ္မွတ္ျခင္းမ်ားပါ၀င္ပါသည္။ Anomaly-Based IDS သည္ Signature Database တြင္မရိွေသာ Traffic Pattern မ်ားကို ေတြ႔ရိွရသည့္ႏွင့္ တၿပိဳင္နက္ Attack Signature မဟုတ္ေသာ္လည္း Alert မ်ားေပးပါသည္။ ထို Alert မ်ားထဲတြင္ False Alert မ်ားပါ၀င္ႏိုင္ေသာေၾကာင့္ Anomaly-Based IDS ၏အားနည္းခ်က္တစ္ရပ္အျဖစ္ရိွေနပါေတာ့သည္။

Fig (3): Signature-Based IDS

Intrusion Detection System (IDS) Software မ်ားစြာရိွသည့္အနက္မွ Free ႏွင့္ Open source IDS တခုျဖစ္တဲ့ Snort သည္ Intrusion မ်ားကို Detect လုပ္ေပးသည့္အျပင္ Prevent ကိုပါလုပ္ေပးပါသည္။ Snort သည္ Intrusion Prevention System အတြက္ အမ်ားဆုံးအသုံးျပဳမႈႏွင့္ Standard တစ္ခုအေနျဖင့္ ရိွလာပါသည္။ Snort အား Install လုပ္မည္ဆုိပါက ၄င္းတို႔၏ Official Website ျဖစ္ေသာ www.snort.org တြင္ရရိွႏိုင္ပါသည္။

Reference:

http://en.wikipedia.org/wiki/Intrusion_detection_system
http://www.firewalls.com/blog/intrusion_detection/

0 comments:

Post a Comment