ACIS Article

จะลงทุนกับ IDS, IPS หรือ Honeypots อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนที่ 1)
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
E-mail:

ทุกท่านคงคุ้นเคยกับ "IDS" (Intrusion Detection System) ซึ่งในประเทศไทยเวลานี้ องค์กร ใหญ่ๆ ทั้งภาครัฐและเอกชน ได้มีการติดตั้ง IDS เพิ่มเติมความแข็งแกร่งให้กับระบบ Information Security ขององค์กร เนื่องจากจะหวังพึ่ง Firewall อย่างเดียวนั้นเห็นจะไม่เพียงพอ เพราะ Firewall โดยปกติแล้ว ไม่สามารถป้องกันพวก Hacker ได้ 100% และ Firewall เองก็ยังไม่เข้าใจลักษณะของการบุกรุกในแบบต่างๆ ที่ Hacker ใช้ในการโจมตีระบบ จึงจำเป็นที่ต้องมี IDS ไว้เพื่อตรวจจับและวิเคราะห์ Anomaly IP Packet ที่ต้องสงสัยว่าเป็นการเจาะระบบหรือไม่ โดย IDS จะทำหน้าที่ตรวจจับและแจ้งเตือนให้ผู้ดูแลระบบรับทราบ เพื่อดำเนินการป้องกันได้ทันท่วงที

ปัญหาของ IDS ก็คือ บางที IDS ไม่สามารถตรวจจับการบุกรุกได้ เนื่องจากมีปัญหาเรื่องการทำงานกับสภาวะแวดล้อม Switching หรือ ทำงานกับระบบ Gigabit Ethernet ที่มีความเร็วสูง (ปกติ IDS โดยทั่วไปจะมีปัญหาเมื่อ Bandwidth ของระบบมากกว่า 600 Mbps)

นอกจากนี้ ยังเจอปัญหาอื่นๆ อีก เช่น ในกรณีของ Signature Based IDS นั้น บางครั้ง Signature ของการบุกรุกในแบบต่างๆ ที่ IDS รู้จักไม่ได้ถูก update อย่างสม่ำเสมอ ทำให้ IDS ไม่สามารถตรวจจับการบุกรุกได้ และ ยังเจอกับเทคนิคของพวก Hacker ที่เรียกว่า "IDS Evasion" โดย Hacker จะทำการยิง IP Packet ที่มีการดัดแปลง IP Header แปลกๆ เพื่อหลบเลี่ยงการทำงานของ IDS ตลอดจน Anomaly IP Packet แบบต่างๆ ที่มีการปรับแต่งให้แตกต่างออกไปจาก IP Packet ปกติ ทำให้ IDS ไม่สามารถตรวจจับและเตือนเราได้อย่างถูกต้อง

แต่ปัญหาที่สำคัญที่สุดของ IDS ก็คือ โดยส่วนใหญ่แล้ว IDS ไม่สามารถป้องกันการบุกรุกในลักษณะ "Real Time" ได้ เช่นการจู่โจมแบบ DoS (Denial of Services) หรือ DDoS (Distributed Denial of Services) Attack จากปัญหานี้ จึงมีคนคิดค้นเทคโนโลยีใหม่ขึ้นมา เรียกว่า "IPS" (Intrusion Prevention System) ซึ่งเราอาจจะให้คำจำกัดความง่ายๆ ว่า "IPS" = "IDS"+ "Active Response" หมายถึง IPS สามารถป้องกันการบุกรุกและหยุดการบุกรุกได้ทันท่วงที

IPS นั้น แบ่งออกเป็น 2 Generations ใน Generation แรกนั้น การหยุดการบุกรุกทำได้โดยการส่งสัญญาณ TCP Reset จัดการกับ TCP Session ที่ IPS คิดว่าเป็นการบุกรุกหรืออาจจะเข้าไปเปลี่ยนแปลงแก้ไข Rules Based ใน Firewall แบบอัตโนมัติ ซึ่งบางครั้งอาจเกิดความผิดพลาดได้ สำหรับ IPS ใน Generation ที่ 2 นั้น ได้มีการปรับปรุงให้เป็นลักษณะ "Intelligent Network Element" ซึ่งสามารถรู้จักเทคนิคของพวก Hacker เช่น IDS Evasion หรือ Anomaly IP Packet โดยมีการวิเคราะห์ IP Packet Traffic อย่างละเอียด

IPS รุ่นใหม่ที่มีความฉลาดมากขึ้นนั้น มีการใช้เทคโนโลยีขั้นสูงในการวิเคราะห์ข้อมูล เช่น Neutral Network และ Fuzzy Logic ซึ่งจะทำให้ลดปัญหา Fault Positive และ Fault Negative ลงได้อย่างมาก ตลอดจน เนื่องจาก IPS ใช้หลักการเปรียบเทียบข้อมูล แปลกปลอมจากการปรับแต่ง IP Packet โดยใช้มาตรฐาน RFC ของ IETF ในการตัดสินใจ ทำให้ IPS บางรุ่น สามารถป้องกันการ โจมตีแบบ DoS หรือ DDoS Attack ได้ด้วย

ปัญหาของ IPS ก็มีเหมือนกัน ที่ชัดเจนเลยก็คือ ยังมีราคาค่อนข้างแพงมาก เมื่อเปรียบเทียบกับ IDS ส่วนใหญ่แล้ว IPS ที่มาใน ลักษณะของ Network Appliance นั้นจะมีราคาในหลักล้านบาทขึ้นไป และ การทำงานของ IPS จะใช้หลักการที่เรียกว่า "Inline" หรือ บางตำราเรียกว่า"Gateway IDS" คือ มีการนำ IPS ไปกั้นกลางระหว่าง ต้นทาง กับ ปลายทาง ของเส้นทางการส่งข้อมูล โดยไม่ต้องมีการกำหนด IP address ให้กับตัว IPS ปัญหาก็คือ หากตัว IPS เกิดเสีย ถ้า IPS ไม่สามารถ Bypass ตัวเองได้ ก็จะทำให้เกิดปัญหาในการรับส่งข้อมูลระหว่างต้นทางกับปลายทาง ตลอดจนถ้า IPS ตัดสินใจผิด การ "Block" IP Packet ที่ IPS คิดว่าเป็นการบุกรุก แต่จริงๆ แล้วเป็น Traffic การใช้งานธรรมดา ก็จะเกิดปัญหากับผู้ใช้งานทั่วไปได้เช่นกัน

ในฉบับหน้าผมจะมาสรุปว่า เราควรใช้ IDS หรือ IPS ดี? และ แนะนำอีกทางเลือกหนึ่งก็คือ "Honey pots" อย่าลืมติดตามนะครับ

จาก : หนังสือ eWeekThailand
ปักษ์หลัง เดือนสิงหาคม
Update Information : 9 สิงหาคม 2546