Feeds:
Posts
Comments

Archive for October, 2005

Go to SOC

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

SRAN Community ต้องการสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

– นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24×7 ชั่วโมง

– นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

– นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

– ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

– เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

– เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

– ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

– ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

– ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

– ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

– ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

– ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

– ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

– เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

– ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การ นำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จาก จุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือ ข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัด รับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่ง มีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

์Nontawattana Saraman

25/10/48

Advertisements

Read Full Post »

Network Jail

เครือข่ายในกรงขัง หรือ เรียกว่า “Network Jail”

เป็นศัพท์ที่เิกิดจากจิตนาการของผู้เขียนเอง ยังไม่ได้ระบุที่ใดมาก่อน ดังนั้นบทความนี้จึงเป็นเพียงแนวความคิด

จุดประสงค์หลักของบทความนี้ เพื่อที่จะเสนอแนวความคิด การกักขังข้อมูลที่ไม่พึ่งประสงค์ ในเครือข่ายสำหรับงานวิจัย

บทความนี้แบ่งเป็น 3 ตอน

ตอนแรกจะกล่าวถึง เทคโนโลยีการสร้าง honeynet ในยุค Gen II

ตอนที่สองจะกล่าวถึง การใช้ sinkhole บน WAN เทคโนโลยี และระบุตัวตนของ IP โดยใช้เทคโนโลยี Backscatters

ตอนที่สามเปิดเผย Network Jail ตามจิตนาการของผู้เขียน

ในบทความนี้จะกล่าวถึง

1. แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

2. เทคโนโลยี Honeynet จาก <Honeynet Project> ในยุค Gen II และเป็นแบบ High-Interaction Honeypots

3. เทคโนโลยี Sinkholes และ Backscatter

4. การประยุกต์รวมเทคโนโลยีเพื่อสร้างเครือข่ายในกรงขัง

ในตอนที่ 1 จะกล่าวถึง หัวข้อที่ 1 และ 2 ตามลำดับ

แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

เราทราบกันดีอยู่ว่าไม่สามารถที่จะหยุดยั้งการบุกรุกที่เกิดขึ้นในเครือข่าย ได้ ไม่ว่ากรณีใดๆ สำหรับงานวิจัยแล้วการบุกรุกและพัฒนาอุปกรณ์ด้านความปลอดภัย รวมถึง ซอฟแวร์ที่ใช้เพื่อเสริมความปลอดภัยให้กับองค์กร เป็นสิ่งที่ต้องเรียนรู้กันอยู่ตลอดเวลา การสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ จึงเป็นส่วนหนึ่งของการวิจัยเพื่อที่จะ

– ศึกษาพฤติกรรมการบุกรุกระบบเครือข่าย

– พัฒนาฐานข้อมูลการบุกรุกเพื่อใช้ในการสร้างผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (Firewall /IDS /IPS) และฐานข้อมูลให้บริการโปรแกรมด้านความปลอดภัยไม่ว่าเป็น software Anti-virus/Spyware/Spam

– เพื่อปรับปรุงแนวทางการป้องกันภัยคุกคามใหม่

ใน 3 ข้อนี้เป็นแกนหลักในการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ ที่เรียกว่า Network Jail ขึ้น

เทคโนโลยี Honeynet Gen II

หลักใหญ่ๆ การสร้าง Honeynet มี 3 หัวข้อที่พึ่งสังเกต

1. เรื่อง Data Control คือการควบคุมการเข้าออกข้อมูลสารสนเทศ โดยกำหนด

Interface สำหรับ External Nework , Internal Network และ Remote management โดยผ่านเทคโนโลยี Iptables มาใช้ทำ Bridge (การทำ Bridge ไม่จำเป็นต้องบน iptables อาจใช้ tools บน BSD มาใช้ร่วมได้เช่น ipfw เป็นต้น) ในส่วน Data Control จะใช้ควบคุมพฤติกรรมต่อเนื่องที่เป็นการโจมตี ไม่ว่าเป็นเรื่องของ session limit , Bandwith Rate Limitation รวมถึงการระบุช่วง IP ในการเข้า ออก (Firewall แบบ packet filtering)

ใน Honeynet project การใช้ Data Control จะมี tools หนึ่งที่เรียกว่า Honeywall ซึ่งจากภาพที่นำมาเสนอจะบอกถึงหลักการการขนส่งข้อมูลในแต่ละ interface ที่เกิดขึ้น และบังคับข้อมูลให้ส่งผ่านตามที่ต้องการ

2. Data Capture จะเกี่ยวกับการตรวจตาเฝ้าระวังภัย ประกอบด้วย

– อ่านค่า log เหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย (Network Intrusion Detection System) จาก Syslog server ต่างๆ ที่เกี่ยวกับการสร้าง Honeynet

– การตรวจค่าความเที่ยงตรงข้อมูล (Host Integrity Monitoring) ไม่ว่าที่เกี่ยวกับ keystrokes, การ uploads files การเปลี่ยนค่าของ files และ การกรอก passwords

เครื่องมือที่ใช้ ใน Honeynet Project ในส่วน Data Capture คือ

1. snort เป็น NIDS และ HIDS

2. Sebek ใช้สำหรับเป็น Keystrokes log

3. Data Analysis จะเกี่ยวกับการวิเคราะห์ข้อมูลระดับ content เพื่อใช้ในการสืบค้นหา และเพื่อวิจัยต่อไป

ใน Honeynet Project มีเครื่องมือที่ใช้ ส่วนใหญ่เป็นเชิงการพิสูจน์หลักฐานทางอิเล็คทรอนิค (Forensics toolkit) ได้แก่

1. Sleuthkit ใช้สำหรับงานวิเคราะห์หลังการเกิดเหตุการณ์ที่ไม่พึ่งประสงค์

2. ACID (Analysis Console for Intrusion Databases ) เป็นตัวแสดงผลการตรวจจับข้อมูลจาก snort ซึ่งพัฒนาจากทีม CERT

ทั้ง 3 ส่วนหลักการของการสร้าง honynet เป็นการบ่งบอกถึงสร้างเครือข่ายเพื่อเป็นหลุมพรางไว้ ให้ผู้บุกรุกและไม่ใช่ผู้บุกรุกระบบเครือข่ายก็ดีได้ติดกับดักไว้

ใน ส่วนการทำ Low Interaction Honeypots และ High Interaction Honeypots คือการสร้างแบบเสมือนขึ้นบนระบบปฏิบัติการ OS (Operating System)

Low Interaction จะเกิดขึ้นบนเครื่องเดียวที่เรียกว่า honeypots PC หมายถึงหลอกให้เข้าเครื่องนี้เพียงเครื่องเดียวและบันทึกเหตุการณ์ไว้ ในส่วน Low Interaction จะไม่มีเรื่องการทำ Data Control มีเพียง Data Capture และ Data Analysis

High Interaction เกิดจากการพัฒนาเทคโนโลยี สร้างความเสมือนจริงให้เกิดขึ้นกับระบบปฏิบัติการ OS (Operating System) โดยใช้ OS เสมือนเหล่านี้สร้างเป็นเครือข่าย และทำการสร้าง honeynet เกิดขึ้นบนระบบปฏิบัติการ

จาก ภาพจะเห็นว่า หมายเลข 1 คือการทำ Data Control โดยใช้เครื่องมือ honeywall ทำการกำหนดข้อมูลและส่งไปยังเครื่องเสมือนที่เรียกว่า Honeypot ที่เป็นแบบ Low Interaction และหมายเลขที่ 3 เป็น Honeypots แบบ High Interaction โดยทั้ง 3 ส่วนที่ผสมผสานกัน จะเรียกว่า Honeynet

ภาพเครือข่าย Honeynet ในยุค Gen II จึงเป็นการสมมุติฐานว่าทุกข้อมูลที่เข้าสู่วงเครือข่าย Honeynet จะถูกบันทึกและเก็บเป็นหลักฐานหมด ซึ่งยังไม่ใช่จุดประสงค์ของการทำ Network Jail ที่ผู้เขียนคิดไว้

ในตอนหน้าจะกล่าวถึง การใช้เทคโนโลยี sinkhole และ backcatters และเผยการออกแบบ Network Jail ในบางส่วน

บทความนี้ขอสงวนสิทธิ ในการเผยแพร่ ต้องรับอนุญาตจากทางบริษัท Global Technology Integrated

Nontawattana Saraman

24/10/48

ข้อมูลอ้างอิงบทความ

http://www.honeynet.org/papers/gen2/

http://www.honeyd.org/background.php

http://www.nanog.org/mtg-0306/sink.html

http://ebtables.sourceforge.net/

รูปประกอบจาก http://www.honeynet.org.es/papers/vhwall/

Read Full Post »