Feeds:
Posts
Comments

Archive for the ‘FTP’ Category

การโจมตีชนิด Brute Force Password เป็นอีกกรณีศึกษาหนึ่ง ซึ่งเข้าข่ายฐานความผิดตามมาตรา 5 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ ที่กล่าวว่า “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีมีไว้สำหรับตน ..”

กรณีศึกษาการ FTP Brute Force Password

บริษัท A ได้มีการเปิด FTP Server เพื่อใช้ในการ Upload / Download เอกสารข้อมูล ซึ่งได้ตั้ง FTP Server ใน DMZ Zone

เมื่อบริษัท A ได้ติดตั้งอุปกรณ์ SRAN Security Center

เวลา 7:03 AM ผู้ดูแลระบบเฝ้าสักเกตพฤติกรรมการใช้ ระบบเครือข่ายในบริษัท A เมื่อคลิกหน้าจอ Https://sranserver เพื่อเฝ้าระวังภัยว่ามีความเสี่ยงตามมาตราใด ที่อาจจะส่งผลกระทบต่อระบบเครือข่ายบริษัท พบว่า

ข้อดีประการหนึ่งของอุปกรณ์ SRAN คือสามารถทำ Data Correlation เปรียบเทียบเหตุการณ์ และความเสี่ยงเพื่อจับเหตุการณ์ที่เกิดขึ้นเชื่อมโยงกับฐานความผิดตามมาตราต่างๆ ที่แปลได้ทางเทคนิค ซึ่งทำให้ผู้ดูแลระบบ รู้ทันปัญหาได้สะดวกขึ้น (ซึ่งฐานความผิดนี้เกิดจากอุปกรณ์ ต้องผ่านการวิเคราะห์จากบุคคลที่ผ่านการอบรมจาก SRAN http://www.gbtech.co.th/th/training/sran-usm-course)

เมื่อผู้ดูแลระบบพบว่ามีความเสี่ยงตามมาตรา 5 อยู่ พบว่าหนึ่งในเหตุการณ์นั้นคือลักษณะการใช้งาน Application ของการใช้ FTP ซึ่งตั้งค่า IP สำหรับ FTP Server เป็น IP ภายในองค์กรที่ 192.168.1.3 จึงทำการวิเคราะห์ผลเฉพาะเจาะจงที่การใช้งาน FTP จึงพบว่า

จากรูปพบว่ามีการ Login FTP ผิดจำนวน 447 ครั้ง มีการพยายาม Login อยู่ 754 ครั้ง

ผู้ดูแลระบบจึงทำการวิเคราะห์การ Login ผิด ผ่านระบบ FTP ซึ่งอาจหมายถึง User ถูก แต่ Password ผิด หรือทั้ง User / Password ผิด ซึ่งเข้าข่ายเป็นชนิดการโจมตีที่เรียกว่า Brute Force Password

จากรูปพบว่ามีการ Login ผิดจาก IP 219.254.34.82 จำนวนถึง 404 ครั้ง ตั้งแต่ช่วงเวลา 02:45 – 06:40 AM

เมื่อทำการวิเคราะห์ข้อมูลต่อโดยใช้อุปกรณ์ SRAN Security Center เพื่อดูย้อนหลังเหตุการณ์ที่ผ่านมาพบว่า

มีการ Login ผิดในหนึ่งนาที ผิดอยู่ 2 ครั้ง จึงทำการตรวจสอบประวัติ IP ดังกล่าว

พบประวัติดังนี้

มีการพยายาม Login อยู่ 221 ครั้ง ตั้งแต่เวลา 02:45 ถึง 06:40 และมีการ Login ผิดอยู่ 404 ครั้ง ตั้งแต่เวลา 02:45 – 06:40 AM

IP จากเกาหลี ,ผู้ดูแลระบบมั่นใจว่าเป็นการ Brute Force Password ผ่าน FTP Server ที่ตั้งขึ้นใน DMZ โซนบริษัท กรณีเดียว ซึ่งเป็นการตั้งใจเข้าถึงระบบโดยมิชอบ ผู้ดูแลระบบจึงทำการ Block IP ดังกล่าว

มีทำการ Add IP blacklist เข้าสู่ระบบ SRAN Security Center แล้วทำให้ IP ดังกล่าวไม่สามารถทำการ Brute Force ได้สำเร็จ

การจะ Block IP ได้นั้นต้องติดตั้งอุปกรณ์ SRAN ได้ 2 วิธี

วิธีที่ 1 ติดตั้งแบบ In-line Mode แบบนี้จะสามารถป้องกันภัยคุกคามได้อย่างอัตโนมัติ เนื่องจากใช้เทคโนโลยี IPS (Intrusion Prevention System) เข้ามาเกี่ยวข้อง แต่เนื่องจากวิธีนี้มีผลกับ Throughput ระบบเครือข่ายจึงไม่แนะนำให้ใช้กับองค์กรที่มีจำนวนเครื่องลูกข่ายเกิน 100 เครื่องขึ้นไปใช้วิธีนี้

วิธีที่ 2 ติดตั้งแบบ Transparent Mode แบบนี้จะสามารถป้องกันภัยได้ โดยการเฝ้าระวังและป้องกันได้เพียงระดับ IP / MAC Address และชื่อ Domain

เพียงใช้อุปกรณ์ SRAN Security Center ให้เหมาะสมถูกต้องกับรุ่นที่แนะนำ http://www.gbtech.co.th/th/product/usm

ก็จะทำให้ท่านสามารถรู้ทันภัยคุกคามและปัญหาต่างๆ ที่อาจเกิดขึ้นบนระบบเครือข่าย อีกทั้งเก็บบันทึกข้อมูลจราจร และวิเคราะห์ข้อมูลได้อย่างสะดวกสบายขึ้น ซึ่งเป็นการนำ Log ดิบ ทำให้เป็น Log สุก อ่านเข้าใจง่าย

พึ่งระลึกเสมอว่าไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้ 100% แต่เราสามารถทำให้ ตื่นรู้ เพื่อรู้ทันเหตุการณ์ วิเคราะห์หาสาเหตุและแก้ไขปัญหาได้อย่างถูกต้อง ซึ่งทั้งหมดนี้ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บ Log ช่วยคุณได้

Advertisements

Read Full Post »

FTP

ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้งาน FTP

ลักษณะการใช้งานการสนทนาผ่านโปรแกรม Upload / Download

1. ชื่อฐานข้อมูล Signature : FTP Login Attempted

หมายเลข : NDF001

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : เป็นการบันทึกข้อมูลจราจร  User Login บน FTP

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event) เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ไอพีต้นทาง (Source IP) ไอพีปลายทาง (Destination IP) ในการติดต่อสื่อสาร

What : เป็นลักษณะการ Upload files หรือ Download Files

Where : IP Server Upload/Download หรือ Domain Name

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการใช้สนทนาโดยใช้โปรแกรม Upload/Download

2. ชื่อฐานข้อมูล Signature : FTP Download File Data Traffic

หมายเลข : NDF002

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : เป็นการบันทึกข้อมูลจราจร  Download Files

3. ชื่อฐานข้อมูล Signature : FTP Upload File Data Traffic

หมายเลข : NDF003

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก  : เป็นการ Upload Files

4. ชื่อฐานข้อมูล Signature : FTP Login Success

หมายเลข : NDF004

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : การ Login ที่ถูกต้อง

5. ชื่อฐานข้อมูล Signature : FTP Login Failed

หมายเลข : NDF005

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก :  เป็นการ Login ที่ผิด

6. ชื่อฐานข้อมูล Signature : FTP Logout

หมายเลข : NDF006

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : เป็นการ  Logout ออกจากระบบ

Read Full Post »