by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team

จากฉบับที่แล้ว เราได้เรียนรู้ลักษณะการทำงานและความแตกต่างของ IDS (Intrusion Detection System) และ IPS (Intrusion Prevention System) ตลอดจนข้อดีข้อเสียในการนำ IPS มาใช้งาน คำถามก็คือ แล้วเราควรจะใช้ IDS หรือ IPS ดี บางองค์กรมีการติดตั้งเฉพาะ Firewall โดยยังไม่มีการติดตั้ง IDS เลยด้วยซ้ำไป ในกรณีนี้ แนะนำว่าควรมีการติดตั้ง IDS ในองค์กรอย่างน้อยก็ควรอยู่ในบริเวณ DMZ (Demilitarized Zone) หรือบริเวณหน้า Firewall เพื่อตรวจจับการบุกรุกของ Hacker และยังตรวจจับการแพร่กระจายของ Virus ได้ด้วย

หากองค์กรยังไม่มีงบประมาณในการจัดซื้อ Commercial IDS ซึ่งราคาค่อนข้างสูง ก็แนะนำให้ใช้ Snort (http://www.snort.org) ซึ่งเป็น Open Source IDS เหมาะสำหรับองค์กรที่มีงบประมาณจำกัดเพราะ Snort สามารถทำงานบน Linux Platform ได้เป็นอย่างดี

กลับมาที่ IPS กับคำถามที่ว่า เราควรจะนำ IPS มาใช้ในระบบเครือข่ายของเราเลยหรือไม่ คำแนะนำก็คือ เทคโนโลยีของ IPS กำลังอยู่ในขั้นเริ่มต้น และ อยู่ระหว่างการพัฒนาเพื่อความเสถียรของตัว IPS เอง ดังนั้นเราควรนำ IPS มาศึกษาถึงจุดอ่อนแข็งเสียก่อนที่เราจะนำมาใช้งานจริงในระบบของเรา ยกตัวอย่าง โครงการ Snort ซึ่งเป็นโครงการพัฒนา IDS นั้นได้มีการพัฒนาเป็นโครงการที่เกี่ยวข้องกับ IPS โดยตรงใช้ชื่อว่า โครงการ Hogwash (http://hogwash.sourceforge.net) โดยมีการพยายามนำ Snort Engine มาแก้ไขโดยให้เพิ่มความสามารถป้องกัน (drop) การโจมตีของบุกรุกได้ โดยไม่เพียงแต่แจ้งเตือน (alert) อย่างเดียว ซึ่งปัญหาของ Hogwash ก็คือไม่ได้ใช้ Intrusion Signature ตัวเดียวกับ Snort ดังนั้นการพัฒนาการจึงมีลักษณะที่ไม่สอดคล้องกัน จึงมีแนวคิดที่จะทำให้ Snort เองมีความสามารถในลักษณะที่เป็น IPS โดยนำ Snort Engine, iptables มาทำงานร่วมกันโดยดักจับ Packet ที่ Layer2 (Data-Link Layer) ซึ่งมีลักษณะการทำงานแบบ Bridge (ดูรูปที่ 1)

และตั้งชื่อโครงการใหม่นี้ว่า “Snort Inline” (http://sourceforge.net/projects/snort-inline) ซึ่ง เป็น IPS ที่สามารถป้องกันการโจมตีของ Hacker อย่างได้ผล ตลอดจนสามารถนำมาใช้ในระบบเป้าหมายลวงเพื่อดักจับ Hacker ที่เรียกว่า “Honeypot” และ “Honeynet” ได้อย่างมีประสิทธิภาพอีกด้วย

“Honeypot” หรือ “เครื่องเป้าหมายลวง” หมายถึงเครื่อง Server ซึ่งอาจเป็น Windows Platform หรือ Linux Platform ก็ได้ ที่เราปล่อยให้มีช่องโหว่ (Vulnerability) เพื่อลวงให้ Hacker เข้ามาเจาะระบบได้สภาวะแวดล้อมนี้เราเรียกว่า “Honeynet” หรือ “ระบบเป้าหมายลวง”

เราใช้ระบบ Honeynet เพื่อดักจับการเจาะระบบของ Hacker ทำให้เราได้เรียนรู้วิธีการเจาะระบบของ Hacker อย่างระเอียด ตลอดจนเราสามารถรู้ตัวก่อนที่ Hacker จะเจาะระบบจริงของเรา และเรายังใช้ความสามารถ “Stealth Logging” ของระบบ Honeynet ในการบันทึกหลักฐานเพื่อการสืบจับ Hacker ได้อีกด้วย จะเห็นได้ว่าการติดตั้ง Honeypot ไว้ในระบบนั้น ทำให้เราได้ศึกษาการเจาะระบบของ Hacker ตลอดจนได้เรียนรู้การโจมตีแบบใหม่ๆ ที่จะเข้ามาในระบบ รวมถึง Virus ที่เป็นลักษณะการทำงานแบบ Worm ระบบ Honeynet ก็สามารถตรวจจับได้เช่นกัน

ข้อเสียของ Honeynet และ Honeypot ก็คือถ้าเราออกแบบระบบเป้าหมายลวงไม่ดีจะทำให้ Hacker สามารถใช้ระบบเป้าหมายลวงที่เราทำไว้ดักจับพฤติกรรมของ Hacker ไปใช้ในการเจาะระบบของคนอื่นอีกที ซึ่งเราควรจะต้องมีการป้องกัน IP packet ที่จะออกไปจากระบบ Honeynet อย่างรัดกุมด้วย ทำได้โดยการใช้ Snort Inline (ทำงานในลักษณะ IPS) ในการป้องกันเพื่อหยุด (drop) IP Packet ของ Hacker หรือ ทำการเปลี่ยนแปลง (replace) IP Packet เพื่อไม่ให้สามารถเจาะระบบอื่นนอกจากระบบลวงที่เราได้เตรียมไว้ รายละเอียดเพิ่มเติมดูได้ที่http://project.honeynet.org 

จะเห็นได้ว่าการศึกษาเรื่อง IPS และ Honeypot มีความเกี่ยวข้องกัน และ เป็นเทคโนโลยีใหม่ที่น่าสนใจเพื่อนำมาประยุกต์ใช้ในการป้องกัน Hacker อย่างได้ผล เนื่องจากเราสามารถที่จะรู้ตัวก่อนที่ Hacker จะจู่โจมระบบจริงของเรา และ เรายังสามารถป้องกันการโจมตีของ Hacker ได้อีกด้วย หลักการนี้เราเรียกว่า “Active Defense” แต่ ปัญหาของ IPS และ Honeypot ก็คือ ยังอยู่ในช่วงเริ่มต้นและยังมีสิ่งที่ต้องแก้ไขปรับปรุงอยู่หลายจุด ซึ่งเราควรจะติดตามอย่างต่อเนื่องเพื่อนำมาประยุกต์ใช้ในการป้องกันระบบของเราต่อไปนะครับ

จาก : หนังสือ eWeekThailand
ปักษ์แรก เดือนกันยายน
Update Information : 18 กันยายน 2546