Introducing IDS and IPS
Intrusion Detection Systems (IDS)
มีความสามารถในการตรวจจับ Traffic ที่เป็นอันตรายต่อระบบได้แต่ไม่สามารถหยุดหรือป้องกันได้ด้วยตัวเอง เพราะว่ามันทำงานในการวิเคราะห์ Traffic ที่ถูก Copy มาจาก Traffic จริงๆ ทำให้การทำงานจะไม่ส่งผลกระทบต่อประสิทธิภาพของเครือข่ายที่ใช้งานอยู่
โดยปกติ monitor interface ของ Sensor จะทำงานใน Promiscuous Mode หมายถึงว่ามันจะตรวจสอบ Traffic ทั้งหมดที่ถูกส่งมาหามันโดยให้อุปกรณ์เครือข่ายตัวอื่นๆ ทำการคัดลอกข้อมูลและส่งมาให้มัน โดยมันสามารถทำได้แค่แจ้งเตือน เพื่อให้ผู้ดูแลระบบทราบถึงปัญหาหรือภัยคุกคามในระบบ และดำเนินการแก้ไขต่อไป โดย Sensor ที่ทำงานใน Mode นี้สามารถใช้เพียง Interface เดียวสำหรับการ monitor Traffic ในหนึ่ง segment ได้
Intrusion Prevention Systems (IPS)
เป็น IDS ที่ทำงานใน Mode in-line คือวิเคราะห็ Traffic จริงๆของระบบเครือข่าย มีความสามารถในการตรวจจับและหยุดยั้ง Traffic ที่เป็นอันตรายได้ อาจจะส่งผลกระทบต่อเครือข่ายได้ เช่นการ Drop Packet ต่างๆ
ใน Inline Mode Sensor จะถูกวางไว้บนเส้นทางที่ใช้รับ-ส่งข้อมูลในระบบ IPS สามารถที่จะหยุดหรือป้องกันการโจมตีได้ โดย sensor ที่ทำงานใน mode นี้จะต้องใช้อย่างน้อย 2 Interface โดยจะต้อง Configure ทั้ง 2 Interface เป็น Pair interface กัน โดยจะทำงานใน Layer 2

IDS and IPS Common Characteristics
Cisco Sensor นั้นจะใช้กฏที่เรียกว่า Signature ในการตรวจสอบ Traffic โดย Signature-Based คือกลุ่มของรูปแบบของกฏ ที่ไว้ใช้เปรียบเทียบกับ Traffic โดยจะทำการบันทึกรูปแบบการโจมตีต่างๆไว้เป็น Signature โดยมันจะตรวจสอบทุกๆ Packet ที่ผ่านเข้า-ออกตัวมันและเมื่อมี Traffic ใดที่มีลักษณะตรงกับที่ Signature ได้ระบุไว้มันก็จะทำตาม Action ที่ได้ระบุไว้ใน Signature นั้นๆ เช่น แจ้งเตือน หรือ Drop Packet นั้นทิ้ง บาง Signature จะเรียกว่า atomic signature โดยจะตรวจสอบ Traffic ที่มีลักษณะเป็น Packet เพียง Packet เดียว หรือ Composite Signature ที่ตรวจสอบ Traffic โดยการระบุรูปแบบของ Packet หลายๆ Packet ต่อเนื่องกันมาตามลำดับก็ได้
Placement of IDS and IPS Sensors
ในการที่จะตัดสินใจว่าจะให้ Sensor ทำงานใน Mode ใดระหว่าง Promiscuous (IDS) หรือ In-line (IPS) ควรจะดูจากลักษณะของความต้องการใช้งาน โดยทั้ง 2 โหมดจะมีลักษณะดังนี้

IPS มีลักษณะ
-เมื่อต้องการให้ Sensor สามารถทำการ Drop หรือ Deny Packet ได้
-การ Drop หรือ Deny สามารถหยุด Packet ที่เป็นอันตรายหรือผิดปกติได้
-Sensor สามารถตรวจสอบ Stream normalization ได้
-IPS Action สามารถหยุดการทำงานของ Worm ได้
-ถ้าตัวอุปกรณ์ error หรือ fail จะส่งผลกระทบต่อเครือข่าย
-อาจส่งผลกระทบต่อประสิทธิภาพของเครือข่าย เช่นความเร็วโดยรวมลดลง
-สามารถทำงานร่วมกับ Time-Sensitive Application ได้ เช่น VoIP
IDS มีลักษณะ
-เมื่อไม่ต้องการให้ Sensor Drop หรือ Deny Packet ใดๆ
-การทำงานของ Sensor จะไม่ส่งผลกระทบต่อเครือข่ายที่ใช้งานปกติ
-ถ้าตัวอุปกรณ์ error หรือ fail จะไม่ส่งผลกระทบต่อเครือข่าย
-ไม่สามารถหยุดการโจมตีหรือภัยคุกคามได้ ด้วยตัวมันเอง
Sensor Placementควรที่จะวาง Sensor ไว้บริเวณ ทางเข้า-ออกของเครือข่ายส่วนที่ต้องการจะป้องกัน ซึ่งใน Sensor จะมีการกำหนด Security Policy สำหรับเครือข่ายนั้นๆ ซึ่ง Security Policy นี้สามารถใช้อันเดียวกันทั้งหมด หรือแยกแต่ละ Policy ตามแต่ละส่วนของเครือข่ายได้ และควรที่จะมีการกำหนดเครื่องที่อนุญาตให้เข้ามาจัดการ Sensor ได้ด้วย
Sensor on Outside
-Monitor all Traffic
-อาจมี False Positive จำนวนมาก
-ไม่สามารถตรวจจับการโจมตีที่เกิดขึ้นภายในได้
Sensor on Inside
-Monitor Traffic ที่ถูกคัดกรองมากแล้วจาก Firewall หรือ Gateway
-มี False Positive น้อยกว่า
-สามารถหยุด Traffic ที่เป็นอันตรายในระดับ Application Layer ที่ Firewall ไม่สามารถตรวจพบได้

Types of IDS and IPS Sensors
Profile-Based Intrusion Dectectionจะมีการสร้าง Profile ขึ้น และจะทำการแจ้งเตือนเมื่อมีเหตุการณ์ที่อยู่นอกเหนือจาก Profile นี้ขึ้น โดย Profile จะสร้างมาจากการเก็บตัวอย่างการใช้งานปกติของผู้ใช้ตามช่วงเวลาที่กำหนด เพื่อเก็บไว้เป็นตัวอย่างใช้ในการเปรียบเทียบ Traffic ต่อไป
ปัญหาของวิธีการนี้ก็คือ ผู้ใช้อาจจะมีการใช้งานที่ไม่ตรงกับ Profile ที่ได้เก็บตัวอย่างไว้เสมอไป ซึ่ง Profile ที่ใช้เป็นการใช้งานปกติในปัจจุบัน อาจจะไม่สามารถใช้เป็น Profile สำหรับวันอื่นๆก็ได้ ซึ่งจะทำให้เกิด False Positive จำนวนมากตามมา
Signature-Based Intrusion Dectection
Signature-Based สามารถที่จะลดจำนวนการเกิด False Positive ลง โดย Signature คือกลุ่มรูปแบบของกฏ หรือรูปแบบการโจมตีประเภทต่างๆ ที่ไว้ใช้เปรียบเทียบกับ Traffic
Cisco Sensor นั้นใช้ Signature-Based ในการทำงาน โดยจะตรวจสอบทุกๆ Packet ถ้าพบว่ามี Traffic ใดที่มีรูปแบบที่ตรงกับ Signature มันจะไปทำตาม Action ที่ได้ระบุไว้ใน Signature นั้นๆ เช่นแจ้งเตือน หรือ Drop Packet
ข้อเสียของวิธีนี้ก็คือ ถ้าการโจมตีเป็นรูปแบบใหม่ที่ไม่มีใน Signature มันจะไม่สามารถตรวจจับได้ ซึ่งจะต้องมีการ Update Signature เสมอเพื่อให้สามารถตรวจจับรูปแบบการโจมตีใหม่ๆได้