Wednesday, November 02, 2005

ทำการปรับปรุงการจัดเก็บ signature สำหรับ mode IPS

SRAN-dev ทำการคัดเลือก rule base จาก BLEEDING-EDGE เพื่อปรับปรุงให้การตรวจจับผู้บุกรุก ให้มีประสิทธิภาพมากที่สุด

คลิกที่รูปเพื่อดูภาพใหญ่
โดยจำนวน signature ในส่วน IPS เพิ่มถึงจำนวน 4752 มีการเพิ่มจากเดือนที่แล้ว 423 signature

signature ที่มีการปรับแต่งเพื่อเพิ่มการจับพวก malware ชนิดต่างๆ

คลิกที่รูปเพื่อดูภาพใหญ่

สำหรับ ISP สามารถใช้ SRAN Security Center เพื่อจับการบุกรุกแบบ spoof IP ได้


คลิกที่รูปเพื่อดูภาพใหญ่

การจับ Bad Traffic ที่มาจาก IP ที่เป็น Unassigned IP / unlocated โดยใช้ฐานข้อมูลจาก IANA

นอกจากนี้สามารถจับการบุกรุก DoS ที่มีผลกับ boder gateway router ได้อีกด้วย

คลิกที่รูปเพื่อดูภาพใหญ่

Wednesday, October 26, 2005

การวิเคราะห์ Snort Remote Buffer Overflow Vulnerability

Snort Back Orifice Parsing Remote Buffer Overflow Vulnerability

มีข่าวจากกลุ่ม isc.sans.org ได้เตือนภัยถึงช่องโหว่ จาก snort ที่ใช้ทำเป็น IDS/IPS และมีความรุนแรงที่สามารถทำการ remote เข้าทำการ Buffer Overflow ได้


โดยทางทีม SRAN Dev เมื่อทราบข่าวจากแหล่งข้อมูลต่างประเทศก็ไม่รอช้า ได้หาข้อมูลในการแก้ไขปัญหาที่เกิดขึ้นและทดสอบโปรแกรมที่ใช้ในการโจมตีช่องโหว่ เพื่อทำการวิเคราะห์การโจมตี (network traffic analysis) โดยตัวอย่างต่อไปนี้จะวิเคราะห์ถึงภัยคุกคามชนิดนี้กัน





ขยายรูปการทดลอง


 


ภาพการโจมตีของ Hacker ที่ทำการ remote exploit เพื่อยิงผ่านเครือข่ายเพื่อทำการยึดเครื่องที่ทำงานด้วย snort server


Snort หรือที่เรารู้จักกันดีในโลกของโอเพ่นซอร์ส ว่าเป็นเครื่องมือที่ใช้สำหรับการตรวจจับผู้บุกรุก (Intrusion Detection System or IDS) ได้มีช่วงโหว่ทำให้ hacker สามารถเจาะเข้ามาในระบบโดยใช้วิธีการโจมตีที่เรียกว่า Buffer Overflow โดยการส่งข้อมูลเข้าไปโจมตีเครื่องที่รัน snort ไว้ โดยจะได้สิทธิ์ที่รัน snort ไว้ โดย snort ที่จะเจอปัญหานั้น จะเป็นเวอร์ชันตั้งแต่ 2.4.0 – 2.4.2 และมีปัญหาในส่วนของ pre-processor Back Orifice โดยวิธีแก้ปัญหานั้นมีอยู่สองวิธี อ่านต่อได้ ที่นี้


โดยวิธีแก้ปัญหานั้นมีอยู่สองวิธี คือ


 


•  ทำการอัพเกรดเวอร์ชันของ Snort ให้เป็นเวอร์ชันล่าสุด คือ 2.4.3 ณ ปัจจุบัน


•  ทำการยกเลิกการใช้งานของ Back Orifice โดยทำการ comment “ # preprocessor bo ” ในไฟล์ snort.conf


เมื่อทำการวิเคราะห์ traffic การยิง remote exploit ชนิดนี้ผ่าน SRAN Security Center สามารถจับ content โดยสนับสนุน signature จาก Bleeding -Edge snort ผลการทดสอบได้ดังนี้




สามารถอ่านเพิ่มเติมได้ที่ <http://www.sran.org/index_html/snort_exploit>

Sunday, October 23, 2005

งานเผยแพร่ SRAN Technology

ทาง SRAN Dev จากบริษัท Global Technology Integrated ได้ร่วมงานสัมนาที่นิคมอุตสาหกรรมบางปู กับ บริษัท กสท โทรคมนาคม จำกัด มหาชน เมื่อวันที่ 20 ตุลาคม 48 ที่ผ่านมา ในงานมีการบรรยาย SRAN Technology โดยผู้สนใจรับฟังอย่างมาก


จากรูปขณะ้บรรยาย
Pornthep Nivatyakul วิศวกรด้านความปลอดภัยข้อมูลบริษัท กสท โทรคมนาคม
Nontawattana Saraman ทีมพัฒนา SRAN Technology

Test Throughout สำหรับ 10/100 Mb/s

เราได้ทำการทดสอบ Throughout สำหรับสาย 10/100 โดยตั้งเครื่องทดลองดังนี้
1. Laptop 2 เครื่องประกอบ
1.1 เครื่องที่เป็น Server ชื่อเครื่อง Dell (F)
1.2 เครื่องเป็น client ชื่อเครื่อง Kid
2. ซอฟแวร์ที่ใช้ในการทดสอบ
2.1 Net Perf
3. SRAN Security Center รุ่น SR-1045

การทดลองสามารถอ่านได้ที่ <http://www.sran.org/index_html/Throughout>

Saturday, October 15, 2005

Update Signature & Anomaly Attack

SRAN Security Center มีรูปแบบการจับการบุกรุกตามสิ่งที่มันรู้จักใน Data Base ในนี้จะประกอบไปด้วยรูปแบบการโจมตีต่างๆ นี้เรียกว่า Signature แบ่ง ได้ 3 แบบคือ

1. Signature ในการบุกรุก ซึ่งอิงตาม Snort ประกอบด้วย VRT snort , snort commutiy , Bleeding edge และ SRAN signature ที่เราเพิ่ม content ในการตรวจจับเองได้
2. Signature ในการตรวจจับไวรัสคอมพิวเตอร์ ซึ่งอิงตาม Clamav
3. Signature ในการประเมินความเสี่ยง โดยอิงตาม Nessus


รวมถึงการจับสิ่งผิดปกติที่ไม่มีใน Data Base หรือที่เรียกว่า anomaly attack โดยจับตาม traffic flow ที่เกิดจากการใช้งานในระบบเครือข่าย


โดยจะแสดงผลทั้งนี้

จะเห็นว่าเราสามารถตรวจหา traffic ที่ผิดปกติได้ ย้อนหลังไปเป็นวัน /เดือน และเป็นปีได้


จากนั้นแยกเข้าไปดูในแต่ละเครื่องคอมพิวเตอร์บนระบบเครือข่ายว่าเครื่องใด


มีการส่งข้อมูลมากที่สุดโดยค้นหาตาม protocol ที่ใช้




Status Drop

ในหน้าจอบังคับการตรวจจับผู้บุกรุก (SRAN Security Center) จะีมีส่วนหนึ่งที่ใช้ในการเฝ้าติดตามหาผู้บุกรุกระบบเครือข่าย โดยทีม SRAN Dev ได้เพิ่มส่วนแสดงผลการ DROP ตาม content ที่กำหนดไว้ดังนี้

จากนั้นสามารถคลิกเพื่อดูเหตุการณ์ในการ Drop ได้

เป็นเวอร์ชั่นสมบูรณ์เมื่อวันที่ 20 สิงหาคม 2548