chapter10

บทท่ี 11 ความปลอดภยั บนเครือขา่ ย Network Security

มาตรการความปลอดภัยขั้นพ้ืนฐาน เนื่องจากเครือข่ายอินเทอร์เน็ตเป็นระบบเครือข่ายสาธารณะ ทุกๆ คนสามารถเข้าถึงและใช้งานได้อย่างไม่จากัด ทาให้มีกลุ่มผู้ใช้บางคนที่มีเป้าหมายแตกต่างจากบุคคลท่ัวไป เช่น ต้องการขัดขวาง หรือทาลายระบบไม่ให้ใช้งานได้ลกั ลอบขโมยข้อมูล หรือลว้ งความลับทางราชการ เรียกบคุ คลเหล่านว้ี ่า แฮกเกอร์ ดงั นั้นระบบคอมพิวเตอร์ทุกระบบ จาเป็นต้องมีมาตรการความปลอดภัยขั้นพื้นฐาน เช่น โปรแกรมป้องกันไวรัส การล็อกเครื่องคอมพิวเตอร์เพ่ือป้องกันไม่ให้ผู้อื่นมาใช้เครื่อง สิ่งเหล่าน้ีจดั เปน็ การปอ้ งกนั ความปลอดภัย ซงึ่ มีหลากหลายวธิ ใี หเ้ ลอื กใช้ไดต้ ามความเหมาะสม

ความปลอดภัยบนสภาพแวดลอ้ มภายนอก เป็นลักษณะทางกายภาพที่มองเห็นด้วยตา ความปลอดภัยชนิดนี้จะเกี่ยวข้องกบั สภาพแวดลอ้ ม และภาพรวมของอุปกรณเ์ ปน็ สาคญั ประกอบดว้ ย - หอ้ งศูนยบ์ รกิ ารคอมพวิ เตอร์ จะต้องปดิ ประตู และใสก่ ลอนเสมอ เพ่อืป้องกนั บุคคลภายนอกหรอื ขโมยเขา้ ไปขโมยอปุ กรณ์ - การจัดวางสายเคเบิล จะต้องมิดชิด เรียบร้อย เน่ืองจากอาจทาให้ผอู้ ืน่ สะดุดล้ม ทาให้เกดิ บาดเจ็บ หรอื สายเคเบิลขาดได้ - การยึดอุปกรณ์ให้อยู่กับท่ี เพ่ือปอ้ งกันการเคลื่อนย้าย และปอ้ งกนั ผู้ไมห่ วงั ดขี โมยอปุ กรณ์





ความปลอดภยั บนสภาพแวดลอ้ มภายนอก - เคร่ืองปรับอากาศ ควรปรบั ใหม้ ีอุณหภูมิเย็นในระดบั พอเหมาะ เพราะความร้อนเปน็ ปจั จยั ทสี่ ง่ ผลต่ออายุการใชง้ านของอปุ กรณอ์ ิเล็กทรอนกิ ส์ - ควรมีระบบปอ้ งกนั ทางไฟฟ้า เพราะกระแสไฟฟ้าท่ีไม่คงที่ จะส่งผลต่ออปุ กรณ์อิเล็กทรอนิกส์โดยตรง ดังนั้นควรมีอุปกรณ์กรองสัญญาณไฟฟ้าท่ีช่วยปรับกระแสไฟฟ้าทีจ่ ่ายไปให้มีแรงดันคงที่ และอยู่ในระดบั ทเี่ หมาะสม และยังป้องกันไฟตก ไฟกระชาก - การปอ้ งกนั ภัยธรรมชาติ แผ่นดินไหว อุทกภัยหรืออัคคีภัย สามารถป้องกันได้ด้วยการออกแบบเครือข่าย โดยติดตั้งเคร่ืองเซิร์ฟเวอร์ให้มีระบบสาเนาขอ้ มลู แบบสมบรู ณ์ และเครื่องสาเนาระบบน้ีอาจจะตดิ ต้งั ในท่ีท่ปี ลอดภยั

ความปลอดภัยดา้ นการปฏบิ ตั งิ าน เป็นเร่ืองที่เก่ียวข้องกับการกาหนดระดับความสามารถในการเข้าถึงข้อมูลของบุคคลต่างๆ ภายในองค์กรตามนโยบายท่ีผู้บริหารระดับสูงกาหนด เช่นองค์กรขนาดใหญ่ทม่ี ีพนักงานจานวนมาก จะต้องมีการกาหนดระดับการเข้าใช้งานของผ้ใู ชแ้ ต่ละฝ่าย ตัวอย่างเช่น - ฝา่ ยขาย จะไม่มสี ิทธิในการเขา้ ถงึ ขอ้ มูลเงนิ เดือนของฝ่ายการเงนิ - พนักงานท่ีทางานด้านเงินเดือน จะสามารถเข้าถึงข้อมูลเงินเดือนได้แตไ่ ม่มสี ิทธใิ นการแกไ้ ขเปลย่ี นแปลงขอ้ มลู เงินเดอื นได้ - ผู้จดั การฝ่ายการเงิน สามารถเข้าถึงข้อมูลของฝ่ายอ่ืนๆ ได้ แต่อาจมีขอ้ จากดั คอื สามารถเรยี กดขู ้อมูลไดเ้ พียงอย่างเดียว แตไ่ ม่สามารถแก้ไขได้

การตรวจตราเฝา้ ระวงั ผู้บรหิ ารเครือขา่ ยจาเปน็ ตอ้ งมีมาตรการหรือการตรวจตราเฝ้าระวัง เพื่อมิให้ระบบคอมพิวเตอร์ถูกทาลาย หรือถูกขโมย ดังน้ันศูนย์คอมพิวเตอร์บางท่ีจึงมีการตดิ ตั้งกลอ้ งโทรทศั น์วงจรปิดตามจุดสาคญั ต่างๆ ซ่ึงเทคนิคนี้สามารถใช้งานได้ดี ซ่ึงจะป้องกันบุคคลภายในท่ีต้องการลักลอบขโมยข้อมูล ก็จะทาให้ดาเนินการได้ยากข้ึน เน่ืองจากมีกล้องคอยดูอยู่ตลอดเวลา แต่วิธีนี้ก็ไม่ดี ในกรณีด้านการละเมิดสิทธ์ิส่วนบุคคล ซ่ึงต้องข้ึนอยู่กับความเหมาะสมและกฎหมายของแต่ละประเทศ นอกจากการใช้กล้องวงจรปิดแลว้ ยังมีวิธีอื่นๆ เช่น การส่งสัญญาณไปยังมือถอื หรอื เพจเจอร์ เพ่อื รายงานเหตุการณ์ฉกุ เฉินไปยงั เจ้าหน้าทที่ นั ที

การใช้รหัสผา่ น และระบบแสดงตวั ตน การใช้รหสั ผา่ น เป็นมาตรการหนึ่งของความปลอดภัยข้ันพื้นฐานทน่ี ิยมใช้มานานแล้ว อย่างไรก็ตาม รหัสผ่านท่ีเป็นความลับ อาจจะไม่เป็นความลับหากรหัสผ่านดงั กล่าวถูกผอู้ นื่ ล่วงรู้ และนาไปใช้ในทางมิชอบ ในการกาหนดรหัสผ่านยังมีกระบวนการท่ีสามารถนามาควบคุมและสร้างข้อจากัดเพื่อความปลอดภัยย่ิงข้ึน เช่น การกาหนดอายุการใช้งานของรหัสผ่าน การบังคับให้ต้ังรหัสผ่านใหม่เม่ือครบระยะเวลา การกาหนดให้ตั้งรหสั ผา่ นที่ยากต่อการคาดเดา

การใชร้ หสั ผา่ น และระบบแสดงตวั ตน

การใชร้ หสั ผา่ น และระบบแสดงตวั ตน ในบางหน่วยงานที่มคี วามตอ้ งการความปลอดภัยในระดับที่สูงขน้ึ จงึ มรี ะบบแสดงตัวตนด้วยการใช้หลักการของคุณสมบัติทางกายภาพของแต่ละบคุ คลท่ีมคี วามแตกต่างกัน และไมส่ ามารถซา้ หรือลอกเลยี นกันได้ ทเี่ รียกว่า ไบโอเมตรกิ(Biometric) เชน่ เครอ่ื งอา่ นลายนว้ิ มือ และเคร่ืองอ่านเลนสม์ า่ นตา

การตรวจสอบ การตรวจสอบระบบคอมพิวเตอร์ เป็นแนวทางหนึ่งในการป้องกันผู้ไม่หวังดีที่พยายามเข้ามาในระบบ โดยระบบตรวจสอบส่วนใหญ่มักใช้ซอฟต์แวร์ในการบันทึกข้อมูล และตรวจสอบเฝ้าระวังทุกๆ ทรานแซกช่ันท่ีเข้ามายังระบบ โดยแต่ละทรานแซกชนั่ จะมกี ารบันทึกข้อมูลต่างๆ ไว้เป็นหลักฐาน และจัดเกบ็ ไว้ในรูปแบบของไฟล์ หรอื เรยี กว่า Log File Log File จะเกบ็ รายละเอียดเกย่ี วกับวันที่ และเจ้าของทรานแซกชั่นหรือบุคคลท่ีเข้ามาใช้งาน ซึ่งส่ิงเหล่านี้สามารถตรวจสอบย้อนหลังได้ว่า แต่ละวันมีทรานแซกชนั่ จากทีไ่ หนบ้างเข้ามาใช้งานระบบ ทาให้ผดู้ ูแลระบบเครือข่ายสามารถสังเกตพฤตกิ รรมของเจ้าของทรานแซกช่ันได้

การกาหนดสทิ ธกิ์ ารใช้งาน เน่ืองจากระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ อนุญาตให้ผู้ใช้มากกว่าหนึ่งคน สามารถเข้าถึงทรัพยากรท่ีมีอยู่ในระบบ เช่น ไฟล์ เคร่ืองพิมพ์ซ่งึ ทาใหต้ อ้ งมกี ารกาหนดสิทธก์ิ ารใช้งานทรัพยากรบนเครอื ขา่ ย โดยการกาหนดสิทธ์ิการใช้งานนั้น จะกาหนดโดยผู้บริหารเครือข่าย และจะพิจารณาปจั จัย 2 ปจั จัยคอื ใคร และอยา่ งไร โดยท่ี ใคร (Who) หมายถงึ ควรกาหนดสทิ ธ์กิ ารใช้งานให้ใครบ้าง อย่างไร (How) หมายถึง เมื่อได้รับสิทธิ์ในการใช้งานแลว้ จะกาหนดให้บุคคลนั้นๆ สามารถเข้าถึงข้อมูลได้อย่างไร เช่น สามารถอ่านได้อย่างเดียวสามารถเขยี นหรือบันทึกได้ สามารถพมิ พ์งานผา่ นระบบเครือขา่ ยได้

การปอ้ งกนั ไวรัส ไวรัสคอมพวิ เตอร์ เปน็ โปรแกรมขนาดเล็กท่ีจะเข้าไปแกไ้ ขเปลี่ยนแปลงการทางานของเครื่องคอมพิวเตอร์ ทาให้คอมพิวเตอร์เกิดปัญหาต่างๆ ซ่ึงปัญหาจะรา้ ยแรงมากน้อยเพยี งใดนั้น ขนึ้ อยกู่ ับไวรัสคอมพวิ เตอรแ์ ต่ละชนิด ไวรัสบางชนิดก็ไม่ได้มุ่งร้ายต่อข้อมูล แต่เพียงแค่สร้างความยุ่งยากและความราคาญให้กับผู้ใช้ ในขณะที่ไวรสั บางตัวจะมงุ่ ร้ายต่อขอ้ มลู โดย เฉพาะ ซ่งึ ผลลพั ธอ์ าจส่งผลต่อความเสยี หายใน ระบบคอมพวิ เตอร์ได้

การป้องกนั ไวรสั จากการทใ่ี นปัจจบุ ันมไี วรัสจานวนมากมาย และเกิดสายพันธใ์ หม่ๆ ทุกวันดังน้ันคอมพิวเตอร์ทุกเครื่องจึงจาเป็นต้องมีการติดต้ังโปรแกรมป้องกันไวรัส เพ่ือตรวจจับไวรัสจากไฟล์ข้อมูล และโปรแกรมต่างๆ และที่สาคัญโปรแกรมปอ้ งกนั ไวรัสจาเป็นที่จะต้องมีการอัพเดทผ่านทางอินเทอร์เน็ตเสมอ เพื่อให้โปรแกรมสามารถตรวจจับไวรัสสายพนั ธ์ใหมๆ่ ได้

การปอ้ งกนั ไวรสั

วิธกี ารโจมตรี ะบบ การโจมตีระบบเครือข่ายมีความเป็นไปได้เสมอ โดยเฉพาะเครือข่ายท่ีมีการเช่ือมต่อเข้ากับเครือข่ายภายนอก หรืออินเทอร์เน็ต ซึ่งการโจมตีมีอยู่หลายวิธีดังนี้ • การโจมตเี พ่อื เจาะระบบ (Hacking Attacks) • การโจมตเี พือ่ ปฏิเสธการให้บริการ (Denial of Service Attacks : DOS) • การโจมตแี บบไมร่ ะบเุ ป้าหมาย (Mulware Attacks)

วิธกี ารโจมตรี ะบบ• การโจมตเี พอ่ื เจาะระบบ (Hacking Attacks) เป็นการมุ่งโจมตีเป้าหมายที่มีการระบุไว้อย่างชัดเจน เช่น การเจาะระบบเพ่ือเข้าสู่ระบบเครือข่ายภายใน ให้ไดม้ าซ่งึ ข้อมูลความลับ ซ่ึงเม่ือเจาะระบบได้แล้ว จะทาการคัดลอกข้อมูล เปล่ียนแปลงข้อมูล และทาลายข้อมูล รวมถึงตดิ ต้ังโปรแกรมไมพ่ งึ ประสงค์ เพอื่ ให้เข้าไปทาลายข้อมูลภายในให้เสียหาย

วิธกี ารโจมตีระบบ• การโจมตีเพอื่ ปฏเิ สธการให้บรกิ าร (DoS) เป็นการมุ่งโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดการตอบสนองงานบริการใดๆ เช่น หากเซิร์ฟเวอร์ถูกโจมตีดว้ ย DoS แล้ว จะอยู่ในสภาวะท่ีไม่สามารถใหบ้ ริการทรัพยากรใดๆ ได้ และเมื่อไคลเอนต์พยายาม ตดิ ต่อ กจ็ ะถกู ขดั ขวาง และปฏเิ สธการ ให้บรกิ าร เชน่ การสง่ เมลบ์ อมบ์ การสง่ แพก็ เกต็ จานวนมาก หรอื การแพร่ระบาดของ หนอนไวรัสบนเครือข่าย

วิธีการโจมตีระบบ• การโจมตีแบบไมร่ ะบเุ ปา้ หมาย (Malware Attacks) คาวา่ Malware เป็นคาที่ใช้เรียกกลมุ่ โปรแกรมจาพวกไวรัสคอมพิวเตอร์เช่น หนอนไวรัส (Worm), โทรจนั (Trojan), สปายแวร์ (Spyware)และแอดแวร์ (Adware) ที่สามารถแพร่กระจายแบบอัตโนมัติไปทั่วเครือข่ายโดยมีจุดประสงคร์ ้ายโดยการแพร่โจมตีแบบหว่านไปท่ัว ไม่เจาะจง เช่น การส่งอีเมล์ที่แนบไวรัสคอมพิวเตอร์ กระจายไปทัว่ เมลบ็อกซ์ หากมีการเปดิ อีเมล์ขึ้นและไม่มกี ารปอ้ งกันระบบเครือขา่ ยที่ดีพอ จะทาให้ไวรัสสามารถแพร่กระจายไปยังเครือข่ายภายในขององคก์ รทนั ที



ไฟร์วอลล์ (Firewall) ไฟร์วอลล์ ใช้สาหรับป้องกันผู้บุกรุกบนอินเทอร์เน็ต ซึ่งเป็นบุคคลที่ไม่มีสิทธ์ิในการเข้าถึงระบบเครือข่ายส่วนบุคคล แต่ต้องการมุ่งโจมตีหรือประสงค์รา่ ยต่อระบบ อุปกรณ์ไฟร์วอลล์ อาจเป็นเร้าเตอร์ เกตเวย์ หรือคอมพิวเตอร์ท่ีติดตั้งซอฟต์แวร์ไฟร์วอลล์ ซึ่งทาหน้าท่ีตรวจสอบ ติดตามแพ็กเก็ตที่เข้าออกระบบเพือ่ ปอ้ งกนั การเขา้ ถงึ เครือข่าย หน้าที่ของไฟร์วอลล์ จะอนุญาตให้ผู้มีสิทธ์ิ หรือมีบัตรผ่านเท่าน้ันท่ีจะเข้าถึงเครือข่ายทั้งสองฝั่ง โดยจะมีการป้องกันบุคคลภายนอกท่ีไม่ต้องการให้เข้าถึงระบบ รวมถึงการป้องกันบุคคลภายในไม่ให้เข้าไปยังบางเว็บไซต์ที่ไม่ตอ้ งการอีกด้วย



ไฟร์วอลล์ (Firewall)• แพก็ เก็ตฟิลเตอร์ (Packet Filter) จะทางานในระบบช้นั สื่อสารเนต็ เวิร์ก ปกตหิ มายถงึ เรา้ เตอร์ ที่สามารถทาการโปรแกรม เพ่ือ กล่นั กรองหมายเลขไอพี หรือ หมายเลขพอร์ต TCP ที่ไดร้ บั อนุญาตเท่าน้ัน ซึ่งเป็นวธิ กี ารท่ี ง่ายและรวดเรว็

ไฟรว์ อลล์ (Firewall)แตข่ อ้ เสยี คอื อาจมีผ้บู ุกรุกทาการปลอมแปลงหมายเลขไอพแี อดเดรส (Spoofing)ทาใหร้ ะบบอนญุ าตให้เขา้ มาภายในระบบได้ซึ่งปจั จุบันนอกจากความสามารถในการตรวจจบั ผ้ปู ลอมแปลงแล้ว ยังสามารถสแกนไวรัสคอมพวิ เตอรไ์ ด้อกี ดว้ ย

ไฟร์วอลล์ (Firewall)• พรอ็ กซีเซิร์ฟเวอร์ (Proxy Server) จะทางานในระบบชั้นส่ือสารแอปพลิเคช่ัน ซ่ึงการทางานมีความซับซ้อนกวา่ แบบแพ็กเกต็ ฟิลเตอรม์ าก โดยพร็อกซีเซริ ์ฟเวอร์ คอื คอมพิวเตอร์ทีต่ ิดตั้งซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์ ทาหน้าท่ีเสมือนนายประตูของเครือข่ายภายในโดยทุกๆ ทรานแซกช่ันของเครือข่ายภายนอกท่ีมีการร้องขอเข้ามายังเครือข่ายภายในจะต้องผ่านพร็อกซีเซิร์ฟเวอร์เสมอ และจะมีการเก็บรายละเอียดของข้อมูลลง Log File เพื่อให้ผู้ดูแลระบบสามารถนาไปใชต้ รวจสอบในภายหลัง แต่การทางานของพร็อกซีเซิร์ฟเวอร์มีความล่าช้า เน่ืองจากจะต้องมีการจดั เก็บข้อมลู ของแต่ละแอปพลเิ คชัน่ ทไี่ ด้มกี ารรอ้ งขอขอ้ มลู จากภายในเครือข่าย