การรักษาความปลอดภัยภายในเครือข่ายคอมพวิ เตอร์ ❑ ผบู้ ุกรุกเครือขา่ ยคอมพิวเตอร์ ❑ การรักษาความปลอดภยั บนเครือข่าย ❑ ระดบั ความปลอดภยั ของขอ้ มลู ในเครื่องคอมพวิ เตอร์ ❑ เทคโนโลยรี ักษาความปลอดภยั บนเครือขา่ ยคอมพวิ เตอร์ 19 กนั ยายน 2562 1
การรักษาความปลอดภัยภายในเครือข่ายคอมพวิ เตอร์ ในปัจจุบนั องคก์ ร หรือหน่วยงานเป็นจานวนมาก ไดส้ ร้าง เครือขา่ ยคอมพวิ เตอร์ข้ึนเพ่อื ใชง้ านภายในองคก์ รโดยใชม้ าตรฐาน เดียวกนั กบั เครือขา่ ยอินเทอร์เน็ตท่ีเราเรียกวา่ อินทราเน็ตนนั่ เอง ซ่ึง อินทราเน็ตน้ีจะเชื่อมโยงใหผ้ ใู้ ชง้ านทุกคนสามารถทางานร่วมกนั ได้ แต่ การทางานดงั กล่าวน้ี ไม่ไดก้ าหนดขอบเขตเฉพาะในองคก์ รเท่าน้นั มี หลายองคก์ รท่ีไดน้ าเอาเครือข่ายอินทราเน็ตมาเชื่อมต่อเขา้ สู่เครือขา่ ย อินเทอร์เน็ตเพ่อื ใหก้ ารทางานสามารถเช่ือมโยงกบั องคก์ รอ่ืน ได้ 19 กนั ยายน 2562 22
การรักษาความปลอดภยั ภายในเครือข่ายคอมพวิ เตอร์ เม่ือนาเครือข่ายมาเชื่อมต่อกนั แลว้ การสื่อสารขอ้ มูลจะกระทาได้ ง่ายข้ึน แต่ถา้ มองในมุมกลบั กนั เม่ือการสื่อสารขอ้ มูลมีมากข้ึนความ ปลอดภยั ในการสื่อสารกย็ อ่ มนอ้ ยลงตามลาดบั เพราะฉะน้นั องคก์ รกจ็ ะ แสวงหาวิธีการต่าง เพ่อื มาใชร้ ักษาความปลอดภยั ภายในเครือข่าย เพือ่ มิใหข้ อ้ มูลสาคญั ขององคก์ รแพร่กระจายออกไป หรือป้องกนั มิใหผ้ ู้ บุกรุกเขา้ มาสร้างความเสียหายแก่เครือข่ายของเราได้ 19 กนั ยายน 2562 33
การบุกรุกเครือข่ายคอมพวิ เตอร์ ในเครือข่ายคอมพิวเตอร์น้นั จะมีผเู้ ขา้ มาใชข้ อ้ มูลท้งั ในทางท่ีดีและ ทางที่ไม่ดี รวมท้งั ยงั มีผทู้ ี่พยายามบุกรุกเขา้ มาในเครือขา่ ยเพ่ือทาการ แทรกแซงการใชง้ านของระบบ รวมท้งั พยายามแกไ้ ขขอ้ มูลของ ระบบ ซ่ึงกอ็ าจทาใหเ้ กิดปัญหาภายในระบบเครือขา่ ยของเราได้ วิธีการในการเขา้ มาทาลายระบบเครือขา่ ยของเราจากผบู้ ุกรุกกม็ ีอยู่ หลายวธิ ีดว้ ยกนั 19 กนั ยายน 2562 44
การบุกรุกเครือข่ายคอมพวิ เตอร์ ⚫ การโจมตรี หัสผ่าน หรือ Password Attacks เป็นการเขา้ โจมตี ระบบเครือขา่ ยโดยที่ผบู้ ุกรุกไดพ้ ยายามคาดเดา และทดลองใช้ รหสั ผา่ นเพ่ือเขา้ ใชง้ านในระบบเครือขา่ ยใหเ้ หมือนกบั ผใู้ ชง้ าจริง ⚫ การโจมตีแบบ Man-in-middle วธิ ีการน้ีเป็นวธิ ีการท่ีผบู้ ุกรุก สามารถผา่ นเขา้ ถึงแพค็ เกต็ ขอ้ มูลที่รับส่งกนั บนเครือข่ายได้ 19 กนั ยายน 2562 55
การบุกรุกเครือข่ายคอมพวิ เตอร์ ⚫ แพค็ เกต็ สนิฟเฟอร์ (Packet Sniffer) คือ โปรแกรมท่ีสามารถตรวจจบั และ เขา้ ใชข้ อ้ มูลที่วงิ่ บนเครือขา่ ยได้ ซ่ึงปัจจุบนั โปรแกรมเหล่าน้ีหาดาวนโ์ หลด ไดง้ ่าย เนื่องจากโปรโตคอลที่นิยมใชก้ นั มากคือ โปรโตคอล TCP/IP ทาให้ บุคคลบางกลุม่ ลกั ลอบพฒั นาโปรแกรมที่สามารถตรวจจบั ชื่อผใู้ ชแ้ ละ รหสั ผา่ นได้ ผบู้ ุกรุกกจ็ ะใชร้ หสั ผา่ นท่ีตรวจจบั ไดเ้ ขา้ มาใชง้ านระบบของเรา ซ่ึงอาจสร้างความเสียหายแก่ระบบไดม้ ากมาย ⚫ ไอพสี ปฟู ฟิ ง (IP Spoofing) คือ วธิ ีการท่ีผบู้ ุกรุกภายนอกสร้างขอ้ มูลปลอมท่ี เชื่อถือ และมาขอใชบ้ ริการระบบเครือขา่ ยของเรา ระบบเครือข่ายของเราก็ อนุญาตใหใ้ ชท้ รัพยากรในเครือข่ายได้ เช่น ใชค้ า่ ไอพแี อดเดรสปลอม เหมือนกบั ท่ีใชใ้ นเครือข่ายเพอ่ื ทาการขอใชบ้ ริการในเครือข่าย 19 กนั ยายน 2562 66
การบุกรุกเครือข่ายคอมพวิ เตอร์ ⚫ การโจมตแี บบดไี นล์ออฟเซอร์วสิ (Denial-of-Service) คือ วธิ ีโจมตีเคร่ือง เซิร์ฟเวอร์โดยการใชบ้ ริการของเซิร์ฟเวอร์จนถึงขีดจากดั จนเคร่ืองเซิร์ฟเวอร์ไม่ สามารถใหบ้ ริการแก่เครื่องอ่ืน ได้ การโจมตีน้ีทาไดโ้ ดยการเชื่อมต่อของ เครื่องเซิร์ฟเวอร์จนถึงขีดสุดของเซิร์ฟเวอร์ อาจใชโ้ ปรโตคอล TCP เป็น เคร่ืองมือในการโจมตีท่ีจุดออ่ นของระบบเครือข่าย หรือโจมตีท่ีระบบรักษา ความปลอดภยั เครือขา่ ย ⚫ ไวรัส (VIRUS) คือ โปรแกรมทาลายระบบคอมพิวเตอร์โดยเขา้ มาแลว้ จะ แพร่กระจายไปในโปรแกรมอื่นภายในเครื่องเท่าน้นั จะไม่สามารถแพร่ไปใน เครื่องอื่น ไดด้ ว้ ยตวั เอง นอกจากจะมีผใู้ ชน้ าเขา้ ไปในเคร่ืองไวรัสบางชนิดอาจ เพียงรบกวนการทางานของผใู้ ชบ้ า้ ง แตบ่ างชนิดสามารถทาลายฮาร์ดดิสกไ์ ด้ ท้งั ตวั 19 กนั ยายน 2562 77
การบุกรุกเครือข่ายคอมพวิ เตอร์ ⚫ เวริ ์ม (Worm) คือ โปรแกรมที่ทาลายระบบคอมพวิ เตอร์มีลกั ษณะคลา้ ยไวรัส แต่มีความรุนแรงในการทาลายระบบมากกวา่ โดยนอกจากจะแพร่กระจาย ทาลายระบบของเครื่องแลว้ ยงั สามารถแพร่กระจายเขา้ ไปทาลายระบบ คอมพวิ เตอร์เคร่ืองอื่น ดว้ ย ⚫ ม้าโทรจนั (Trojan Horse) คือ โปรแกรมที่ทาลายระบบคอมพวิ เตอร์ท่ีแฝง มากบั โปรแกรมอ่ืน เช่น เกมและโปรแกรมอานวยความสะดวกต่าง เป็น ตน้ เม่ือเราทาการติดต้งั โปรแกรมท่ีเราตอ้ งการแลว้ เริ่มใชโ้ ปรแกรมมา้ โทร จนั ที่แฝงมาจะเขา้ ทาลายระบบของเรา โดยใชว้ ธิ ีการต่าง เช่น ลบไฟลต์ ่าง ภายในเครื่องหรือที่รุนแรง กวา่ คือ มา้ โทรจนั สร้างทางเขา้ ใหโ้ ปรแกรมอ่ืน เขา้ มาทาลายระบบดว้ ย เป็นตน้ 19 กนั ยายน 2562 8
การรักษาความปลอดภัยบนเครือข่าย ⚫ เม่ือมีการเชื่อมตอ่ เครือขา่ ยข้ึนยอ่ มตอ้ งมีปัญหาการบุกรุกเครือขา่ ยตามมา ซ่ึง ระบบเครือขา่ ยคอมพวิ เตอร์ ที่ดีจึงจาเป็นตอ้ งมีระบบรักษาความปลอดภยั ซ่ึง ระบบระบบรักษาความปลอดภยั พ้นื ฐานที่ทุกระบบควรจะตอ้ งทาคือ การต้งั ช่ือ ผใู้ ช้ และ รหสั ผา่ นในการเขา้ ใชเ้ ครือข่าย ⚫ หลกั การพ้นื ฐานในการกาหนดชื่อผใู้ ช้ และ รหสั ผา่ น ⚫ ชื่อผ้ใู ช้ : ควรเป็นตวั อกั ษร หรือ ตวั เลข อยา่ งต่า 7 ตวั อกั ษร ⚫ รหัสผ่าน : อาจเป็นตวั เลข หรือ ตวั อกั ษรกไ็ ด้ ควรง่ายต่อการจดจา และยากต่อการถอดรหสั ควรมีความยาวไม่นอ้ ยกวา่ 8 ตวั อกั ษร 19 กนั ยายน 2562 9
ระดบั ความปลอดภัยของข้อมูลในเคร่ืองคอมพวิ เตอร์ ⚫ กระทรวงกลาโหมสหรัฐอเมริกาไดก้ าหนดมาตรฐานการรักษาความ ปลอดภยั เรียกวา่ Orange Book ซ่ึงแบ่งระดบั ความปลอดภยั ออกเป็น 4 ระดบั ใหญ่ ต้งั แต่ระดบั D1, C, B, A เรียงลาดบั ต้งั แต่ความ ปลอดภยั นอ้ ยท่ีสุดจนไปถึงความปลอดภยั มากท่ีสุด 19 กนั ยายน 2562 10
ระดบั ความปลอดภัยของข้อมูลในเคร่ืองคอมพวิ เตอร์ ⚫ ระดบั D1 เป็นระดบั ท่ีมีความปลอดภยั ต่าที่สุด คือ ไม่มีการป้องกนั รักษาความปลอดภยั เลย ไม่มีการกาหนดรหสั ผา่ นใด แก่เคร่ืองผใู้ ช้ ระบบปฏิบตั ิการท่ีมีความปลอดภยั ระดบั D1 ไดแ้ ก่ ระบบปฏิบตั ิการ Windows ทวั่ ไป, MS-DOS เป็นตน้ 19 กนั ยายน 2562 11
ระดบั ความปลอดภยั ของข้อมูลในเครื่องคอมพวิ เตอร์ ⚫ ระดบั C ความปลอดภยั ในระดบั น้ี แบ่งยอ่ ยออกเป็น 2 ระดบั คือ C1 และ C2 เรียงจาก ระดบั ความปลอดภยั ต่าไปหาสูงดงั น้ี ⚫ ระดบั C1 คือระบบคอมพิวเตอร์ที่มีความปลอดภยั เบ้ืองตน้ ซ่ึงระบบรักษาความ ปลอดภยั น้ีจะมีการระบุช่ือ และใชร้ หสั ผา่ นก่อนเขา้ ใชง้ าน ในการแยกแยะผใู้ ชแ้ ต่ละคน ออกจากกนั กาหนดสิทธิในการเขา้ ใชง้ านของผใู้ ชแ้ ต่ละคน แต่ในระดบั น้ียงั ไม่ได้ แยกแยะหนา้ ท่ีวา่ ใครเป็นผดู้ ูแลระบบ หรือผใู้ ชท้ ว่ั ไป ระบบปฏิบตั ิการที่มีความ ปลอดภยั ระดบั C1 ไดแ้ ก่ ระบบปฏิบตั ิการ UNIX เป็นตน้ ⚫ ระดบั C2 ความปลอดภยั ในระดบั น้ีจะเพ่มิ ข้ึนจากระดบั C1 เลก็ นอ้ ยคือ นอกจาก จะมีการระบุชื่อและรหสั ผา่ นก่อนเขา้ ใชง้ านคอมพิวเตอร์ระบบปฏิบตั ิการแลว้ ยงั แยกแยะหนา้ ที่ และอานาจของผใู้ ช้ แต่ละคนออกจากกนั ดว้ ยและยงั บนั ทึกการทางาน ของผใู้ ชแ้ ต่ละคนเพือ่ ใหผ้ ดู้ ูแลระบบสามารถตรวจสอบไดใ้ นภายหลงั ดว้ ย 19 กนั ยายน 2562 12
ระดบั ความปลอดภยั ของข้อมูลในเคร่ืองคอมพวิ เตอร์ ⚫ ระดบั B ความปลอดภยั ในระดบั น้ี จะแบ่งออกเป็น 3 ระดบั ยอ่ ย คือ B1, B2 และ B3 เรียง จากระดบั ความปลอดภยั ต่าไปหาสูงดงั น้ี ⚫ ระดบั B1 ความปลอดภยั ในระดบั น้ี เพิ่มส่วนที่ควบคุมการใชง้ านที่เรียกวา่ Label ข้ึน ซ่ึงส่วนน้ีจะกาหนดคา่ ความปลอดภยั ใหก้ บั ขอ้ มูล และอุปกรณ์ต่าง เฉพาะในส่วนท่ี สาคญั เท่าน้นั ซ่ึงผทู้ ่ีตอ้ งการใชข้ อ้ มูล และอุปกรณ์ตอ้ งมีสิทธใิ นการเรียกใชข้ อ้ มูล และ อุปกรณ์ไม่นอ้ ยไปกวา่ Label ⚫ ระดบั B2 มีการเพม่ิ ส่วนควบคุมจากระดบั B1 ซ่ึงจะกาหนดใหท้ ุก ขอ้ มลู และ ทุกอุปกรณ์ตอ้ งมี Label กากบั การใชง้ านไม่ใช่แต่เฉพาะอุปกรณ์สาคญั เทา่ น้นั ⚫ ระดบั B3 เป็นระดบั การรักษาความปลอดภยั ที่สูงมาก จะมีส่วนที่เพิ่มจากระดบั B2 คือ มีการป้องกนั การบุกรุกระบบ และป้องกนั การขโมยขอ้ มูลไปใชโ้ ดยเฉพาะ มกี าร รักษาความปลอดภยั ในการเขา้ ใชร้ ะบบปฏิบตั ิการ และเครือขา่ ยอยา่ งเขม้ งวด ต้งั แต่การ ออกแบบระบบ การใชง้ าน และการตรวจสอบรวมท้งั การแกไ้ ขเม่ือระบบหยดุ ทางาน ระบบปฏิบตั ิการในปัจจุบนั ยงั ไม่มีระบบไหนที่พฒั นาไปถึงระดบั น้ีไดเ้ ลย 19 กนั ยายน 2562 13
ระดบั ความปลอดภยั ของข้อมูลในเคร่ืองคอมพวิ เตอร์ ⚫ ระดบั A เป็นระดบั ความปลอดภยั ที่สูงที่สุด มีคุณสมบตั ิเหมือนกบั ระดบั B3 แต่แตกต่างกนั เพียงจุดประสงคข์ องการออกแบบ และการ นาไปใชง้ านจริงจะมีการตรวจสอบทุกข้นั ตอนเพ่ือใหม้ น่ั ใจวา่ ระดบั ความปลอดภยั ระดบั น้ีจะมีผลในการนาไปใชง้ านจริง 19 กนั ยายน 2562 14
เทคโนโลยรี ักษาความปลอดภัยบนเครือข่าย คอมพวิ เตอร์ 19 กนั ยายน 2562 15
ไฟร์วอลล์ (Firewall) ⚫ เป็นระบบหรือกลุม่ ของระบบ ท่ีจดั ใหเ้ ป็นทางผา่ นเขา้ ออกของขอ้ มูล เพื่อป้องกนั การแปลกปลอมของผบู้ ุกรุกจากภายนอกที่จะเขา้ สู่ระบบ แลว้ ยงั สามารถควบคุมการ ใชง้ านภายในเครือข่ายโดยกาหนดสิทธิของผใู้ ชแ้ ตล่ ะคนใหผ้ า่ นเขา้ ออกไดอ้ ยา่ ง ปลอดภยั เม่ือมีการเช่ือมต่อกบั อินเทอร์เน็ต ไฟร์วอลลจ์ ึงเป็นตวั ป้องกนั สาคญั ที่ใช้ ในการรักษาความปลอดภยั ในเครือขา่ ย ⚫ ระบบของไฟร์วอลลม์ ีหลายระดบั ต้งั แต่ใชอ้ ุปกรณ์ส่ือสารทาหนา้ ท่ีเป็นไฟร์วอลล์ เช่น ใชเ้ ราทเ์ ตอร์ หรือ ฮาร์ดแวร์ไฟร์วอลล์ ทาหนา้ ท่ีเป็นไฟร์วอลลเ์ พือ่ ควบคุมการ ส่ือสาร จนถึงใชค้ อมพิวเตอร์ท่ีมีซอฟตแ์ วร์ไฟร์วอลลเ์ พ่อื ป้องกนั เครือข่าย ⚫ เหตุผลที่มีการใชไ้ ฟร์วอลลแ์ ลว้ ไฟร์วอลลจ์ ะเป็นเหมือนกาแพงไฟควบคุมการผา่ น เขา้ ออกของแพค็ เกต็ ขอ้ มูล โดยทาการอนุญาต หรือไม่อนุญาตใหข้ อ้ มูลผา่ นเขา้ ออก เครือข่าย 19 กนั ยายน 2562 16
ไฟร์วอลล์ (Firewall) ⚫ ในอดีตไฟร์วอลลจ์ ะถูกแบ่งออกเป็น 2 ประเภท คือ ⚫ ระดบั แอพพลิเคชนั่ (Application level firewall) หรือ เรียกอีกอยา่ งหน่ึงวา่ แอพลิเคชน่ั เลเยอร์ไฟร์วอลล์ (Application Layer Firewall) ⚫ ระดบั เครือข่าย (Network level firewall) หรือเรียกอีกอยา่ งหน่ึงวา่ แพค็ เกต็ ฟิ ลเตอร์ร่ิงไฟร์วอลล์ (Package Filtering Firewall) ⚫ แต่ในปัจจุบนั ไดม้ ีการเพม่ิ ความสามารถใหม่ เขา้ ไปอีก จึงแบ่งตามเทคโนโลยที ่ี ใชใ้ นการตรวจสอบและควบคุม ไดเ้ ป็น 3 ประเภท คือ ⚫ แอพลิเคชน่ั เลเยอร์ไฟร์วอลล์ (Application Layer Firewall) ⚫ แพค็ เกต็ ฟิ ลเตอร์ริ่งไฟร์วอลล์ (Package Filtering Firewall) ⚫ สเตตฟูลอินสเปคชนั่ ไฟร์วอลล์ (Stateful Inspection Firewall) 19 กนั ยายน 2562 17
แอพลเิ คชั่นเลเยอร์ไฟร์วอลล์ (Application Layer Firewall) ⚫ เรียกอีกอยา่ งหน่ึงวา่ พร็อกซ่ี (Proxy) หรือ Application Gateway คือ โปรแกรมที่ ทางานบนไฟร์วอลลท์ ่ีต้งั อยรู่ ะหวา่ งเน็ตเวริ ์ก 2 เน็ตเวริ ์ก ทาหนา้ ที่เพ่มิ ความปลอดภยั ของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหวา่ งเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพ่มิ ความปลอดภยั ไดม้ ากเนื่องจากมีการตรวจสอบขอ้ มูลถึงในระดบั ของแอพพลิเคชนั เลเยอร์ (Application Layer) ⚫ เม่ือไคลเอนตต์ อ้ งการใชเ้ ซอร์วสิ ภายนอก ไคลเอนตจ์ ะทาการติดต่อไปยงั Proxy ก่อน ไคลเอนตจ์ ะเจรจา (negotiate) กบั Proxy เพ่ือให้ Proxy ติดต่อไปยงั เครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยงั เคร่ืองปลายทางใหแ้ ลว้ จะมีการเชื่อมต่อ (connection) 2 การ เชื่อมต่อ คือ ไคลเอนตก์ บั Proxy และ Proxy กบั เครื่องปลายทาง โดยที่ Proxy จะทา หนา้ ที่รับขอ้ มูลและส่งต่อขอ้ มูลใหใ้ น 2 ทิศทาง ท้งั น้ี Proxy จะทาหนา้ ท่ีในการ ตดั สินใจวา่ จะใหม้ ีการเช่ือมต่อกนั หรือไม่ จะส่งต่อแพก็ เกต็ ใหห้ รือไม่ พร็อกซ่ีที่ดี ตอ้ งออกแบบมาเพอื่ จดั การกบั โปรโตคอลโดยเฉพาะ ตวั อยา่ งโปรโตคอล ที่มีพร็อกซี่ ไดแ้ ก่ HTTP, FTP, Telnet เป็นตน้ 19 กนั ยายน 2562 18
แอพลเิ คชั่นเลเยอร์ไฟร์วอลล์ (Application Layer Firewall) 19 กนั ยายน 2562 19
ข้อด-ี ข้อเสียของ Proxy 20 ⚫ ขอ้ ดี ⚫ มีความปลอดภยั สูง ⚫ รู้จกั ขอ้ มูลในระดบั แอพพลิเคชนั ⚫ ขอ้ เสีย ⚫ ประสิทธิภาพต่า ⚫ แต่ละบริการมกั จะตอ้ งการโปรเซสของตนเอง ⚫ สามารถขยายตวั ไดย้ าก 19 กนั ยายน 2562
แพค็ เกต็ ฟิ ลเตอร์ริ่งไฟร์วอลล์ (Package Filtering Firewall) ⚫ มีหนา้ ท่ีกรองแพค็ เกต็ ขอ้ มูลที่ผา่ นไฟร์วอลล์ ไฟร์วอลลช์ นิดน้ีจะอนุญาตใหม้ ีการ เช่ือมตอ่ โดยระหวา่ งเครื่องไคลเอนท์ และเซิร์ฟเวอร์ อาจเป็นไดท้ ้งั ฮาร์ดแวร์ และ ซอฟตแ์ วร์ เช่น เราทเ์ ตอร์ เป็นตน้ ⚫ เราทเ์ ตอร์มีหลกั การทางานดงั น้ี เมื่อไดร้ ับแพค็ เกต็ ขอ้ มูลกจ็ ะทาการตรวจสอบ หมายเลขไอพีเครื่องปลายทาง ก่อนทาการส่งขอ้ มูลไฟร์วอลลจ์ ะทาการรองแพค็ เกต็ แพค็ เกต็ จะถูกกรองตามนโยบายควบคุมการเขา้ ถึงวา่ นโยบายอนุญาตกจ็ ะทา การส่งขอ้ มูลตอ่ นโยบายไม่อนุญาตกไ็ ม่ส่งขอ้ มูล ถา้ ไม่ตรงกบั นโยบายขอ้ ใดเลย ส่ิงที่ไฟร์วอลลจ์ ะทาคือ ⚫ ถา้ มีนโยบายขอ้ ใดไม่ไดร้ ะบุไวว้ า่ อนุญาต ใหถ้ ือวา่ ไม่อนุญาต ⚫ ถา้ ไม่มีนโยบายขอ้ ใดไม่ไดร้ ะบุไวว้ า่ ไม่อนุญาต ใหถ้ ือวา่ อนุญาต 19 กนั ยายน 2562 21
แพค็ เกต็ ฟิ ลเตอร์ริ่งไฟร์วอลล์ (Package Filtering Firewall) 19 กนั ยายน 2562 22
เปรียบเทยี บข้อดขี ้อเสียในการเลือกอุปกรณ์มาทาหน้าที่ Packet Filtering เราท์เตอร์ ขอ้ ดี ขอ้ เสยี ประสทิ ธภิ เพมิ่ เตมิ ฟังกช์ นั การ คอมพวิ เตอร์ าพสงู มี ทางานไดย้ าก, อาจ ทท่ี ำหนำ้ ท่ี จานวน ตอ้ งการหน่วยความจา เป็ นเรำท์ อนิ เตอรเ์ ฟ มาก เตอร ์ สมาก เพมิ่ ประสทิ ธภิ าพปาน 19 กนั ยายน 2562 ฟังกช์ นั กลาง,จานวน การทางาน อนิ เตอรเ์ ฟสนอ้ ย,อาจ ไดไ้ ม่ มคี วามเสยี่ งจาก จากดั ระบบปฏบิ ตั กิ ารทใ่ี ช ้ 23
ข้อด-ี ข้อเสียของ Packet Filtering ⚫ ขอ้ ดี ⚫ ไม่ข้ึนกบั แอพพลิเคชนั ⚫ มีความเร็วสูง ⚫ รองรับการขยายตวั ไดด้ ี ⚫ ขอ้ เสีย ⚫ บางโปรโตคอลไม่เหมาะสมกบั การใช้ Packet Filtering เช่น FTP, ICQ 19 กนั ยายน 2562 24
สเตตฟูลอนิ สเปคชั่นไฟร์วอลล์ (Stateful Inspection Firewall) ⚫ โดยปกติแลว้ Packet Filtering แบบธรรมดา (ที่เป็น Stateless แบบท่ี มีอยใู่ นเราทเ์ ตอร์ทวั่ ไป) จะควบคุมการเขา้ ออกของแพก็ เกต็ โดย พิจารณาขอ้ มูลจากเฮดเดอร์ของแต่ละแพก็ เกต็ นามาเทียบกบั กฎท่ีมี อยู่ ซ่ึงกฎท่ีมีอยกู่ จ็ ะเป็นกฎที่สร้างจากขอ้ มูลส่วนท่ีอยใู่ นเฮดเดอร์ เท่าน้นั ดงั น้นั Packet Filtering แบบธรรมดาจึงไม่สามารถทราบได้ วา่ แพก็ เกต็ น้ีอยสู่ ่วนใดของการเชื่อมต่อ เป็นแพก็ เกต็ ที่เขา้ มาติดต่อ ใหม่หรือเปล่า หรือวา่ เป็นแพก็ เกต็ ท่ีเป็นส่วนของการเชื่อมต่อท่ี เกิดข้ึนแลว้ เป็นตน้ 19 กนั ยายน 2562 25
สเตตฟูลอนิ สเปคช่ันไฟร์วอลล์ (Stateful Inspection Firewall) ⚫ Stateful Inspection เป็นเทคโนโลยที ่ีเพิม่ เขา้ ไปใน Packet Filtering โดยในการพจิ ารณาวา่ จะยอมใหแ้ พก็ เกต็ ผา่ นไปน้นั แทนท่ีจะดูขอ้ มูลจากเฮดเดอร์เพียงอยา่ งเดียว Stateful Inspection จะนาเอาส่วนขอ้ มูลของแพก็ เกต็ (message content) และขอ้ มลู ท่ีไดจ้ ากแพก็ เกต็ ก่อนหนา้ น้ีท่ีไดท้ าการบนั ทึกเอาไว้ นามาพจิ ารณาดว้ ย จึงทาใหส้ ามารถระบุไดว้ า่ แพก็ เกต็ ใดเป็นแพก็ เกต็ ท่ีติดต่อเขา้ มาใหม่ หรือวา่ เป็นส่วนหน่ึงของการเช่ือมต่อที่มีอยแู่ ลว้ ⚫ ตวั อยา่ งผลิตภณั ฑท์ างการคา้ ที่ใช้ Stateful Inspection Technology ไดแ้ ก่ ⚫ Check Point Firewall-1 ⚫ Cisco Secure Pix Firewall ⚫ SunScreen Secure Net ⚫ และส่วนท่ีเป็น open source แจกฟรี ไดแ้ ก่ ⚫ NetFilter ใน Linux (iptables ในลีนุกซ์เคอร์เนล 2.3 เป็นตน้ ไป) 19 กนั ยายน 2562 26
นโยบายรักษาความปลอดภยั ของไฟร์วอลล์ ⚫ การใชน้ โยบายรักษาความปลอดภยั เป็นสิ่งสาคญั ที่สุดในการใชง้ าน ไฟร์วอลล์ การกาหนดนโยบายรักษาความปลอดภยั จะทาก่อนการที่ จะติดต้งั ไฟร์วอลล์ และควรวางนโยบายรักษาความปลอดภยั ให้ ครอบคลุมการใชง้ านเครือข่ายใหม้ ากท่ีสุด กฎขอ้ บงั คบั ท่ีใชใ้ น นโยบายรักษาความปลอดภยั เรียกวา่ “ACL (Access Control List)” เม่ือกาหนดนโยบายเรียบร้อยแลว้ จะนานโยบายไปบงั คบั ใชใ้ นไฟร์ วอลล์ เพราะถึงเราจะมีไฟร์วอลลท์ ่ีมีประสิทธิภาพสูง แต่ถา้ การ กาหนดนบายการรักษาความปลอดภยั ที่ไม่ครอบคลุมไฟร์วอลลก์ จ็ ะ ไม่มีประสิทธิภาพ 19 กนั ยายน 2562 27
ระบบตรวจจบั ผู้บุกรุก (IDS หรือ Intrusion Detection System) ⚫ ระบบตรวจจบั ผบู้ ุกรุกเป็นเคร่ืองมือแจง้ เตือนในระบบรักษาความ ปลอดภยั เครือขา่ ย โดยระบบตรวจจบั ผบู้ ุกรุกจะเพียงแจง้ เตือนภยั เมื่อ มีผบู้ ุกรุกเขา้ มาในเครือข่ายไม่สามารถกาจดั ผบู้ ุกรุกเขา้ มาในเครือข่าย ดว้ ยตวั เองได้ หนา้ ท่ีหลกั คือ แจง้ เตือนภยั ในการเขา้ ใชเ้ ครือขา่ ยที่ ผดิ ปกติ ระบบน้ีจะเปรียบเสมือนสญั ญาณกนั ขโมยรถยนตเ์ ม่ือมีส่ิง ผดิ ปกติเกิดข้ึนกบั รถสญั ญาณกจ็ ะดงั ข้ึนเพือ่ ใหเ้ จา้ ของรถรู้ตวั และ ป้องกนั ไดท้ นั 19 กนั ยายน 2562 28
19 กนั ยายน 2562 29
ประเภทของ IDS ⚫ IDS แบ่งออกเป็น 2 ประเภทคือ ⚫ Host-Based IDS และ ⚫ Network-Based IDS ⚫ โดยโฮสตเ์ บสไอดีเอสน้นั คือ ระบบที่ติดต้งั ท่ีโฮสตแ์ ละเฝ้าระวงั และ ตรวจจบั ความพยายามที่จะบุกรุกโฮสตน์ ้นั ส่วนเน็ตเวิร์คเบสไอดีเอส น้นั คือ ระบบท่ีตรวจดูแพก็ เกต็ ท่ีวงิ่ อยใู่ นเครือขา่ ย และแจง้ เตือนถา้ พบหลกั ฐานท่ีคาดวา่ จะเป็นการบุกรุกเครือขา่ ย 19 กนั ยายน 2562 30
Host-Based IDS ⚫ โฮสตเ์ บสไอดีเอสเป็นซอฟตแ์ วร์ท่ีรันบนโฮสต์ โดยปกติแลว้ IDS ประเภทน้ีจะ วเิ คราะห์ลอ็ ก (Log) เพ่ือคน้ หาขอ้ มูลเกี่ยวกบั การบุกรุก ในระบบยนู ิกซ์น้นั ลอ็ ก ท่ี IDS จะตรวจสอบ เช่น Syslog, Messages, Lastlog และ Wtmp เป็นตน้ ส่วน ในวนิ โดวส์น้นั IDS กจ็ ะตรวจสอบอีเวนตล์ อ็ กต่าง เช่น System, Application และ Security เป็นตน้ โดยปกติ IDS จะอา่ นเหตุการณ์ใหม่ท่ีเกิดข้ึนในลอ็ กและ เปรียบเทียบกบั กฎที่ต้งั ไวก้ ่อนหนา้ ถา้ ตรงกจ็ ะแจง้ เตือนทนั ที ดงั น้นั การท่ี IDS จะตรวจจบั การบุกรุกไดร้ ะบบจะตอ้ งบนั ทึกเหตุการณ์ต่าง ที่สาคญั ท่ีเกิด ข้ึนกบั ระบบในลอ็ กไฟล์ ถา้ ไม่เช่นน้นั IDS กไ็ ม่มีขอ้ มูลที่จะใชว้ เิ คราะห์วา่ มี การบุกรุกหรือไม่ 19 กนั ยายน 2562 31
Host-Based IDS ⚫ นอกจากการตรวจสอบลอ็ กไฟลแ์ ลว้ IDS บางชนิดอาจสามารถ ตรวจสอบการเรียกใชฟ้ ังกช์ นั ของระบบปฏิบตั ิการ (System Call) ซ่ึง ถา้ เหตุการณ์คลา้ ยหรือตรงกบั การบุกรุก IDS กจ็ ะแจง้ เตือนทนั ที นอกจากน้ี IDS ยงั สามารถตรวจสอบการแกไ้ ขไฟลใ์ นระบบไดด้ ว้ ย ซ่ึงอาจทาไดโ้ ดยการตรวจสอบวนั ท่ีที่แกไ้ ขคร้ังสุดทา้ ยและขนาดของ ไฟล์ เป็นตน้ วธิ ีท่ีแน่นอนกวา่ กจ็ ะคานวณเชค็ ซมั (Checksum) ของ ไฟลแ์ ลว้ เกบ็ ไวเ้ พอื่ เปรียบเทียบเม่ือมีการตรวจสอบความสงสภาพ ของไฟลใ์ นระบบ โดยเม่ือมีการคานวณเชค็ ซมั ใหม่แลว้ คา่ ที่ไดไ้ ม่ ตรงกบั ค่าเดิมกแ็ สดงวา่ ไฟลไ์ ดถ้ ูกแกไ้ ข 19 กนั ยายน 2562 32
ขอ้ ไดเ้ ปรียบของโฮสตเ์ บสไอดีเอส ⚫ โฮสตไ์ อดีเอสสามารถตรวจพบทุกการบุกรุกกบั โฮสตน์ ้นั ไดเ้ สมอถา้ ระบบสามารถบนั ทึกเหตุการณ์ดงั กล่าวในลอ็ กได้ หรือการบุกบกุ มีการ เรียกใชซ้ ิสเตม็ คอลล์ ⚫ โฮสตเ์ บสไอดีเอสสามาถบอกไดว้ า่ การบุกรุกน้นั สาเร็จหรือไม่ โดยการ วเิ คราะห์ขอ้ ความในลอ็ กหรือจากหลกั ฐานอ่ืน เช่น มีการแกไ้ ขไฟลท์ ี่ สาคญั ของระบบ เป็นตน้ ⚫ โฮสตไ์ อดีเอสสามารถบ่งช้ีไดว้ า่ มีการเขา้ ใชร้ ะบบอยา่ งผดิ ปกติโดยผใู้ ช้ ของระบบเอง 19 กนั ยายน 2562 33
ขอ้ เสียเปรียบของโฮสตเ์ บสไอดีเอส ⚫ โพรเซสของ IDS อาจถูกโจมตีเองจนอาจไม่สามารถแจง้ เตือนได้ ⚫ โฮสตเ์ บสไอดีเอสจะแจง้ เตือนกต็ ่อเม่ือเหตุการณ์ท่ีเกิดข้ึนน้นั ตรงกบั ที่กาหนดไวก้ ่อนหนา้ ถา้ แฮก็ เกอร์มีเทคนิคใหม่ IDS อาจไม่แจง้ เตือนการบุกรุกกไ็ ด้ ⚫ การทางานของโฮสตไ์ อดีเอสอาจมีผลกระทบต่อประสิทธิภาพของ โฮสตเ์ องเนื่องจากตอ้ งตรวจสอบลอ็ กไฟลแ์ ละซิสเตม็ คอลล์ 19 กนั ยายน 2562 34
Network-Based IDS ⚫ เน็ตเวิร์คเบสไอดีเอสคือ ซอฟตแ์ วร์พิเศษท่ีรันบนคอมพิวเตอร์เคร่ือง หน่ึงต่างหาก IDS ประเภทน้ีจะมีเน็ตเวริ ์คการ์ดที่ทางานในโหมดท่ี เรียกวา่ “โพรมิสเซียส (Promiscuous Mode)” ซ่ึงในโหมดน้ีเน็ตเวิร์ค การ์ดจะส่งต่อทุก แพก็ เกต็ ที่วิ่งอยบู่ นเครือข่ายไปใหแ้ อพพลิเคชนั โปรเซส ในขณะที่เน็ตเวริ ์คการ์ดที่รันในโหมดธรรมดาน้นั จะรับเอา เฉพาะแพก็ เกต็ ท่ีมีอยปู่ ลายทางตรงกบั ของเคร่ืองน้นั เท่าน้นั เมื่อทุก แพก็ เกต็ ส่งผา่ นไปใหแ้ อพพลิเคชนั IDS จะวเิ คราะห์ขอ้ มูลในแพก็ เกต็ เหล่าน้นั กบั กฎท่ีไดต้ ้งั ไวก้ ่อนหนา้ ถา้ ตรงกบั กฎกจ็ ะแจง้ เตือน ทนั ที 19 กนั ยายน 2562 35
Network-Based IDS ⚫ ในแต่ละ IDS จะมีขอ้ มูลที่ใชส้ าหรับเปรียบเทียบเพอ่ื บอกวา่ มีการ พยายามท่ีจะบุกรุกเครือข่ายหรือไม่ ซ่ึงขอ้ มูลน้ีจะเรียกวา่ “ซิกเนเจอร์ (Signature)” IDS จะใชซ้ ิกเนเจอร์ที่เกบ็ ไวเ้ ปรียบเทียบกบั ขอ้ มูลที่ได้ จากการวเิ คราะห์แพก็ เกต็ ท่ีว่งิ ในเครือขา่ ย ดงั น้นั ถา้ แฮก็ เกอร์มีเทคนิค ใหม่ และ IDS ไม่รู้จกั เทคนิคน้ีหรือมีซิกเนเจอร์น้ี IDS กจ็ ะไม่ สามารถตรวจจบั การบุกรุกประเภทน้ีได้ 19 กนั ยายน 2562 36
Network-Based IDS ⚫ โดยส่วนใหญ่แลว้ IDS ประเภทน้ีจะมี 2 เน็ตเวิร์คการ์ด โดยเน็ตเวริ ์ค การ์ดแรกจะเช่ือมต่อเขา้ เครือขา่ ยที่ตอ้ งการเฝ้าระวงั หรือตรวจจบั การ บุกรุก โดยเน็ตเวิร์คการ์ดน้ีจะไม่มีหมายเลขไอพี ดงั น้นั เคร่ืองอ่ืน ที่ อยใู่ นเครือข่ายจะมองไม่เห็นเครื่องน้ี ส่วนเน็ตเวริ ์คการ์ดอีกอนั หน่ึง จะเช่ือมต่อเขา้ กบั อีกเครือขา่ ยหน่ึงเพอ่ื ใชส้ าหรับการแจง้ เตือนภยั ไป ยงั เซิร์ฟเวอร์ โดยเครือข่ายน้ีจะตอ้ งไม่ถูกเชื่อมต่อกบั เครือขา่ ยหลกั ท่ี IDS จะตรวจจบั การบุกรุก 19 กนั ยายน 2562 37
ขอ้ ไดเ้ ปรียบของเน็ตเวริ ์คเบสไอดีเอส ⚫ เน็ตเวิร์คเบสไอดีเอสจะแอบซ่อนในเครือขา่ ย ทาใหผ้ บู้ ุกรุกไม่รู้วา่ กาลงั ถูกเฝ้ามองอยู่ ⚫ เน็ตเวริ ์คเบสไอดีเอสหน่ึงเคร่ืองสามารถใชเ้ ฝ้าระวงั การบุกรุกไดก้ บั หลากระบบหรือโฮสต์ ⚫ เน็ตเวิร์คเบสไอดีเอสสามารถตรวจจบั ทุก แพก็ เกต็ ที่วง่ิ ไปยงั ระบบท่ี ถูกเฝ้าระวงั ภยั อยู่ 19 กนั ยายน 2562 38
ขอ้ เสียเปรียบของเน็ตเวริ ์คเบสไอดีเอส ⚫ เน็ตเวริ ์คเบสไอดีเอสจะแจง้ เตือนภยั กต็ อ่ เมื่อตรวจพบแพก็ เกต็ ท่ีตรงกบั ซิกเน เจอร์ท่ีกาหนดไวก้ ่อนหนา้ เท่าน้นั ⚫ เน็ตเวริ ์คเบสไอดีเอสอาจพลาดที่จะตรวจจบั แพก็ เกต็ ไดใ้ นกรณีท่ีมีการใช้ เครือข่ายมาก จนทาให้ IDS วเิ คราะห์แพก็ เกต็ ที่วง่ิ อยบู่ นเครือข่ายไม่ทนั หรือมี เสน้ ทางขอ้ มูลอ่ืนท่ีไม่ตอ้ งผา่ น IDS ⚫ เน็ตเวริ ์คเบสไอดีเอสไม่สามารถสรุปไดว้ า่ การบุกรุกน้นั สาเร็จหรือไม่ ⚫ เน็ตเวริ ์คเบสไอดีเอสไม่สามารถตรวจวเิ คราะห์แพก็ เกต็ ที่ถูกเขา้ รหสั ไวไ้ ด้ ⚫ เน็ตเวริ ์คเบสไอดีเอสตอ้ งเซตเพื่อใหพ้ อร์ตท่ีเชื่อมตอ่ กบั IDS น้นั สามารถ มองเห็นทุกแพก็ เกต็ ที่วงิ่ ผา่ นสวติ ซ์น้นั 19 กนั ยายน 2562 39
การแจ้งเตือนภัยของ IDS ⚫ เมื่อ IDS ไดถ้ ูกคอนฟิ กอยา่ งถูกตอ้ งแลว้ เหตุการณ์ท่ี IDS จะรายงาน ใหท้ ราบน้นั สามารถแบ่งออกไดเ้ ป็น 3 ประเภทคือ ⚫ การสารวจเครือข่าย ⚫ การโจมตี ⚫ เหตุการณ์ท่ีน่าสงสยั หรือผดิ ปกติ 19 กนั ยายน 2562 40
การสารวจเครือข่าย ⚫ เหตุการณ์ที่เป็นการสารวจเครือขา่ ยเป็นการพยายามของผบู้ ุกรุกท่ีจะรวบรวมขอ้ มูล เกี่ยวกบั ระบบเครือข่ายก่อนที่จะโจมตีจริง เช่น ⚫ IP Scans : ไอพีสแกนเป็นความพยายามของผบู้ ุกรุกท่ีทราบเกี่ยวกบั โฮสต์ ต่าง ท่ีอยใู่ นเครือข่าย ⚫ Port Scans : ขอ้ มูลต่อมาท่ีผบู้ ุกรุกตอ้ งการคือ บริการใดบา้ งท่ีแตล่ ะโฮสต์ ใหบ้ ริการอยู่ ซ่ึงหมายเลขพอร์ตน้นั จะเป็นส่ิงท่ีบ่งบอกวา่ มีแอพพลิเคชนั ใดบา้ งท่ีใหบ้ ริการอยู่ ⚫ Trojan Scans : การสแกนโทรจนั น้นั เป็นความพยายามของผบู้ ุกรุกที่จะ ตรวจเชค็ วา่ มีพอร์ตของโทรจนั ใดบา้ งที่เปิ ดอยู่ ⚫ Vulnerability Scans : การสแกนหาจุดอ่อนของระบบ เป็นความพยายามท่ีจะ ใชก้ ารโจมตีหลาย แบบกบั ระบบใดระบบหน่ึงเพอื่ ตรวจเชค็ ดูระบบน้ีวา่ มี จุดอ่อนอยา่ งไร 19 ⚫กนั ยายน2562 File Snooping : ไฟลส์ นูฟปิ งเป็ นการตรวจเชค็ วา่ ยสู เซอร์มีสิทธ์ิอยา่ งไรกบั 41
การโจมตี ⚫ การโจมตีเครือขา่ ยหรือระบบน้นั ควรใหล้ าดบั ความสาคญั สูงสุด เม่ือ IDS รายงานเหตุการณ์น้ีผดู้ ูแลระบบตอบสนองกบั เหตุการณ์น้ีทนั ที เพือ่ ป้องกนั การสูญเสียมากกวา่ น้ี บางคร้ัง IDS อาจแยกแยะระหวา่ ง การโจมตีจริง กบั การสแกนหาจุดอ่อน เนื่องจากเหตุการณ์ท้งั สอง น้นั IDS จะตรวจพบซิกเนเจอร์ของการโจมตีเหมือนกนั ผดู้ ูแลระบบ อาจตอ้ งวเิ คราะห์ขอ้ มูลเพิ่มเติม การสแกนหาจุดอ่อนน้นั IDS จะ รายงานการโจมตีหลาย รูปแบบในช่วงเวลาส้นั กบั ระบบใดระบบ หน่ึง ส่วนการโจมตีจริงน้นั อาจมีการรายงานการโจมตีแค่รูปแบบ เดียวกบั ระบบใดระบบหน่ึง 19 กนั ยายน 2562 42
เหตุการณ์ทนี่ ่าสงสัยหรือผดิ ปกติ ⚫ เหตุการณ์อ่ืน ท่ีผดิ ปกติและไม่ไดจ้ ดั อยใู่ นประเภทต่าง ที่กล่าวมา ขา้ งตน้ น้นั คือวา่ เป็นเหตุการณ์ท่ีน่าสงสยั วา่ อาจมีการโจมตีเครือขา่ ย เกิดข้ึน ซ่ึงผดู้ ูแลระบบตอ้ งวเิ คราะห์และสืบหาสาเหตุของเหตุการณ์ ท่ีวา่ น้ีต่อ ตวั อยา่ งเช่น บางโฮสตอ์ าจส่งแพก็ เกต็ ที่มีขอ้ มูลส่วนหวั ผดิ ไปจากที่กาหนดในมาตรฐาน ซ่ึงเหตุการณ์น้ีอาจเกิดข้ึนเน่ืองจากการ โจมตีแบบใหม่ หรือเน็ตเวิร์คการ์ดเคร่ืองส่งอาจเสีย หรือขอ้ มูลอาจ เกิดผดิ พลาดในระหวา่ งการส่งผา่ นสายสญั ญาณ IDS จะไม่มีขอ้ มูล เพยี งพอท่ีจะบอกไดว้ า่ เหตุการณ์น้ีเกิดข้ึนเพราะอะไร แต่จะแจง้ เตือน ใหผ้ ดู้ ูแลระบบทราบเพอ่ื สืบคน้ หาสาเหตุที่แทจ้ ริงต่อไป 19 กนั ยายน 2562 43
\"IPS\" (Intrusion Prevention System) ⚫ ปัญหาของ IDS กค็ ือ บางที IDS ไม่สามารถตรวจจบั การบุกรุกได้ เนื่องจากมี ปัญหาเรื่องการทางานกบั สภาวะแวดลอ้ ม Switching หรือ ทางานกบั ระบบ Gigabit Ethernet ท่ีมีความเร็วสูง (ปกติ IDS โดยทว่ั ไปจะมีปัญหาเมื่อ Bandwidth ของระบบมากกว่า 600 Mbps) ⚫ นอกจากน้ี ยงั เจอปัญหาอื่น อีก เช่น ในกรณีของ Signature Based IDS น้นั บางคร้ัง Signature ของการบุกรุกในแบบต่าง ที่ IDS รู้จกั ไม่ไดถ้ ูก update อยา่ งสม่าเสมอ ทาให้ IDS ไม่สามารถตรวจจบั การบุกรุกได้ และ ยงั เจอกบั เทคนิคของพวก Hacker ท่ีเรียกวา่ \"IDS Evasion\" โดย Hacker จะทาการยงิ IP Packet ที่มีการดดั แปลง IP Header แปลก เพ่อื หลบเลี่ยงการทางานของ IDS ตลอดจน Anomaly IP Packet แบบต่าง ที่มีการปรับแตง่ ใหแ้ ตกตา่ งออกไป จาก IP Packet ปกติ ทาให้ IDS ไม่สามารถตรวจจบั และเตือนเราไดอ้ ยา่ งถูกตอ้ ง 19 กนั ยายน 2562 44
\"IPS\" (Intrusion Prevention System) ⚫ แต่ปัญหาที่สาคญั ที่สุดของ IDS กค็ ือ โดยส่วนใหญ่แลว้ IDS ไม่ สามารถป้องกนั การบุกรุกในลกั ษณะ \"Real Time\" ได้ เช่นการจู่โจม แบบ DoS (Denial of Services) หรือ DDoS (Distributed Denial of Services) Attack จากปัญหาน้ี จึงมีคนคิดคน้ เทคโนโลยใี หม่ข้นึ มา เรียกวา่ \"IPS\" (Intrusion Prevention System) ซ่ึงเราอาจจะใหค้ าจากดั ความง่าย วา่ \"IPS\" = \"IDS\"+ \"Active Response\" หมายถึง IPS สามารถป้องกนั การบุกรุกและหยดุ การบุกรุกไดท้ นั ท่วงที 19 กนั ยายน 2562 45
\"IPS\" (Intrusion Prevention System) ⚫ IPS น้นั แบ่งออกเป็น 2 Generations ใน Generation แรกน้นั การหยดุ การบุกรุกทาไดโ้ ดย การส่งสญั ญาณ TCP Reset จดั การกบั TCP Session ที่ IPS คิดวา่ เป็นการบุกรุกหรือ อาจจะเขา้ ไปเปล่ียนแปลงแกไ้ ข Rules Based ใน Firewall แบบอตั โนมตั ิ ซ่ึงบางคร้ังอาจ เกิดความผดิ พลาดได้ สาหรับ IPS ใน Generation ที่ 2 น้นั ไดม้ ีการปรับปรุงใหเ้ ป็น ลกั ษณะ \"Intelligent Network Element\" ซ่ึงสามารถรู้จกั เทคนิคของพวก Hacker เช่น IDS Evasion หรือ Anomaly IP Packet โดยมีการวเิ คราะห์ IP Packet Traffic อยา่ งละเอียด ⚫ IPS รุ่นใหม่ที่มีความฉลาดมากข้ึนน้นั มีการใชเ้ ทคโนโลยขี ้นั สูงในการวเิ คราะห์ขอ้ มลู เช่น Neutral Network และ Fuzzy Logic ซ่ึงจะทาใหล้ ดปัญหา Fault Positive และ Fault Negative ลงไดอ้ ยา่ งมาก ตลอดจน เน่ืองจาก IPS ใชห้ ลกั การเปรียบเทียบขอ้ มูล แปลกปลอมจากการปรับแต่ง IP Packet โดยใชม้ าตรฐาน RFC ของ IETF ในการ ตดั สินใจ ทาให้ IPS บางรุ่น สามารถป้องกนั การ โจมตีแบบ DoS หรือ DDoS Attack ได้ ดว้ ย 19 กนั ยายน 2562 46
ปัญหาของ IPS ⚫ ปัญหาของ IPS กม็ ีเหมือนกนั ที่ชดั เจนเลยกค็ ือ ยงั มีราคาคอ่ นขา้ งแพงมาก เม่ือ เปรียบเทียบกบั IDS ส่วนใหญ่แลว้ IPS ที่มาใน ลกั ษณะของ Network Appliance น้นั จะมีราคาในหลกั ลา้ นบาทข้ึนไป และ การทางานของ IPS จะใช้ หลกั การที่เรียกวา่ \"Inline\" หรือ บางตาราเรียกวา่ \"Gateway IDS\" คือ มีการนา IPS ไปก้นั กลางระหวา่ ง ตน้ ทาง กบั ปลายทาง ของเสน้ ทางการส่งขอ้ มูล โดย ไม่ตอ้ งมีการกาหนด IP address ใหก้ บั ตวั IPS ปัญหากค็ ือ หากตวั IPS เกิดเสีย ถา้ IPS ไม่สามารถ Bypass ตวั เองได้ กจ็ ะทาใหเ้ กิดปัญหาในการรับส่งขอ้ มูล ระหวา่ งตน้ ทางกบั ปลายทาง ตลอดจนถา้ IPS ตดั สินใจผดิ การ \"Block\" IP Packet ท่ี IPS คิดวา่ เป็นการบุกรุก แตจ่ ริง แลว้ เป็น Traffic การใชง้ านธรรมดา กจ็ ะเกิดปัญหากบั ผใู้ ชง้ านทวั่ ไปไดเ้ ช่นกนั 19 กนั ยายน 2562 47
การเข้ารหัสข้อมูล - คริพโตกราฟี (Cryptography) ⚫ การรักษาความปลอดภยั ของเครือขา่ ยโดยใชไ้ ฟร์วอลล์ และ IDS อาจ ป้องกนั การร่ัวไหลของขอ้ มูลไดไ้ ม่เพยี งพอ เพราะโดยส่วนใหญ่แลว้ การรับขอ้ มูลทว่ั ไปจะอยใู่ นรูปแบบของเคลียร์เทก็ ซ์ คือ ขอ้ มูลทวั่ ไป ซ่ึงไม่ไดร้ ับการเขา้ รหสั จึงไม่ไดร้ ับการป้องกนั ที่ดีพอ เมื่อทาการ ส่งขอ้ มูลผา่ นเครือข่ายจะทาใหข้ อ้ มูลถูกคดั ลอก หรือขโมยขอ้ มูลได้ ง่าย ดงั น้นั เพ่อื ป้องกนั การคดั ลอก หรือขโมยขอ้ มูลควรทาการ เขา้ รหสั ขอ้ มูลก่อนทาการส่งขอ้ มูล 19 กนั ยายน 2562 48
การเข้ารหัสข้อมูล - คริพโตกราฟี (Cryptography) 49 ⚫ Cryptography หมายถึง ศาสตร์ท่ีวา่ ดว้ ยการเขา้ รหสั ⚫ Cryptanalysis หมายถึง ศาสตร์ท่ีวา่ ดว้ ยการถอดรหสั ⚫ Cryptology เป็นการรวมท้งั สองศาสตร์เขา้ ดว้ ยกนั ⚫ Steganography เป็นศาสตร์และศิลป์ ช้นั สูงที่วา่ ดว้ ยการ ซ่อนหรือปกปิ ดขอ้ มูลที่เป็นความลบั เรียกไดอ้ ีกอยา่ งวา่ digital watermarking 19 กนั ยายน 2562
การเข้ารหัสข้อมูล - คริพโตกราฟี (Cryptography) ⚫ ขอ้ มูลที่ยงั ไม่ถูกเขา้ รหสั จะเรียกวา่ Plain Text ⚫ ขอ้ มูลท่ีเขา้ รหสั แลว้ จะเรียกวา่ Cipher Text ⚫ การเขา้ รหสั ขอ้ มูลแบ่งออกเป็น 2 ประเภท คือ ⚫ การเขา้ รหสั และถอดรหสั แบบซีเคร็ทคีย์ (Secret Key) หรือ Symmetric Key Cryptography ⚫ การเขา้ รหสั และถอดรหสั แบบคียค์ ู่ (Public/Private Key) หรือ Asymmetric Key Cryptography 19 กนั ยายน 2562 50
Search
