คำถามท้ายบท
1. จงอธิบายความหมายของการสื่อสารข้อมูล และยกตัวอย่างประกอบ
การสื่อสารข้อมูล หมายถึง การถ่ายทอดข้อมูลจากจุดหนึ่งไปยังอีกจุดหนึ่งผ่านระบบเครือข่ายการสื่อสาร การถ่ายทอดข้อมูลจะเกิดประสิทธิภาพ สูงสุดก็ต่อเมื่อข้อมูลนั้นถูกเปลี่ยนให้ไปอยู่ในรูปแบบที่เหมาะแก่การถ่ายทอด ซึ่งจะเป็นลักษณะที่เหมาะสมแก่ผู้ส่งและผู้รับข้อมูล อุปกรณ์ที่ใช้ไม่จำเป็นจะต้องเป็นเครื่องคอมพิวเตอร์เพียงอย่างเดียว การสื่อสารจึงเป็นการเจาะถึงการส่งข่าวสารที่ถูกเปลี่ยนให้ไปอยู่ในรูปแบบดิจิทัล (Digital) ที่เครื่องคอมพิวเตอร์เข้าใจได้เพื่อจัดการนำส่งผ่านระบบเครือข่ายสื่อสารทั้งในรูปแบบดิจิทัลหรือแบบแอนะล็อก (Analog) ความผิดพลาดที่เกิดขึ้นระหว่างการถ่ายทอดข้อมูลจะต้องสามารถ ตรวจสอบและแก้ไขได้
2. องค์ประกอบพื้นฐานของการสื่อสารข้อมูลมีอะไรบ้าง กล่าวโดยสรุปพร้อมยกตัวอย่าง
ตอบ พื้นฐานหลัก 4 องค์ประกอบ
- ผู้ส่ง (Sender) และผู้รับ (Receiver) ผู้ส่งหรืออุปกรณ์ส่งข้อมูลต้นทางของการสื่อสารข้อมูลเป็นแหล่งกำเนิดข่าวสารทำหน้าที่จัดส่งข่าวสารเข้าสู่ระบบ โดยที่ผู้ผลิตหรือสร้างข่าวสารที่ แท้จริงอาจเป็นพนักงานที่พิมพ์ข้อมูลเข้าสู่เครื่องคอมพิวเตอร์หรือโปรแกรมอาจเป็นอุปกรณ์ที่ทำหน้าที่ถ่ายทอดข่าวสารต่อเนื่องมาจากคอมพิวเตอร์เครื่องอื่นได้ ส่วนผู้รับหรืออุปกรณ์รับข้อมูลทำหน้าที่ในการรับข้อมูลที่ถูกถ่ายทอดมาจากผู้ส่งข้อมูลผ่านสื่อที่เชื่อมระหว่าง
- โพรโทคอล (Protocol) และ ซอฟต์แวร์ (Software) โพรโทคอล คือวิธีการหรือกฎระเบียบต่าง ๆ เพื่อควบคุมการทำงานของระบบสื่อสารข้อมูลทั้งผู้ส่งและผู้รับเพื่อให้ผู้รับและผู้ส่งสามารถเข้าใจกันหรือคุยกันรู้เรื่องเป็นไปด้วยความเรียบร้อย เช่น คนไทยคนหนึ่งอยู่ในประเทศไทยหมุนโทรศัพท์ติดต่อไปยังอีกคน
- ข่าวสาร (Message) สัญญาณอิเล็กทรอนิกส์ที่ส่งผ่านไปในระบบสื่อสารข้อมูลเรียกว่า ข่าวสาร หรือสารสนเทศ (Information) รูปแบบของข่าวสารที่ใช้ในการสื่อสารข้อมูล
- สื่อกลาง (Medium) สื่อกลางเป็นเส้นทางการสื่อสาร เพื่อนำข้อมูลจากต้นทางไปยัง ปลายทาง สื่อกลางการสื่อสารอาจเป็นเส้นลวดทองแดง สายไฟ สายเคเบิ้ล สายไฟเบอร์ออปติกหรือคลื่นที่ส่งผ่านทางอากาศ เช่น คลื่นไมโครเวฟ
3. องค์กรบริหารคลื่นความถี่มีอะไรบ้าง กล่าวโดยสรุป
ตอบ - คณะกรรมการการสื่อสารแห่งชาติ (Federal Communications Commission; FCC - คณะกรรมการบริหารโทรคมนาคมและข่าวสารแห่งชาติประเทศสหรัฐอเมริกา (National Telecommunications and Information Administration; NTIA)
- องค์กรควบคุมมาตรฐาน
- องค์กร America National Standards Institute
- องค์กร International Standards Organization (ISO)
- องค์กร Corporation for Open System (COS)
- องค์กร Consultative Committee on International Telegraph and Telephone (CCITT)
- องค์กร International Telecommunication Union (ITU)
- องค์กร Institute of Electrical and Electronics Engineers (IEEE)
- องค์กร Electronics Industries Association (EIA)
- องค์กรด้านกิจการโทรคมนาคมในประเทศไทย(กทช)
4. จงอธิบายความหมายดังต่อไปนี้
อัตราการส่งบิต
หน่วยนับข้อมูลที่เล็กที่สุดที่มีการใช้งานทางคอมพิวเตอร์ในปัจจุบัน เป็นคำย่อมาจากคำว่า “Binary Digit” หรือตัวเลขฐานสอง ดังนั้นบิตจึงมี ความหมายได้เพียงสองอย่างคือ “0” หรือ “1” เท่านั้น เมื่อบิตมีค่าเป็น “1” มีความหมายว่า เปิด (On) ซึ่ง หมายถึง สถานะที่ได้รับสัญญาณ
อัตราการส่งบอด
“บอด (baud)” มีความหมายว่า เป็นการเปลี่ยนแปลงของสัญญาณที่เกิดขึ้น อัตราการส่งบอด (baud rate) จึงหมายถึง การเปลี่ยนแปลงของสัญญาณที่เกิดขึ้นต่อหน่วยเวลา เช่น จำนวนครั้งของการเปลี่ยนแปลงขนาดแรงดันไฟฟ้า หรือการเปลี่ยนแปลงทิศทางของสัญญาณ ซึ่งโดยปกติเปรียบเทียบหน่วยเป็นวินาที ดังภาพที่ 1.5 แสดงรูปทรงของสัญญาณคลื่นแม่เหล็กไฟฟ้า เรียกว่า Sine Wave การวัดในที่นี้หมายถึงการนับจำนวนลูกคลื่นใน 1 cycle ที่เกิดขึ้น
ความถี่ของสัญญาณ
การสื่อสารข้อมูลให้นิยามคำว่า ความถี่ของสัญญาณ (Frequency) ไว้ว่าเป็นจำนวนครั้งหรือจำนวนวงรอบของสัญญาณ ซึ่งเป็นความหมายเดียวกันกับอัตราการส่งบอด แต่ความถี่ของสัญญาณเป็นคำที่มีความหมายกว้างกว่ามากเพราะไม่ได้จำกัดอยู่แค่เพียงการส่งข้อมูลแต่หมายถึงการส่งสัญญาณใด ๆ ก็ได้ หน่วยนับที่ใช้วัดความถี่ของสัญญาณเรียกว่า เฮิรตซ์ (Hertz; Hz) ซึ่งความถี่ 1 Hz คือมีสัญญาณเกิดขึ้น 1 ครั้งต่อวินาที หน่วยนับที่นำมาใช้ผสมด้วยคือ กิโล (Kilo; k) คือหนึ่งพันหน่วย เมกะ (Mega; M) คือหนึ่งล้านหน่วย และ กิกะ (Giga; G) คือ หนึ่งพันล้านหน่วย เช่น ความถี่ขนาด 6,000,000,000 Hz (หกพันล้านเฮิรตซ์) อาจเขียนในรูปต่าง ๆ ที่มีความหมายเดียวกันคือ 6,000,000 kHz (หกล้านกิโลเฮิรตช์) 6,000 MHz (หกพันเมกะเฮิรตซ์) และ 6 GHz
ความกว้างช่องสัญญาณ
หมายถึงระยะห่างระหว่างคลื่นความถี่สองคลื่นมีหน่วยนับเป็นเฮิรตซ์ ความกว้างของช่องสัญญาณถูกนำมาใช้ในการอธิบายช่วงความถี่คลื่นสัญญาณที่ใช้ในการสื่อสารผ่านสื่อตัวกลางใด ๆ ถ้าสมมุติให้สื่อตัวกลางที่ใช้ เช่น สายโทรศัพท์เปรียบเทียบเป็นถนนแล้ว ความกว้างของช่องสัญญาณก็คือ ความกว้างของถนนสายนั้น ซึ่งถ้าเป็นถนนที่กว้างมากรถยนต์ก็จะสามารถสัญจรไป-มาได้เป็นจำนวนมาก แต่ถ้าเป็นถนนแคบรถยนต์ที่สัญจร
สัญญาณดิจิทัล
สัญญาณที่เกี่ยวข้องกับข้อมูลแบบไม่ต่อเนื่อง(Discrete Data) ที่มีขนาดแน่นอนซึ่งขนาดดังกล่าวอาจกระโดดไปมาระหว่างค่าสองค่า คือ สัญญาณระดับสูงสุดและสัญญาณระดับต่ำสุด ซึ่งสัญญาณดิจิตอลนี้เป็นสัญญาณที่คอมพิวเตอร์ใช้ในการทำงานและติดต่อสื่อสารกัน
สัญญาณแอนะล็อก
สัญญาณที่เกี่ยวข้องกับข้อมูลแบบต่อเนื่อง(Continuous Data) ที่มีขนาดไม่คงที่ มีลักษณะเป็นเส้นโค้งต่อเนื่องกันไป โดยการส่งสัญญาณแบบอนาล็อกจะถูกรบกวนให้มีการแปลความหมายผิดพลาดได้ง่าย เช่น สัญญาณเสียงในสายโทรศัพท์ เป็นต้น
5. สัญญาณดิจิทัล และสัญญาณแอนะล็อกแตกต่างกันอย่างไร จงอธิบายพร้อมยกตัวอย่าง
จะมีลักษณะที่แตกต่างกันอย่างชัดเจนคือสามารถแยกข้อมูลตัวที่อยู่ติดกันออกจากกันได้โดยง่าย คุณสมบัติข้อนี้เรียกว่า การแยกจากกัน (Discrete) เช่น ข้อมูลที่เป็นข้อความ จำนวนเลข หรือข้อความที่เขียนด้วยรหัสแทน ข้อมูลแบบมอร์ส (Morse Code) ข้อมูลแต่ละตัว (ตัวหนังสือ ตัวเลข หรือรหัส) จะแยกจากกันอย่าง ชัดเจน กล่าวคือ เลขจำนวน 123 (หนึ่งร้อยยี่สิบสาม) ประกอบด้วยตัวเลขสามตัว คือ เลข 1 เลข 2 และเลข 3 เป็นต้น ข้อมูลที่มีคุณสมบัตินี้สามารถแปลงให้อยู่ในรูปข้อมูลดิจิทัล (คือกลุ่มข้อมูลที่ประกอบขึ้นจากเลข 0 และ 1 เท่านั้น) และนำไปประมวลผลในเครื่องดิจิทัลคอมพิวเตอร์ได้โดยง่าย ข้อมูลบางอย่างมีความต่อเนื่องที่ไม่สามารถแยกส่วนประกอบของข้อมูล
6. รหัสแทนข้อมูล (Data Code) มีอะไรบ้าง กล่าวโดยสรุป
ตอบ คอมพิวเตอร์เก็บข้อมูลในลักษณะตัวเลข “0” และ “1” ที่ได้รับการจัดกลุ่มอย่างมีความหมาย เรียกว่า รหัสแทนข้อมูล (Data Code) รหัสเหล่านี้ถูกนำมาใช้ทั้งในการแปลงรูปแบบข้อมูลที่นำเข้ามาเพื่อการจัดเก็บอย่างมีประสิทธิภาพและการนำกลับมาใช้งานได้อย่างถูกต้อง นอกจากนั้นยังอาจนำไปใช้งานด้านอื่น เช่น การแปลงรหัสแทนข้อมูลระหว่างเครื่องคอมพิวเตอร์
7. ระบบการเก็บข้อมูลและอุปกรณ์ที่ใช้กับระบบเก็บข้อมูล มีอะไรบ้าง กล่าวโดยสรุป
ตอบ ฮาร์ดดิสค์ (Harddisk)
เรียกอีกอย่างว่า Fix Disk เป็นสื่อบันทึกข้อมูลประเภทหนึ่ง (Storage Device) เป็นอุปกรณ์ ที่จำเป็น และ เป็นอุปกรณ์พื้นฐานที่ติดตั้งมาพร้อมกับเครื่องคอมพิวเตอร์ทุกเครื่อง ใช้ในการติดตั้งระบบปฏิบัติการ ติดตั้งโปรแกรมประยุกต์และ เก็บข้อมูลของผู้ใช้ เนื่องจากโปรแกรม หรือข้อมูลในปัจจุบันมีขนาดใหญ่ ไม่สามารถที่จะเก็บ ลงในแผ่นดิสเก็ต ได้หมด ฮาร์ดดิสค์ จะบรรจุอยู่ในกล่องโลหะปิดสนิท เพื่อป้องกันสิ่งสกปรกหลุดเข้าไปภายใน ซึ่งถ้าต้องการเปิดออก จะต้องเปิดในปลอดฝุ่น
ดาต้าเซนเตอร์ (Data Center)
คือ สถานที่และอุปกรณ์เครื่องมือที่ทำหน้าที่อำนวยความสะดวกเกี่ยวกับการควบคุมระบบคอมพิวเตอร์ที่สำคัญ และองค์ประกอบอื่น ๆ ที่เกี่ยวข้องกับระบบคอมพิวเตอร์ โดยทั่วไปแล้วจะรวมถึงระบบควบคุมสภาวะแวดล้อมที่เกี่ยวข้องกับระบบคอมพิวเตอร์เช่น ระบบปรับอากาศ (Air Conditioning) ระบบป้องกันอัคคีภัย (Fire Suppression) เป็นต้น นอกจากนี้ยังรวมถึงระบบไฟฟ้าสำรอง ระบบเชื่อมต่อเครือข่ายสำรอง และระบบป้องกันภัยระดับสูง หน่วยงานที่มีดาต้าเซ็นเตอร์คือ หน่วยงานที่ต้องอาศัยข้อมูลเป็นสิ่งสำคัญขององค์กร จะต้องมีดาต้าเซ็นเตอร์เป็นองค์ประกอบอยู่ด้วย ตัวอย่างองค์กร เช่น ธนาคารจะมีหน่วยงานดาต้าเซ็นเตอร์เป็นของตนเอง
วันเสาร์ที่ 28 พฤศจิกายน พ.ศ. 2552
วันพุธที่ 11 พฤศจิกายน พ.ศ. 2552
การรักษาความปลอดภัยในเครือข่าย
การรักษาความปลอดภัยในเครือข่าย
ปัจจุบันเครือข่ายอินเตอร์เน็ตเติบโตอย่างรวดเร็ว เกือบจะทุกองค์กรได้เชื่อมต่อเครือข่ายตนเองเข้ากับอินเตอร์เน็ตเพื่อใช้ประโยชน์จากแหล่งข้อมูลที่ใหญ่ที่สุดในโลกนี้ ประโยชน์ที่ได้รับจากการเชื่อมต่อนี้อาจมากเกินกว่าที่คาดไว้ แต่โทษนั้นก็อาจมีมากเช่นกัน ดังนั้นการรักษาความปลอดภัยในเครือข่ายจึงเป็นสิ่งที่สำคัญและจำเป็นสำหรับองค์กร เนื่องจากข้อมูลและเครื่องมือที่ใช้สำหรับการบุกรุกระบบเครือข่ายนั้น สามารถหาจากอินเตอร์เน็ตได้ง่าย และยังง่ายต่อการใช้งาน ถึงแม้ว่าคนที่ไม่มีความรู้เกี่ยวกับคอมพิวเตอร์มากนักแต่ก็สามารถใช้ เครื่องมือโจมตีเครือข่ายเหล่านี้ได้อย่างง่ายดาย ดังนั้นผู้ดูแลระบบจำเป็นที่จะต้องวางแผนและติดตั้งระบบการรักษาความปลอดภัยในเครือข่ายได้ดีด้วย เมื่อเชื่อมเครือข่ายส่วนบุคคลเข้ากับอินเตอร์เน็ตแล้ว นับเป็นการเชื่อมต่อเครือข่ายเข้ากับอีกกว่า 50,000 เครือข่ายและผู้ใช้ของแต่ละเครือข่ายนั้น ๆ ถึงแม้ว่าจะเป็นการเปิดประตูสู่ แอพพลิเคชันมากมายที่เป็นประโยชน์ และเป็นช่องทางที่ใช้สำหรับสื่อสารกับผู้คนและองค์กร ทั่วโลกได้ อย่างไรก็ตามเครือข่ายส่วนบุคคลส่วนใหญ่จะมีข้อมูลที่ไม่สมควรที่จะแชร์กับผู้ใช้อินเตอร์เน็ต อีกทั้งอาจมีผู้ใช้อินเตอร์เน็ตบางกลุ่มที่อาจทำกิจกรรมที่ผิดกฏหมาย ด้วยเหตุนี้จึงทำให้เกิดคำถามเกี่ยวกับการรักษาความปลอดภัยในเครือข่ายขึ้น 2 คำถาม ดังนี้
- เราจะปกป้องข้อมูลลับจากบุคคลที่ไม่ควรเข้าถึงได้อย่างไร
- เราควรจะปกป้องเครือข่ายและทรัพยากรจากบุคคลที่ประสงค์ร้าย หรือที่เกิดจากอุบัติเหตุที่เริ่มจากข้างนอกเครือข่ายของเราอย่างไร
ข้อมูลที่เป็นความลับขององค์กรอาจจะอยู่หนึ่งในสองที่คือ อาจอยู่ในอุปกรณ์เก็บข้อมูล เช่น ฮาร์ดดิสก์ , เทป , หน่วยความจำ หรืออาจจะอยู่ในระหว่างการส่งผ่านเครือข่ายในรูปของแพ็กเก็ต ซึ่งทั้งสองที่นี้มีโอกาสที่จะถูกขโมยได้ทั้งจากผู้ใช้ที่อยู่ในเครือข่ายเอง หรือจากผู้ใช้ที่อยู่บนอินเตอร์เน็ต ดังนั้นการรักษาความปลอดภัยข้อมูลนั้นควรที่จะปกป้องข้อมูลที่อยู่ทั้งสองที่นี้ ในบทนี้ผู้เขียนจะกล่าวถึงการบุกรุกเครือข่ายในรูปแบบต่าง ๆ และเทคโนโลยีที่ใช้ป้องกันและรักษาความปลอดภัยในเครือข่าย ซึ่งหวังว่าจะเป็นแนวทางสำหรับป้องกันภัยที่อาจจะเกิดขึ้นกับเครือข่ายและข้อมูลขององค์กรได้
การโจมตีเครือข่าย
เครือข่ายเป็นเทคโนโลยีที่น่าอัศจรรย์ แต่ก็ยังคงมีความเสี่ยงอยู่มากถ้าไม่มีการควบคุมหรือป้องกันที่ดี การโจมตีหรือการบุกรุกเครือข่าย หมายถึงความพยายามที่จะเข้าใช้ระบบ (Access Attack) การแก้ไขข้อมูลหรือระบบ ( Modification Attack) การทำให้ระบบไม่สามารถใช้การได้ (Deny of Service Attack) และการทำให้ข้อมูลเป็นเท็จ (Repudiation Attack) ซึ่งจะกระทำโดยผู้ประสงค์ร้าย ผู้ที่ไม่มีสิทธิ์ หรืออาจเกิดจากความไม่ตั้งใจของผู้ใช้เอง ต่อไปนี้เป็นรูปแบบ ต่าง ๆ ที่ผู้ไม่ประสงค์ดีพยายามที่จะบุกรุกเครือข่ายเพื่อลักลอบข้อมูลที่สำคัญหรือเข้าใช้ระบบโดยไม่ได้รับอนุญาต
1 การโจมตีรหัสผ่าน
การโจมตีรหัสผ่าน (Password Attack) หมายถึง การโจมตีที่ผู้บุกรุกพยายามเดารหัสผ่านของผู้ใช้คนใดคนหนึ่ง ซึ่งวิธีการเดานั้นก็มีหลายวิธี เช่น บรู๊ทฟอร์ธ (brute –Force) , โทรจันฮอร์ส (Trojan Horse), ไอพีสปูฟิง , แพ็กเก็ตสนิฟเฟอร์ เป็นต้น การเดาแบบบรู๊ทฟอร์ช หมายถึง การลองผิดลองถูกรหัสผ่านเรื่อย ๆ จนกว่าจะถูก บ่อยครั้งที่การโจมตีแบบบรู๊ทฟอร์ธใช้การพยายาม อกอินเข้าใช้รีซอร์สของเครือข่าย โดยถ้าทำสำเร็จผู้บุกรุกก็จะมีสิทธิ์เหมือนกับเจ้าของแอ็คเคาท์นั้นๆ
2 การโจมตีแบบ Man-in-the-Middle
การโจมตีแบบ Man-in-the-Middle นั้นผู้โจมตีต้องสามารถเข้าถึงแพ็กเก็ตที่ส่งระหว่างเครือข่ายได้ เช่น ผู้โจมตีอาจอยู่ที่ ISP ซึ่งสามารถตรวจจับแพ็กเก็ตที่รับส่งระหว่างเครือข่าย ภายในและเครือข่ายอื่น ๆ โดยผ่าน ISP การโจมตีนี้จะใช้แพ็กเก็ตสนิฟเฟอร์เป็นเครื่องมือเพื่อขโมยข้อมูล หรือใช้เซสชั่นเพื่อแอ็กเซสเครือข่ายภายใน หรือวิเคราะห์การจราจรของเครือข่ายหรือผู้ใช้
รูปที่ 2.67 Man-in-the-Middle Attack
3 การโจมตีแบบ DOS
การโจมตีแบบดีไนล์ออฟเซอร์วิส หรือ DOS (Denial-of-Service) หมายถึง การโจมตีเซิร์ฟเวอร์โดยการทำให้เซิร์ฟเวอร์นั้นไม่สามารถให้บริการได้ ซึ่งโดยปกติจะทำโดยการใช้รีซอร์สของเซิร์ฟเวอร์จนหมด หรือ ถึงขีดจำกัดของเซิร์ฟเวอร์ ตัวอย่างเช่น เว็บ เซอร์เวอร์ และเอฟทีพีเซิร์ฟเวอร์ การโจมตีจะทำได้โดยการเปิดการเชื่อมต่อ (Connection) กับเซิร์ฟเวอร์จนถึงขีดจำกัดของเซิร์ฟเวอร์ ทำให้ผู้ใช้คนอื่น ๆ ไม่สามารถเข้ามาใช้บริการได้ การ โจมตีแบบนี้อาจใช้โปรโตคอลที่ใช้บนอินเตอร์เน็ตทั่ว ๆ ไป เช่น TCP( Transmission Control Protocol) หรือ ICMP (Internet Control Message Protocol) การโจมตีแบบแบบดีไนล์ออฟเซอร์วิส เป็นการโจมตีจุดอ่อนของระบบหรือเซิร์ฟเวอร์มากกว่าการโจมตีจุดบกพร่อง (Bug) หรือช่องโหว่ของระบบการรักษาความปลอดภัย
4 โทรจันฮอร์ส เวิร์ม และไวรัส
คำว่า “ โทรจันฮอร์ส (Trojan Horse) ” นี้เป็นคำที่มาจากสงครามโทรจัน ระหว่างทรอย (Troy) และ กรีก (Greek) ซึ่งเปรียบถึงม้าโครงไม้ที่ชาวกรีกสร้างทิ้งไว้แล้วซ่อนทหารไว้ข้างในแล้วถอนทัพกลับ พอชาวโทรจันออกมาดูเห็นม้าโครงไม้ทิ้งไว้ และคิดว่าเป็นของขวัญที่กรีซทิ้งไว้ให้ จึงนำกลับเข้าเมืองไปด้วย พอตกดึกทหารกรีกที่ซ่อนอยู่ในม้าโครงไม้นี้ก็ออกมาเปิดประตูให้กับทหารกรีกเข้าไปทำลายเมืองทรอย สำหรับในความหมายคอมพิวเตอร์แล้ว โทรจันฮอร์ส หมายถึง โปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่น ๆ เช่น เกม สกรีนเซฟเวอร์ เป็นต้น ซึ่งผู้ใช้อาจจะดาวน์โหลดโปรแกรมต่าง ๆ เหล่านี้มา แต่เมื่อติดตั้งแล้วรันโปรแกรมโทรจันฮอร์สที่แฝงมาด้วยก็จะทำลายระบบคอมพิวเตอร์ เช่น ลบไฟล์ต่าง ๆ หรืออาจสร้างแบ็คดอร์ให้กับโปรแกรมอื่นเข้ามาทำลายระบบก็ได้
เทคโนโลยีการรักษาความปลอดภัย
ถึงแม้ว่าการปกป้องข้อมูลเป็นสิ่งที่มีลำดับความสำคัญสูงสุด แต่การรักษาเครือข่ายให้ทำงานอย่างถูกต้องก็เป็นปัจจัยที่สำคัญในการปกป้องข้อมูลที่อยู่ในเครือข่ายนั้น ถ้ามีช่องโหว่ของระบบเครือข่ายที่อนุญาตให้โจมตีได้ ความเสียหายที่เกิดขึ้นอาจใช้ทั้งเวลาและความพยายามอย่างมากที่จะทำให้ระบบกลับมาทำงานได้เหมือนเดิม ในหัวข้อต่อไปผู้เขียนจะแนะนำเทคนิคและเทคโนโลยีที่ใช้สำหรับการป้องกันและรักษาความปลอดภัยทั้งระบบเครือข่ายเอง และข้อมูลที่จัดเก็บและรับส่งผ่านเครือข่าย
1 ไฟร์วอลล์
เหตุผลหลักที่มีการใช้ไฟร์วอลล์ (Firewall) ก็เพื่อให้ผู้ใช้ที่อยู่ภายในสามารถใช้บริการเครือข่ายภายในได้เต็มที่ และใช้บริการเครือข่ายภายนอก เช่น อินเตอร์เน็ตได้ ในขณะที่ไฟร์วอลล์จะป้องกันไม่ให้ผู้ใช้ภายนอกเข้ามาใช้บริการเครือข่ายที่อยู่ข้างใน รูปที่ 2.68 แสดงการติดตั้งไฟร์วอลล์เพื่อเชื่อมต่อเครือข่ายส่วนบุคคลกับเครือข่ายอินเตอร์เน็ต จากรูปจะเห็นได้ว่าแพ็กเก็ตที่วิ่งระหว่างเครือข่ายภายในและอินเตอร์เน็ตต้องผ่านไฟร์วอลล์เท่านั้น ดังนั้นไฟร์วอลล์จึงสามารถควบคุมการใช้เครือข่ายได้ โดยอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่านได้ซึ่งแพ็กเก็ตที่อนุญาตให้ผ่านหรือไม่นี้จะขึ้นอยู่กับนโยบายการรักษาความปลอดภัย (Security Policy) ของเครือข่าย ไฟร์วอล์เป็นระบบที่บังคับใช้นโยบายการรักษาความปลอดภัยระหว่างเครือข่าย โดยหลักการแล้วไฟร์วอลล์จะทำงานอยู่ 2 กลไกคือ การอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่าน
รูปที่ 2.68 ไฟร์วอลล์
ถ้าเครือข่ายองค์กรนั้นมีการเชื่อมต่อโดยตรงกับอินเตอร์เน็ตโดยที่ไม่มีไฟร์วอลล์เป็นการเปิดช่องโหว่ให้เครือข่ายสามารถถูกโจมตี หรือบุกรุกได้อย่างง่ายดาย ตัวอย่างเช่น สมมติว่าเครือข่ายมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อย ๆ เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถบุกรุกเข้าเครื่องใดเครื่องหนึ่งได้ ต่อไปนี้ก็ไม่เป็นการยากที่จะบุกรุกเข้าไปยังเครื่องอื่น ๆ การติดตั้งไฟร์วอลล์จะเป็นการป้องกันผู้บุกรุกได้ในระดับหนึ่ง
ประเภทของไฟร์วอลล์
โดยทั่วไปแล้วไฟร์วอลล์แบ่งออกเป็น 2 ประเภท คือ
- Application Layer Firewall
- Packet Filtering Firewall
1 แอพพลิเคชันเลเยอร์ไฟร์วอลล์
ไฟร์วอลล์ที่ทำงานในระดับแอพพลิเคชันเลเยอร์ (Application Layer Firewall) นั้นบางทีก็เรียกว่า “ พร็อกซี่ (Proxy Firewall)” คือ โปรแกรมที่รันบนระบบปฏิบัติการทั่ว ๆ ไป เช่น วินโดวส์ เซิร์ฟเวอร์หรือยูนิกซ์ หรืออาจจะเป็นฮาร์ดแวร์ที่ติดตั้งซอฟต์แวร์พร้อมใช้งานแล้วก็ได้ ไฟร์วอลล์จะมีเน็ตเวิร์คการ์ดหลายการ์ด เพื่อสำหรับเชื่อมต่อกับ เครือข่ายต่าง ๆ นโยบายการรักษาความปลอดภัยจะเป็นสิ่งที่กำหนดว่าทราฟิกใด สามารถถ่ายโอนระหว่างเครือข่ายใดได้บ้าง ถ้านโยบายไม่ได้ระบุอย่างชัดเจนว่าทราฟิกไหนที่อนุญาตให้ผ่านได้ไฟร์วอลล์ก็จะไม่ส่งผ่านหรือละทิ้งแพ็กเก็ตนั้นทันที นโยบายนั้นจะถูกบังคับใช้โดยพร็อกซี่ในไฟร์วอลล์ระดับแอพพลิเคชันนั้นทุก ๆ โปรโตคอลที่อนุญาตให้ผ่านได้จะต้องมีพร็อกซี่สำหรับโปรโตคอลนั้น พร็อกซี่ที่ดีที่สุดนั้นจะเป็นพร็อกซี่ที่ออกแบบมาสำหรับจัดการกับโปรโตคอลนั้นโดยเฉพาะ
รูปที่ 2.69 ไฟร์วอลล์ระดับแอพพลิเคชัน
ไฟร์วอลล์ที่ทำงานในระดับแอพพลิเคชันปัจจุบันส่วนใหญ่จะมีพร็อกซี่สำหรับโปรโตคอลที่นิยมใช้ เช่น HTTP, SMTP, FTP และ Telnet เป็นต้น ถ้าโปรโตคอลไหนไม่มีพร็อกซี่ก็ไม่สามารถผ่านไฟร์วอลล์ได้ นอกจากนี้ไฟร์วอลล์ประเภทนี้ยังสามารถซ่อนแอดเดรสหรือหมายเลขของระบบภายในได้ เนื่องจากการเชื่อมต่อทั้งหมดจะสิ้นสุดที่ไฟร์วอลล์ ดังนั้นเครื่องที่อยู่ภายนอกจะมองเห็นเฉพาะหมายเลขไอพีของไฟร์วอลล์เท่านั้น ถ้าผู้บุกรุกไม่รู้โครงสร้างภายในโอกาสที่จะเจาะระบบได้ก็น้อยลง
2 แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์
แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์ (Packet Filtering Firewall) อาจเป็นได้ทั้งซอฟต์แวร์หรือฮาร์ดแวร์ที่ทำหน้าที่กรองแพ็กเก็ตที่ผ่านไฟร์วอลล์โดยใช้นโยบายการรักษาความปลอดภัยที่กำหนดไว้ แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์นั้นจะอนุญาตให้มีการเชื่อมต่อโดยตรงระหว่างไคลเอนท์และเซิร์ฟเวอร์ ดังนั้นไฟร์วอลล์ประเภทนี้จะทำงานค่อนข้างเร็วกว่าแบบแอพพลิเคชันไฟร์วอลล์เนื่องจากไม่ต้องสร้างคอนเน็กชันใหม่
รูปที่ 2.70 แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์
เราท์เตอร์โดยที่วไปจะมีหลักการทำงานคือ เมื่อได้รับแพ็กเก็ตมาก็จะตรวจสอบหมายเลขไอพีของเครื่องปลายทาง หลังจากนั้นเราท์เตอร์ก็จะตรวจเช็คเราท์ติ้งเทเบิ้ล (Routing Table) เพื่อค้นหาเราท์เตอร์หรือโฮสต์ปลายทางที่จะส่งต่อไป ส่วนขั้นตอนการกรองแพ็กเก็ตของไฟร์วอลล์นั้นจะทำก่อนที่จะส่งผ่านแพ็กเก็ตนี้ แพ็กเก็ตจะถูกกรองตามรายการควบคุมการเข้าถึง (Access Control List หรือ ACL) แต่ละรายการของ ACL จะประกอบด้วยฟิลด์ของเฮดเดอร์ของไอพีแพ็กเก็ตและการอนุญาตหรือไม่อนุญาตให้ผ่าน
คำถามมีอยู่ว่า ถ้าแพ็กเก็ตที่เข้ามาไม่ตรงกับกฎข้อใดเลย
ไฟร์วอลล์จะทำอย่างไรกับ แพ็กเก็ตนี้ มีอยู่ 2 ประเด็นที่ไฟร์วอลล์จะทำคือ
- ถ้าไม่มีกฎข้อไหนที่ไม่ได้เขียนไว้ว่าอนุญาตให้ถือว่าห้าม
- ถ้าไม่มีกฎข้อไหนที่ไม่ได้เขียนไว้ว่าห้ามให้ถือว่าอนุญาต
โดยส่วนใหญ่แล้วไฟร์วอลล์จะใช้หลักการในข้อแรกคือ ถ้าไม่ได้ระบุอย่างแน่ชัดว่าอนุญาตให้ถือว่าห้าม ข้อมูลที่ใช้สำหรับการพิจารณาว่าจะให้แพ็กเก็ตผ่านหรือไม่นั้น มาจากข้อมูลในส่วนหัวของแพ็กเก็ต IP ซึ่งข้อมูลประกอบด้วย
ระบบตรวจจับการบุกรุก (Intrusion Detection System)
ระบบตรวจจับการบุกรุก หรือ IDS (Intrusion Detection System) เป็นเครื่องมือสำหรับการรักษาความปลอดภัยอีกประเภทหนึ่งที่ใช้สำหรับตรวจจับความพยายามที่จะบุกรุกเครือข่าย โดยระบบจะแจ้งเตือนผู้ดูแลระบบเมื่อการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย IDS นั้นไม่ใช่ระบบที่ใช้ป้องกันการบุกรุกแต่เป็นระบบที่คอยแจ้งเตือนภัยเท่านั้นถ้าเปรียบกับระบบการรักษาความปลอดภัยของรถ IDS ก็อาจจะเปรียบได้กับระบบกันขโมย ซึ่งระบบนี้จะส่งสัญญาณเมื่อมีการตรวจพบความพยายามที่จะขโมยรถ เช่น การงัดประตูหรือกระจก แต่ระบบนี้จะไม่สามารถป้องกันไม่ให้รถถูกขโมยได้ อย่างไรก็ตามโดยธรรมชาติแล้วขโมยก็จะพยายามหลีกเลี่ยงรถที่ติดตั้งระบบนี้ ระบบเครือข่ายก็เช่นกัน ถ้ามีระบบตรวจจับและแจ้งเตือนการบุกรุก พวกแฮ็กเกอร์ก็จะหลีกเลี่ยงการบุกรุกเครือข่ายนี้
หน้าที่หลักของ IDS คือ แจ้งเตือนการเข้าใช้เครือข่ายที่ผิดปกติ สิ่งที่เป็นประเด็นสำคัญในการออกแบบระบบ IDS ก็คือ เหตุการณ์ใดคือสิ่งที่ถือว่าผิดปกติ ดังนั้นการใช้ IDS นั้นก็ขึ้นอยู่กับว่าอะไรที่จะแจ้งเตือนให้ทราบ คำตอบนั้นไม่ใช่แค่ถูกหรือผิด ขาวหรือดำ แต่จะขึ้นอยู่กับสภาวะของระบบในขณะนั้น
1 ประเภทของ IDS
IDS แบ่งออกเป็น 2 ประเภทคือ Host-Based IDS และ Network-Based IDS โดยโฮสต์เบสไอดีเอสนั้นคือ ระบบที่ติดตั้งที่โฮสต์และเฝ้าระวังและตรวจจับความพยายามที่จะบุกรุกโฮสต์นั้น ส่วนเน็ตเวิร์คเบสไอดีเอสนั้นคือ ระบบที่ตรวจดูแพ็กเก็ตที่วิ่งอยู่ในเครือข่าย และแจ้งเตือนถ้าพบหลักฐานที่คาดว่าจะเป็นการบุกรุกเครือข่าย
ข้อเสียเปรียบของเน็ตเวิร์คเบสไอดีเอส
- เน็ตเวิร์คเบสไอดีจะแจ้งเตือนภัยก็ต่อเมื่อตรวจพบแพ็กเก็ตที่ตรงกับซิกเนเจอร์ที่ กำหนดไว้ก่อนหน้าเท่านั้น
- เน็ตเวิร์คเบสไอดีเอสอาจพลาดที่จะตรวจจับแพ็กเก็ตได้ในกรณีที่มีการใช้เครือข่ายมาก จนทำให้ IDS วิเคราะห์แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไม่ทัน หรือมีเส้นทางข้อมูลอื่นที่ไม่ต้องผ่าน IDS
- เน็ตเวิร์คไอดีเอสไม่สามารถสรุปได้ว่า การบุกรุกนั้นสำเร็จหรือไม่
- เน็ตเวิร์คไอดีเอสไม่สามารถตรวจวิเคราะห์แพ็กเก็ตที่ถูกเข้ารหัสไว้ได้
- เครือข่ายที่ใช้สวิตซ์นั้นต้องเซตเพื่อให้พอร์ตที่เชื่อมต่อกับ IDS นั้นสามารถมองเห็นทุกแพ็กเก็ตที่วิ่งผ่านสวิตซ์นั้น
ทั้งโฮสต์เบสไอดีเอสและเน็ตเวิร์คเบสไอดีเอสมีทั้งข้อดีและข้อเสียที่แตกต่างกัน ในขณะที่เน็ตเวิร์คเบสนั้นสามารถใช้เฝ้าระวังได้ครอบคลุมส่วนของเครือข่ายได้มากกว่า ดังนั้นจึงเป็นทางเลือกที่ประหยัดกว่าแต่โฮสต์เบสไอดีเอสจะเหมาะสำหรับการเฝ้าระวังภัยที่อาจจะสร้างโดยผู้ใช้ของเครือข่ายเอง ดังนั้นการเลือกประเภทของ IDS ให้เหมาะสมนั้นก็ขึ้นอยู่กับภัยที่คุกคาม เครือข่ายขององค์กร
2 การแจ้งเตือนภัยของ IDS
IDS จะรายงานเฉพาะสิ่งที่กำหนดให้รายงานเท่านั้น มีอยู่สองสิ่งที่ผู้ดูแลระบบจะต้องคอนฟิกให้กับ IDS สิ่งแรกคือ ซิกเนเจอร์ของการบุกรุก สิ่งที่สองคือ เหตุการณ์ที่ผู้ดูแลระบบให้ความสำคัญหรือเหตุการณ์ที่คาดว่าจะเป็นผลไปสู่การบุกรุกในภายหน้า ซึ่งเหตุการณ์ต่าง ๆเหล่านี้อาจเป็นทราฟิกที่ไม่ปกติหรืออาจเป็นบางข้อความในล็อก การคอนฟิกซิกเนเจอร์ให้กับ IDS ของแต่ละองค์กรนั้นอาจจะไม่เหมือนกัน ซึ่งจะขึ้นอยู่กับว่าองค์กรนั้นจะให้ความสนใจกับการบุกรุกประเภทใด
เมื่อ IDS ได้ถูกคอนฟิกอย่างถูกต้องแล้ว เหตุการณ์ที่ IDS จะรายงานให้ทราบนั้นสามารถแบ่งออกได้เป็น 3 ประเภทคือ
- การสำรวจเครือข่าย
- การโจมตี
- เหตุการณ์ที่น่าสงสัยหรือผิดปกติ
- โฮสต์เบสไอดีเอสสามารถบ่งชี้ได้ว่ามีการเข้าใช้ระบบอย่างผิดปกติโดยผู้ใช้ของ ระบบเอง
ข้อเสียเปรียบของโฮสต์เบสไอดีเอสคือ
- โพรเซสเซอร์ IDS อาจถูกโจมตีเองจนอาจไม่สามารถแจ้งเตือนได้
- โฮสต์เบสไอดีเอสจะแจ้งเตือนก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้นนั้นตรงกับที่กำหนดไว้ก่อนหน้า ถ้าแฮ็กเกอร์มีเทคนิคใหม่ ๆ IDS อาจไม่แจ้งเตือนการบุกรุกก็ได้
- การทำงานของโฮสต์ไอดีเอสอาจมีผลกระทบต่อประสิทธิภาพของโฮสต์เองเนื่องจากต้องตรวจสอบล็อกไฟล์และซิสเต็มคอลล์
Netwok – Based IDS
เน็ตเวิร์คเบสไอดีเอส คือ เซิร์ฟเวอร์พิเศษที่รันบนคอมพิวเตอร์เครื่องหนึ่งต่างหาก IDS ประเภทนี้จะมีเน็ตเวิร์คการ์ดที่ทำงานในโหมดที่เรียกว่า “ โพรมิสเซียส (promiscuous Mode)” ซึ่งในโหมดนี้เน็ตเวิร์คการ์ดจะส่งต่อทุก ๆ แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไปให้แอพพลิเคชันโพรเซส ในขณะที่เน็ตเวิร์คการ์ดที่รันในโหมดธรรมดานั้นจะรับเอาเฉพาะแพ็ก เก็ตที่มีที่อยู่ปลายทางตรงกับของเครื่องนั้นเท่านั้น เมื่อทุก ๆ แพ็กเก็ตส่งผ่านไปให้แอพพลิเคชัน IDS จะวิเคราะห์ข้อมูลในแพ็กเก็ตเหล่านั้นกับกฏที่ได้ตั้งไว้ก่อนหน้า ถ้าตรงกับกฏก็จะแจ้งเตือนทันที ในแต่ละ IDS จะมีข้อมูลที่ใช้สำหรับเปรียบเทียบเพื่อบอกว่ามีการพยายามที่จะบุกรุก เครือข่ายหรือไม่ ซึ่งข้อมูลนี้จะเรียกว่า “ ซิกเนเจอร์ (Signature)” IDS จะใช้ซิกเนเจอร์ที่เก็บไว้เปรียบเทียบกับข้อมูลที่ได้จากการวิเคราะห์แพ็กเก็ตที่วิ่งในเครือข่าย ดังนั้นถ้าแฮ็กเกอร์มีเทคนิคใหม่ ๆ และ IDS ไม่รู้จักเทคนิคนี้หรือมีซิกเนเจอร์ นี้ IDS ก็จะไม่สามารถตรวจจับการบุกรุกประเภทนี้ได้
โดยส่วนใหญ่แล้ว IDS ประเภทนี้จะมี 2 เน็ตเวิร์คการ์ด โดยเน็ตเวิร์คการ์ดแรกจะเชื่อมต่อเข้ากับเครือข่ายที่ต้องการเฝ้าระวังหรือตรวจจับการบุกรุก โดยเน็ตเวิร์คการ์ดนี้จะไม่มีหมายเลขไอพี ดังนั้นเครื่องอื่น ๆ ที่อยู่ในเครือข่ายจะมองไม่เห็นเครื่องนี้ ส่วนเน็ตเวิร์คการ์ดอีกอันหนึ่งจะเชื่อมต่อเข้ากับอีกเครือข่ายหนึ่งเพื่อใช้สำหรับส่งการแจ้งเตือนภัยไปยังเซิร์ฟเวอร์ โดยเครือข่ายจะต้องไม่ถูกเชื่อมต่อกับเครือข่ายหลักที่ IDS จะตรวจจับการบุกรุก
คริพโตกราฟี (Cryptography)
โดยทั่วไปแล้วข้อมูลที่รับส่งผ่านเครือข่ายนั้นจะอยู่ในรูปเคลียร์เท็กซ์ (Clear text) ซึ่งข้อมูลนี้อาจถูกอ่านหรือคัดลอกได้โดยใช้เทคนิคที่เรียกว่า “ สนิฟเฟอริง (Sniffering)” เครื่องมือต่าง ๆ เช่น โปรโตคอลอะนาไลเซอร์ หรือโปรแกรมการดูแลระบบเครือข่ายที่ส่วนใหญ่จะมีมาในระบบปฏบัติการปัจจุบันนั้น สามารถที่จะใช้ตรวจดูข้อมูลที่รับส่งผ่านเครือข่ายได้ เพื่อป้องกันการขโมยข้อมูลที่รับส่งผ่านเครือข่ายที่ไม่มีความปลอดภัยนี้ ข้อมูลจำเป็นต้องมีการเข้ารหัส การเข้ารหัสข้อมูล (Data encryption) คือ วิธีที่ใช้สำหรับแปลงเคลียร์เท็กซ์ให้เป็นไซเฟอร์เท็กซ์ (Cipher text) หรือข้อมูลที่เข้ารหัสแล้ว ซึ่งข้อมูลนี้จะถูกส่งไปให้ผู้รับเมื่อผู้รับได้รับข้อมูลก็จะถอดรหัสข้อมูล (Decryption) เพื่อให้ได้ข้อมูลเดิม การเข้าและถอดรหัสข้อมูลจะเรียกว่า “ คริพโตกราฟี (Cryptography) ” ปัจจุบันการเข้ารหัสข้อมูลจะแบ่งออกเป็น 2 ประเภทคือ
- Symmetric Key Cryptography
- Public Key Cryptography
ซึ่งรายละเอียดของแต่ละประเภทจะได้กล่าวในหัวข้อถัดไป
1 Symmetric Key Cryptography
การเข้าและถอดรหัสข้อมูลแบบซีเครทคีย์ (Secret Key) เป็นวิธีที่ทั้งการเข้ารหัสและการถอดรหัสจะใช้คีย์ (Key) หรือรหัสลับเดียวกันหรือเรียกอีกอย่างหนึ่งว่า การเข้าและถอดรหัสแบซิมเมทริกซ์ (Symmetric) คีย์ที่ใช้จะมีความยาวคงที่ การไหลของข้อมูลเป็นเหมือนแสดงในรูปที่ 2.72 จากรูปดังกล่าวเครื่องส่งนำข้อมูลที่ต้องการส่งคือ “abc” มาเข้ารหัสโดยใช้คีย์ ซึ่งผลที่ได้คือ “I&#” แล้วส่งผ่านเครือข่าย เมื่อถึงปลายทางเครื่องรับก็จะถอดรหัสข้อมูลโดยใช้คีย์เดียวกัน ซึ่งข้อมูลก็จะถูกเปลี่ยนกลับมาเป็น
ปัจจุบันเครือข่ายอินเตอร์เน็ตเติบโตอย่างรวดเร็ว เกือบจะทุกองค์กรได้เชื่อมต่อเครือข่ายตนเองเข้ากับอินเตอร์เน็ตเพื่อใช้ประโยชน์จากแหล่งข้อมูลที่ใหญ่ที่สุดในโลกนี้ ประโยชน์ที่ได้รับจากการเชื่อมต่อนี้อาจมากเกินกว่าที่คาดไว้ แต่โทษนั้นก็อาจมีมากเช่นกัน ดังนั้นการรักษาความปลอดภัยในเครือข่ายจึงเป็นสิ่งที่สำคัญและจำเป็นสำหรับองค์กร เนื่องจากข้อมูลและเครื่องมือที่ใช้สำหรับการบุกรุกระบบเครือข่ายนั้น สามารถหาจากอินเตอร์เน็ตได้ง่าย และยังง่ายต่อการใช้งาน ถึงแม้ว่าคนที่ไม่มีความรู้เกี่ยวกับคอมพิวเตอร์มากนักแต่ก็สามารถใช้ เครื่องมือโจมตีเครือข่ายเหล่านี้ได้อย่างง่ายดาย ดังนั้นผู้ดูแลระบบจำเป็นที่จะต้องวางแผนและติดตั้งระบบการรักษาความปลอดภัยในเครือข่ายได้ดีด้วย เมื่อเชื่อมเครือข่ายส่วนบุคคลเข้ากับอินเตอร์เน็ตแล้ว นับเป็นการเชื่อมต่อเครือข่ายเข้ากับอีกกว่า 50,000 เครือข่ายและผู้ใช้ของแต่ละเครือข่ายนั้น ๆ ถึงแม้ว่าจะเป็นการเปิดประตูสู่ แอพพลิเคชันมากมายที่เป็นประโยชน์ และเป็นช่องทางที่ใช้สำหรับสื่อสารกับผู้คนและองค์กร ทั่วโลกได้ อย่างไรก็ตามเครือข่ายส่วนบุคคลส่วนใหญ่จะมีข้อมูลที่ไม่สมควรที่จะแชร์กับผู้ใช้อินเตอร์เน็ต อีกทั้งอาจมีผู้ใช้อินเตอร์เน็ตบางกลุ่มที่อาจทำกิจกรรมที่ผิดกฏหมาย ด้วยเหตุนี้จึงทำให้เกิดคำถามเกี่ยวกับการรักษาความปลอดภัยในเครือข่ายขึ้น 2 คำถาม ดังนี้
- เราจะปกป้องข้อมูลลับจากบุคคลที่ไม่ควรเข้าถึงได้อย่างไร
- เราควรจะปกป้องเครือข่ายและทรัพยากรจากบุคคลที่ประสงค์ร้าย หรือที่เกิดจากอุบัติเหตุที่เริ่มจากข้างนอกเครือข่ายของเราอย่างไร
ข้อมูลที่เป็นความลับขององค์กรอาจจะอยู่หนึ่งในสองที่คือ อาจอยู่ในอุปกรณ์เก็บข้อมูล เช่น ฮาร์ดดิสก์ , เทป , หน่วยความจำ หรืออาจจะอยู่ในระหว่างการส่งผ่านเครือข่ายในรูปของแพ็กเก็ต ซึ่งทั้งสองที่นี้มีโอกาสที่จะถูกขโมยได้ทั้งจากผู้ใช้ที่อยู่ในเครือข่ายเอง หรือจากผู้ใช้ที่อยู่บนอินเตอร์เน็ต ดังนั้นการรักษาความปลอดภัยข้อมูลนั้นควรที่จะปกป้องข้อมูลที่อยู่ทั้งสองที่นี้ ในบทนี้ผู้เขียนจะกล่าวถึงการบุกรุกเครือข่ายในรูปแบบต่าง ๆ และเทคโนโลยีที่ใช้ป้องกันและรักษาความปลอดภัยในเครือข่าย ซึ่งหวังว่าจะเป็นแนวทางสำหรับป้องกันภัยที่อาจจะเกิดขึ้นกับเครือข่ายและข้อมูลขององค์กรได้
การโจมตีเครือข่าย
เครือข่ายเป็นเทคโนโลยีที่น่าอัศจรรย์ แต่ก็ยังคงมีความเสี่ยงอยู่มากถ้าไม่มีการควบคุมหรือป้องกันที่ดี การโจมตีหรือการบุกรุกเครือข่าย หมายถึงความพยายามที่จะเข้าใช้ระบบ (Access Attack) การแก้ไขข้อมูลหรือระบบ ( Modification Attack) การทำให้ระบบไม่สามารถใช้การได้ (Deny of Service Attack) และการทำให้ข้อมูลเป็นเท็จ (Repudiation Attack) ซึ่งจะกระทำโดยผู้ประสงค์ร้าย ผู้ที่ไม่มีสิทธิ์ หรืออาจเกิดจากความไม่ตั้งใจของผู้ใช้เอง ต่อไปนี้เป็นรูปแบบ ต่าง ๆ ที่ผู้ไม่ประสงค์ดีพยายามที่จะบุกรุกเครือข่ายเพื่อลักลอบข้อมูลที่สำคัญหรือเข้าใช้ระบบโดยไม่ได้รับอนุญาต
1 การโจมตีรหัสผ่าน
การโจมตีรหัสผ่าน (Password Attack) หมายถึง การโจมตีที่ผู้บุกรุกพยายามเดารหัสผ่านของผู้ใช้คนใดคนหนึ่ง ซึ่งวิธีการเดานั้นก็มีหลายวิธี เช่น บรู๊ทฟอร์ธ (brute –Force) , โทรจันฮอร์ส (Trojan Horse), ไอพีสปูฟิง , แพ็กเก็ตสนิฟเฟอร์ เป็นต้น การเดาแบบบรู๊ทฟอร์ช หมายถึง การลองผิดลองถูกรหัสผ่านเรื่อย ๆ จนกว่าจะถูก บ่อยครั้งที่การโจมตีแบบบรู๊ทฟอร์ธใช้การพยายาม อกอินเข้าใช้รีซอร์สของเครือข่าย โดยถ้าทำสำเร็จผู้บุกรุกก็จะมีสิทธิ์เหมือนกับเจ้าของแอ็คเคาท์นั้นๆ
2 การโจมตีแบบ Man-in-the-Middle
การโจมตีแบบ Man-in-the-Middle นั้นผู้โจมตีต้องสามารถเข้าถึงแพ็กเก็ตที่ส่งระหว่างเครือข่ายได้ เช่น ผู้โจมตีอาจอยู่ที่ ISP ซึ่งสามารถตรวจจับแพ็กเก็ตที่รับส่งระหว่างเครือข่าย ภายในและเครือข่ายอื่น ๆ โดยผ่าน ISP การโจมตีนี้จะใช้แพ็กเก็ตสนิฟเฟอร์เป็นเครื่องมือเพื่อขโมยข้อมูล หรือใช้เซสชั่นเพื่อแอ็กเซสเครือข่ายภายใน หรือวิเคราะห์การจราจรของเครือข่ายหรือผู้ใช้
รูปที่ 2.67 Man-in-the-Middle Attack
3 การโจมตีแบบ DOS
การโจมตีแบบดีไนล์ออฟเซอร์วิส หรือ DOS (Denial-of-Service) หมายถึง การโจมตีเซิร์ฟเวอร์โดยการทำให้เซิร์ฟเวอร์นั้นไม่สามารถให้บริการได้ ซึ่งโดยปกติจะทำโดยการใช้รีซอร์สของเซิร์ฟเวอร์จนหมด หรือ ถึงขีดจำกัดของเซิร์ฟเวอร์ ตัวอย่างเช่น เว็บ เซอร์เวอร์ และเอฟทีพีเซิร์ฟเวอร์ การโจมตีจะทำได้โดยการเปิดการเชื่อมต่อ (Connection) กับเซิร์ฟเวอร์จนถึงขีดจำกัดของเซิร์ฟเวอร์ ทำให้ผู้ใช้คนอื่น ๆ ไม่สามารถเข้ามาใช้บริการได้ การ โจมตีแบบนี้อาจใช้โปรโตคอลที่ใช้บนอินเตอร์เน็ตทั่ว ๆ ไป เช่น TCP( Transmission Control Protocol) หรือ ICMP (Internet Control Message Protocol) การโจมตีแบบแบบดีไนล์ออฟเซอร์วิส เป็นการโจมตีจุดอ่อนของระบบหรือเซิร์ฟเวอร์มากกว่าการโจมตีจุดบกพร่อง (Bug) หรือช่องโหว่ของระบบการรักษาความปลอดภัย
4 โทรจันฮอร์ส เวิร์ม และไวรัส
คำว่า “ โทรจันฮอร์ส (Trojan Horse) ” นี้เป็นคำที่มาจากสงครามโทรจัน ระหว่างทรอย (Troy) และ กรีก (Greek) ซึ่งเปรียบถึงม้าโครงไม้ที่ชาวกรีกสร้างทิ้งไว้แล้วซ่อนทหารไว้ข้างในแล้วถอนทัพกลับ พอชาวโทรจันออกมาดูเห็นม้าโครงไม้ทิ้งไว้ และคิดว่าเป็นของขวัญที่กรีซทิ้งไว้ให้ จึงนำกลับเข้าเมืองไปด้วย พอตกดึกทหารกรีกที่ซ่อนอยู่ในม้าโครงไม้นี้ก็ออกมาเปิดประตูให้กับทหารกรีกเข้าไปทำลายเมืองทรอย สำหรับในความหมายคอมพิวเตอร์แล้ว โทรจันฮอร์ส หมายถึง โปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่น ๆ เช่น เกม สกรีนเซฟเวอร์ เป็นต้น ซึ่งผู้ใช้อาจจะดาวน์โหลดโปรแกรมต่าง ๆ เหล่านี้มา แต่เมื่อติดตั้งแล้วรันโปรแกรมโทรจันฮอร์สที่แฝงมาด้วยก็จะทำลายระบบคอมพิวเตอร์ เช่น ลบไฟล์ต่าง ๆ หรืออาจสร้างแบ็คดอร์ให้กับโปรแกรมอื่นเข้ามาทำลายระบบก็ได้
เทคโนโลยีการรักษาความปลอดภัย
ถึงแม้ว่าการปกป้องข้อมูลเป็นสิ่งที่มีลำดับความสำคัญสูงสุด แต่การรักษาเครือข่ายให้ทำงานอย่างถูกต้องก็เป็นปัจจัยที่สำคัญในการปกป้องข้อมูลที่อยู่ในเครือข่ายนั้น ถ้ามีช่องโหว่ของระบบเครือข่ายที่อนุญาตให้โจมตีได้ ความเสียหายที่เกิดขึ้นอาจใช้ทั้งเวลาและความพยายามอย่างมากที่จะทำให้ระบบกลับมาทำงานได้เหมือนเดิม ในหัวข้อต่อไปผู้เขียนจะแนะนำเทคนิคและเทคโนโลยีที่ใช้สำหรับการป้องกันและรักษาความปลอดภัยทั้งระบบเครือข่ายเอง และข้อมูลที่จัดเก็บและรับส่งผ่านเครือข่าย
1 ไฟร์วอลล์
เหตุผลหลักที่มีการใช้ไฟร์วอลล์ (Firewall) ก็เพื่อให้ผู้ใช้ที่อยู่ภายในสามารถใช้บริการเครือข่ายภายในได้เต็มที่ และใช้บริการเครือข่ายภายนอก เช่น อินเตอร์เน็ตได้ ในขณะที่ไฟร์วอลล์จะป้องกันไม่ให้ผู้ใช้ภายนอกเข้ามาใช้บริการเครือข่ายที่อยู่ข้างใน รูปที่ 2.68 แสดงการติดตั้งไฟร์วอลล์เพื่อเชื่อมต่อเครือข่ายส่วนบุคคลกับเครือข่ายอินเตอร์เน็ต จากรูปจะเห็นได้ว่าแพ็กเก็ตที่วิ่งระหว่างเครือข่ายภายในและอินเตอร์เน็ตต้องผ่านไฟร์วอลล์เท่านั้น ดังนั้นไฟร์วอลล์จึงสามารถควบคุมการใช้เครือข่ายได้ โดยอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่านได้ซึ่งแพ็กเก็ตที่อนุญาตให้ผ่านหรือไม่นี้จะขึ้นอยู่กับนโยบายการรักษาความปลอดภัย (Security Policy) ของเครือข่าย ไฟร์วอล์เป็นระบบที่บังคับใช้นโยบายการรักษาความปลอดภัยระหว่างเครือข่าย โดยหลักการแล้วไฟร์วอลล์จะทำงานอยู่ 2 กลไกคือ การอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่าน
รูปที่ 2.68 ไฟร์วอลล์
ถ้าเครือข่ายองค์กรนั้นมีการเชื่อมต่อโดยตรงกับอินเตอร์เน็ตโดยที่ไม่มีไฟร์วอลล์เป็นการเปิดช่องโหว่ให้เครือข่ายสามารถถูกโจมตี หรือบุกรุกได้อย่างง่ายดาย ตัวอย่างเช่น สมมติว่าเครือข่ายมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อย ๆ เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถบุกรุกเข้าเครื่องใดเครื่องหนึ่งได้ ต่อไปนี้ก็ไม่เป็นการยากที่จะบุกรุกเข้าไปยังเครื่องอื่น ๆ การติดตั้งไฟร์วอลล์จะเป็นการป้องกันผู้บุกรุกได้ในระดับหนึ่ง
ประเภทของไฟร์วอลล์
โดยทั่วไปแล้วไฟร์วอลล์แบ่งออกเป็น 2 ประเภท คือ
- Application Layer Firewall
- Packet Filtering Firewall
1 แอพพลิเคชันเลเยอร์ไฟร์วอลล์
ไฟร์วอลล์ที่ทำงานในระดับแอพพลิเคชันเลเยอร์ (Application Layer Firewall) นั้นบางทีก็เรียกว่า “ พร็อกซี่ (Proxy Firewall)” คือ โปรแกรมที่รันบนระบบปฏิบัติการทั่ว ๆ ไป เช่น วินโดวส์ เซิร์ฟเวอร์หรือยูนิกซ์ หรืออาจจะเป็นฮาร์ดแวร์ที่ติดตั้งซอฟต์แวร์พร้อมใช้งานแล้วก็ได้ ไฟร์วอลล์จะมีเน็ตเวิร์คการ์ดหลายการ์ด เพื่อสำหรับเชื่อมต่อกับ เครือข่ายต่าง ๆ นโยบายการรักษาความปลอดภัยจะเป็นสิ่งที่กำหนดว่าทราฟิกใด สามารถถ่ายโอนระหว่างเครือข่ายใดได้บ้าง ถ้านโยบายไม่ได้ระบุอย่างชัดเจนว่าทราฟิกไหนที่อนุญาตให้ผ่านได้ไฟร์วอลล์ก็จะไม่ส่งผ่านหรือละทิ้งแพ็กเก็ตนั้นทันที นโยบายนั้นจะถูกบังคับใช้โดยพร็อกซี่ในไฟร์วอลล์ระดับแอพพลิเคชันนั้นทุก ๆ โปรโตคอลที่อนุญาตให้ผ่านได้จะต้องมีพร็อกซี่สำหรับโปรโตคอลนั้น พร็อกซี่ที่ดีที่สุดนั้นจะเป็นพร็อกซี่ที่ออกแบบมาสำหรับจัดการกับโปรโตคอลนั้นโดยเฉพาะ
รูปที่ 2.69 ไฟร์วอลล์ระดับแอพพลิเคชัน
ไฟร์วอลล์ที่ทำงานในระดับแอพพลิเคชันปัจจุบันส่วนใหญ่จะมีพร็อกซี่สำหรับโปรโตคอลที่นิยมใช้ เช่น HTTP, SMTP, FTP และ Telnet เป็นต้น ถ้าโปรโตคอลไหนไม่มีพร็อกซี่ก็ไม่สามารถผ่านไฟร์วอลล์ได้ นอกจากนี้ไฟร์วอลล์ประเภทนี้ยังสามารถซ่อนแอดเดรสหรือหมายเลขของระบบภายในได้ เนื่องจากการเชื่อมต่อทั้งหมดจะสิ้นสุดที่ไฟร์วอลล์ ดังนั้นเครื่องที่อยู่ภายนอกจะมองเห็นเฉพาะหมายเลขไอพีของไฟร์วอลล์เท่านั้น ถ้าผู้บุกรุกไม่รู้โครงสร้างภายในโอกาสที่จะเจาะระบบได้ก็น้อยลง
2 แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์
แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์ (Packet Filtering Firewall) อาจเป็นได้ทั้งซอฟต์แวร์หรือฮาร์ดแวร์ที่ทำหน้าที่กรองแพ็กเก็ตที่ผ่านไฟร์วอลล์โดยใช้นโยบายการรักษาความปลอดภัยที่กำหนดไว้ แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์นั้นจะอนุญาตให้มีการเชื่อมต่อโดยตรงระหว่างไคลเอนท์และเซิร์ฟเวอร์ ดังนั้นไฟร์วอลล์ประเภทนี้จะทำงานค่อนข้างเร็วกว่าแบบแอพพลิเคชันไฟร์วอลล์เนื่องจากไม่ต้องสร้างคอนเน็กชันใหม่
รูปที่ 2.70 แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์
เราท์เตอร์โดยที่วไปจะมีหลักการทำงานคือ เมื่อได้รับแพ็กเก็ตมาก็จะตรวจสอบหมายเลขไอพีของเครื่องปลายทาง หลังจากนั้นเราท์เตอร์ก็จะตรวจเช็คเราท์ติ้งเทเบิ้ล (Routing Table) เพื่อค้นหาเราท์เตอร์หรือโฮสต์ปลายทางที่จะส่งต่อไป ส่วนขั้นตอนการกรองแพ็กเก็ตของไฟร์วอลล์นั้นจะทำก่อนที่จะส่งผ่านแพ็กเก็ตนี้ แพ็กเก็ตจะถูกกรองตามรายการควบคุมการเข้าถึง (Access Control List หรือ ACL) แต่ละรายการของ ACL จะประกอบด้วยฟิลด์ของเฮดเดอร์ของไอพีแพ็กเก็ตและการอนุญาตหรือไม่อนุญาตให้ผ่าน
คำถามมีอยู่ว่า ถ้าแพ็กเก็ตที่เข้ามาไม่ตรงกับกฎข้อใดเลย
ไฟร์วอลล์จะทำอย่างไรกับ แพ็กเก็ตนี้ มีอยู่ 2 ประเด็นที่ไฟร์วอลล์จะทำคือ
- ถ้าไม่มีกฎข้อไหนที่ไม่ได้เขียนไว้ว่าอนุญาตให้ถือว่าห้าม
- ถ้าไม่มีกฎข้อไหนที่ไม่ได้เขียนไว้ว่าห้ามให้ถือว่าอนุญาต
โดยส่วนใหญ่แล้วไฟร์วอลล์จะใช้หลักการในข้อแรกคือ ถ้าไม่ได้ระบุอย่างแน่ชัดว่าอนุญาตให้ถือว่าห้าม ข้อมูลที่ใช้สำหรับการพิจารณาว่าจะให้แพ็กเก็ตผ่านหรือไม่นั้น มาจากข้อมูลในส่วนหัวของแพ็กเก็ต IP ซึ่งข้อมูลประกอบด้วย
ระบบตรวจจับการบุกรุก (Intrusion Detection System)
ระบบตรวจจับการบุกรุก หรือ IDS (Intrusion Detection System) เป็นเครื่องมือสำหรับการรักษาความปลอดภัยอีกประเภทหนึ่งที่ใช้สำหรับตรวจจับความพยายามที่จะบุกรุกเครือข่าย โดยระบบจะแจ้งเตือนผู้ดูแลระบบเมื่อการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย IDS นั้นไม่ใช่ระบบที่ใช้ป้องกันการบุกรุกแต่เป็นระบบที่คอยแจ้งเตือนภัยเท่านั้นถ้าเปรียบกับระบบการรักษาความปลอดภัยของรถ IDS ก็อาจจะเปรียบได้กับระบบกันขโมย ซึ่งระบบนี้จะส่งสัญญาณเมื่อมีการตรวจพบความพยายามที่จะขโมยรถ เช่น การงัดประตูหรือกระจก แต่ระบบนี้จะไม่สามารถป้องกันไม่ให้รถถูกขโมยได้ อย่างไรก็ตามโดยธรรมชาติแล้วขโมยก็จะพยายามหลีกเลี่ยงรถที่ติดตั้งระบบนี้ ระบบเครือข่ายก็เช่นกัน ถ้ามีระบบตรวจจับและแจ้งเตือนการบุกรุก พวกแฮ็กเกอร์ก็จะหลีกเลี่ยงการบุกรุกเครือข่ายนี้
หน้าที่หลักของ IDS คือ แจ้งเตือนการเข้าใช้เครือข่ายที่ผิดปกติ สิ่งที่เป็นประเด็นสำคัญในการออกแบบระบบ IDS ก็คือ เหตุการณ์ใดคือสิ่งที่ถือว่าผิดปกติ ดังนั้นการใช้ IDS นั้นก็ขึ้นอยู่กับว่าอะไรที่จะแจ้งเตือนให้ทราบ คำตอบนั้นไม่ใช่แค่ถูกหรือผิด ขาวหรือดำ แต่จะขึ้นอยู่กับสภาวะของระบบในขณะนั้น
1 ประเภทของ IDS
IDS แบ่งออกเป็น 2 ประเภทคือ Host-Based IDS และ Network-Based IDS โดยโฮสต์เบสไอดีเอสนั้นคือ ระบบที่ติดตั้งที่โฮสต์และเฝ้าระวังและตรวจจับความพยายามที่จะบุกรุกโฮสต์นั้น ส่วนเน็ตเวิร์คเบสไอดีเอสนั้นคือ ระบบที่ตรวจดูแพ็กเก็ตที่วิ่งอยู่ในเครือข่าย และแจ้งเตือนถ้าพบหลักฐานที่คาดว่าจะเป็นการบุกรุกเครือข่าย
ข้อเสียเปรียบของเน็ตเวิร์คเบสไอดีเอส
- เน็ตเวิร์คเบสไอดีจะแจ้งเตือนภัยก็ต่อเมื่อตรวจพบแพ็กเก็ตที่ตรงกับซิกเนเจอร์ที่ กำหนดไว้ก่อนหน้าเท่านั้น
- เน็ตเวิร์คเบสไอดีเอสอาจพลาดที่จะตรวจจับแพ็กเก็ตได้ในกรณีที่มีการใช้เครือข่ายมาก จนทำให้ IDS วิเคราะห์แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไม่ทัน หรือมีเส้นทางข้อมูลอื่นที่ไม่ต้องผ่าน IDS
- เน็ตเวิร์คไอดีเอสไม่สามารถสรุปได้ว่า การบุกรุกนั้นสำเร็จหรือไม่
- เน็ตเวิร์คไอดีเอสไม่สามารถตรวจวิเคราะห์แพ็กเก็ตที่ถูกเข้ารหัสไว้ได้
- เครือข่ายที่ใช้สวิตซ์นั้นต้องเซตเพื่อให้พอร์ตที่เชื่อมต่อกับ IDS นั้นสามารถมองเห็นทุกแพ็กเก็ตที่วิ่งผ่านสวิตซ์นั้น
ทั้งโฮสต์เบสไอดีเอสและเน็ตเวิร์คเบสไอดีเอสมีทั้งข้อดีและข้อเสียที่แตกต่างกัน ในขณะที่เน็ตเวิร์คเบสนั้นสามารถใช้เฝ้าระวังได้ครอบคลุมส่วนของเครือข่ายได้มากกว่า ดังนั้นจึงเป็นทางเลือกที่ประหยัดกว่าแต่โฮสต์เบสไอดีเอสจะเหมาะสำหรับการเฝ้าระวังภัยที่อาจจะสร้างโดยผู้ใช้ของเครือข่ายเอง ดังนั้นการเลือกประเภทของ IDS ให้เหมาะสมนั้นก็ขึ้นอยู่กับภัยที่คุกคาม เครือข่ายขององค์กร
2 การแจ้งเตือนภัยของ IDS
IDS จะรายงานเฉพาะสิ่งที่กำหนดให้รายงานเท่านั้น มีอยู่สองสิ่งที่ผู้ดูแลระบบจะต้องคอนฟิกให้กับ IDS สิ่งแรกคือ ซิกเนเจอร์ของการบุกรุก สิ่งที่สองคือ เหตุการณ์ที่ผู้ดูแลระบบให้ความสำคัญหรือเหตุการณ์ที่คาดว่าจะเป็นผลไปสู่การบุกรุกในภายหน้า ซึ่งเหตุการณ์ต่าง ๆเหล่านี้อาจเป็นทราฟิกที่ไม่ปกติหรืออาจเป็นบางข้อความในล็อก การคอนฟิกซิกเนเจอร์ให้กับ IDS ของแต่ละองค์กรนั้นอาจจะไม่เหมือนกัน ซึ่งจะขึ้นอยู่กับว่าองค์กรนั้นจะให้ความสนใจกับการบุกรุกประเภทใด
เมื่อ IDS ได้ถูกคอนฟิกอย่างถูกต้องแล้ว เหตุการณ์ที่ IDS จะรายงานให้ทราบนั้นสามารถแบ่งออกได้เป็น 3 ประเภทคือ
- การสำรวจเครือข่าย
- การโจมตี
- เหตุการณ์ที่น่าสงสัยหรือผิดปกติ
- โฮสต์เบสไอดีเอสสามารถบ่งชี้ได้ว่ามีการเข้าใช้ระบบอย่างผิดปกติโดยผู้ใช้ของ ระบบเอง
ข้อเสียเปรียบของโฮสต์เบสไอดีเอสคือ
- โพรเซสเซอร์ IDS อาจถูกโจมตีเองจนอาจไม่สามารถแจ้งเตือนได้
- โฮสต์เบสไอดีเอสจะแจ้งเตือนก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้นนั้นตรงกับที่กำหนดไว้ก่อนหน้า ถ้าแฮ็กเกอร์มีเทคนิคใหม่ ๆ IDS อาจไม่แจ้งเตือนการบุกรุกก็ได้
- การทำงานของโฮสต์ไอดีเอสอาจมีผลกระทบต่อประสิทธิภาพของโฮสต์เองเนื่องจากต้องตรวจสอบล็อกไฟล์และซิสเต็มคอลล์
Netwok – Based IDS
เน็ตเวิร์คเบสไอดีเอส คือ เซิร์ฟเวอร์พิเศษที่รันบนคอมพิวเตอร์เครื่องหนึ่งต่างหาก IDS ประเภทนี้จะมีเน็ตเวิร์คการ์ดที่ทำงานในโหมดที่เรียกว่า “ โพรมิสเซียส (promiscuous Mode)” ซึ่งในโหมดนี้เน็ตเวิร์คการ์ดจะส่งต่อทุก ๆ แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไปให้แอพพลิเคชันโพรเซส ในขณะที่เน็ตเวิร์คการ์ดที่รันในโหมดธรรมดานั้นจะรับเอาเฉพาะแพ็ก เก็ตที่มีที่อยู่ปลายทางตรงกับของเครื่องนั้นเท่านั้น เมื่อทุก ๆ แพ็กเก็ตส่งผ่านไปให้แอพพลิเคชัน IDS จะวิเคราะห์ข้อมูลในแพ็กเก็ตเหล่านั้นกับกฏที่ได้ตั้งไว้ก่อนหน้า ถ้าตรงกับกฏก็จะแจ้งเตือนทันที ในแต่ละ IDS จะมีข้อมูลที่ใช้สำหรับเปรียบเทียบเพื่อบอกว่ามีการพยายามที่จะบุกรุก เครือข่ายหรือไม่ ซึ่งข้อมูลนี้จะเรียกว่า “ ซิกเนเจอร์ (Signature)” IDS จะใช้ซิกเนเจอร์ที่เก็บไว้เปรียบเทียบกับข้อมูลที่ได้จากการวิเคราะห์แพ็กเก็ตที่วิ่งในเครือข่าย ดังนั้นถ้าแฮ็กเกอร์มีเทคนิคใหม่ ๆ และ IDS ไม่รู้จักเทคนิคนี้หรือมีซิกเนเจอร์ นี้ IDS ก็จะไม่สามารถตรวจจับการบุกรุกประเภทนี้ได้
โดยส่วนใหญ่แล้ว IDS ประเภทนี้จะมี 2 เน็ตเวิร์คการ์ด โดยเน็ตเวิร์คการ์ดแรกจะเชื่อมต่อเข้ากับเครือข่ายที่ต้องการเฝ้าระวังหรือตรวจจับการบุกรุก โดยเน็ตเวิร์คการ์ดนี้จะไม่มีหมายเลขไอพี ดังนั้นเครื่องอื่น ๆ ที่อยู่ในเครือข่ายจะมองไม่เห็นเครื่องนี้ ส่วนเน็ตเวิร์คการ์ดอีกอันหนึ่งจะเชื่อมต่อเข้ากับอีกเครือข่ายหนึ่งเพื่อใช้สำหรับส่งการแจ้งเตือนภัยไปยังเซิร์ฟเวอร์ โดยเครือข่ายจะต้องไม่ถูกเชื่อมต่อกับเครือข่ายหลักที่ IDS จะตรวจจับการบุกรุก
คริพโตกราฟี (Cryptography)
โดยทั่วไปแล้วข้อมูลที่รับส่งผ่านเครือข่ายนั้นจะอยู่ในรูปเคลียร์เท็กซ์ (Clear text) ซึ่งข้อมูลนี้อาจถูกอ่านหรือคัดลอกได้โดยใช้เทคนิคที่เรียกว่า “ สนิฟเฟอริง (Sniffering)” เครื่องมือต่าง ๆ เช่น โปรโตคอลอะนาไลเซอร์ หรือโปรแกรมการดูแลระบบเครือข่ายที่ส่วนใหญ่จะมีมาในระบบปฏบัติการปัจจุบันนั้น สามารถที่จะใช้ตรวจดูข้อมูลที่รับส่งผ่านเครือข่ายได้ เพื่อป้องกันการขโมยข้อมูลที่รับส่งผ่านเครือข่ายที่ไม่มีความปลอดภัยนี้ ข้อมูลจำเป็นต้องมีการเข้ารหัส การเข้ารหัสข้อมูล (Data encryption) คือ วิธีที่ใช้สำหรับแปลงเคลียร์เท็กซ์ให้เป็นไซเฟอร์เท็กซ์ (Cipher text) หรือข้อมูลที่เข้ารหัสแล้ว ซึ่งข้อมูลนี้จะถูกส่งไปให้ผู้รับเมื่อผู้รับได้รับข้อมูลก็จะถอดรหัสข้อมูล (Decryption) เพื่อให้ได้ข้อมูลเดิม การเข้าและถอดรหัสข้อมูลจะเรียกว่า “ คริพโตกราฟี (Cryptography) ” ปัจจุบันการเข้ารหัสข้อมูลจะแบ่งออกเป็น 2 ประเภทคือ
- Symmetric Key Cryptography
- Public Key Cryptography
ซึ่งรายละเอียดของแต่ละประเภทจะได้กล่าวในหัวข้อถัดไป
1 Symmetric Key Cryptography
การเข้าและถอดรหัสข้อมูลแบบซีเครทคีย์ (Secret Key) เป็นวิธีที่ทั้งการเข้ารหัสและการถอดรหัสจะใช้คีย์ (Key) หรือรหัสลับเดียวกันหรือเรียกอีกอย่างหนึ่งว่า การเข้าและถอดรหัสแบซิมเมทริกซ์ (Symmetric) คีย์ที่ใช้จะมีความยาวคงที่ การไหลของข้อมูลเป็นเหมือนแสดงในรูปที่ 2.72 จากรูปดังกล่าวเครื่องส่งนำข้อมูลที่ต้องการส่งคือ “abc” มาเข้ารหัสโดยใช้คีย์ ซึ่งผลที่ได้คือ “I&#” แล้วส่งผ่านเครือข่าย เมื่อถึงปลายทางเครื่องรับก็จะถอดรหัสข้อมูลโดยใช้คีย์เดียวกัน ซึ่งข้อมูลก็จะถูกเปลี่ยนกลับมาเป็น
สมัครสมาชิก:
บทความ (Atom)
