การรักษาความปลอดภัยในเครือข่าย

การรักษาความปลอดภัยในเครือข่าย
ปัจจุบันเครือข่ายอินเตอร์เน็ตเติบโตอย่างรวดเร็ว เกือบจะทุกองค์กรได้เชื่อมต่อเครือข่ายตนเองเข้ากับอินเตอร์เน็ตเพื่อใช้ประโยชน์จากแหล่งข้อมูลที่ใหญ่ที่สุดในโลกนี้ ประโยชน์ที่ได้รับจากการเชื่อมต่อนี้อาจมากเกินกว่าที่คาดไว้ แต่โทษนั้นก็อาจมีมากเช่นกัน ดังนั้นการรักษาความปลอดภัยในเครือข่ายจึงเป็นสิ่งที่สำคัญและจำเป็นสำหรับองค์กร เนื่องจากข้อมูลและเครื่องมือที่ใช้สำหรับการบุกรุกระบบเครือข่ายนั้น สามารถหาจากอินเตอร์เน็ตได้ง่าย และยังง่ายต่อการใช้งาน ถึงแม้ว่าคนที่ไม่มีความรู้เกี่ยวกับคอมพิวเตอร์มากนักแต่ก็สามารถใช้ เครื่องมือโจมตีเครือข่ายเหล่านี้ได้อย่างง่ายดาย ดังนั้นผู้ดูแลระบบจำเป็นที่จะต้องวางแผนและติดตั้งระบบการรักษาความปลอดภัยในเครือข่ายได้ดีด้วย เมื่อเชื่อมเครือข่ายส่วนบุคคลเข้ากับอินเตอร์เน็ตแล้ว นับเป็นการเชื่อมต่อเครือข่ายเข้ากับอีกกว่า 50,000 เครือข่ายและผู้ใช้ของแต่ละเครือข่ายนั้น ๆ ถึงแม้ว่าจะเป็นการเปิดประตูสู่ แอพพลิเคชันมากมายที่เป็นประโยชน์ และเป็นช่องทางที่ใช้สำหรับสื่อสารกับผู้คนและองค์กร ทั่วโลกได้ อย่างไรก็ตามเครือข่ายส่วนบุคคลส่วนใหญ่จะมีข้อมูลที่ไม่สมควรที่จะแชร์กับผู้ใช้อินเตอร์เน็ต อีกทั้งอาจมีผู้ใช้อินเตอร์เน็ตบางกลุ่มที่อาจทำกิจกรรมที่ผิดกฏหมาย ด้วยเหตุนี้จึงทำให้เกิดคำถามเกี่ยวกับการรักษาความปลอดภัยในเครือข่ายขึ้น 2 คำถาม ดังนี้
- เราจะปกป้องข้อมูลลับจากบุคคลที่ไม่ควรเข้าถึงได้อย่างไร
- เราควรจะปกป้องเครือข่ายและทรัพยากรจากบุคคลที่ประสงค์ร้าย หรือที่เกิดจากอุบัติเหตุที่เริ่มจากข้างนอกเครือข่ายของเราอย่างไร
ข้อมูลที่เป็นความลับขององค์กรอาจจะอยู่หนึ่งในสองที่คือ อาจอยู่ในอุปกรณ์เก็บข้อมูล เช่น ฮาร์ดดิสก์ , เทป , หน่วยความจำ หรืออาจจะอยู่ในระหว่างการส่งผ่านเครือข่ายในรูปของแพ็กเก็ต ซึ่งทั้งสองที่นี้มีโอกาสที่จะถูกขโมยได้ทั้งจากผู้ใช้ที่อยู่ในเครือข่ายเอง หรือจากผู้ใช้ที่อยู่บนอินเตอร์เน็ต ดังนั้นการรักษาความปลอดภัยข้อมูลนั้นควรที่จะปกป้องข้อมูลที่อยู่ทั้งสองที่นี้ ในบทนี้ผู้เขียนจะกล่าวถึงการบุกรุกเครือข่ายในรูปแบบต่าง ๆ และเทคโนโลยีที่ใช้ป้องกันและรักษาความปลอดภัยในเครือข่าย ซึ่งหวังว่าจะเป็นแนวทางสำหรับป้องกันภัยที่อาจจะเกิดขึ้นกับเครือข่ายและข้อมูลขององค์กรได้
การโจมตีเครือข่าย
เครือข่ายเป็นเทคโนโลยีที่น่าอัศจรรย์ แต่ก็ยังคงมีความเสี่ยงอยู่มากถ้าไม่มีการควบคุมหรือป้องกันที่ดี การโจมตีหรือการบุกรุกเครือข่าย หมายถึงความพยายามที่จะเข้าใช้ระบบ (Access Attack) การแก้ไขข้อมูลหรือระบบ ( Modification Attack) การทำให้ระบบไม่สามารถใช้การได้ (Deny of Service Attack) และการทำให้ข้อมูลเป็นเท็จ (Repudiation Attack) ซึ่งจะกระทำโดยผู้ประสงค์ร้าย ผู้ที่ไม่มีสิทธิ์ หรืออาจเกิดจากความไม่ตั้งใจของผู้ใช้เอง ต่อไปนี้เป็นรูปแบบ ต่าง ๆ ที่ผู้ไม่ประสงค์ดีพยายามที่จะบุกรุกเครือข่ายเพื่อลักลอบข้อมูลที่สำคัญหรือเข้าใช้ระบบโดยไม่ได้รับอนุญาต
1 การโจมตีรหัสผ่าน
การโจมตีรหัสผ่าน (Password Attack) หมายถึง การโจมตีที่ผู้บุกรุกพยายามเดารหัสผ่านของผู้ใช้คนใดคนหนึ่ง ซึ่งวิธีการเดานั้นก็มีหลายวิธี เช่น บรู๊ทฟอร์ธ (brute –Force) , โทรจันฮอร์ส (Trojan Horse), ไอพีสปูฟิง , แพ็กเก็ตสนิฟเฟอร์ เป็นต้น การเดาแบบบรู๊ทฟอร์ช หมายถึง การลองผิดลองถูกรหัสผ่านเรื่อย ๆ จนกว่าจะถูก บ่อยครั้งที่การโจมตีแบบบรู๊ทฟอร์ธใช้การพยายาม อกอินเข้าใช้รีซอร์สของเครือข่าย โดยถ้าทำสำเร็จผู้บุกรุกก็จะมีสิทธิ์เหมือนกับเจ้าของแอ็คเคาท์นั้นๆ
2 การโจมตีแบบ Man-in-the-Middle
การโจมตีแบบ Man-in-the-Middle นั้นผู้โจมตีต้องสามารถเข้าถึงแพ็กเก็ตที่ส่งระหว่างเครือข่ายได้ เช่น ผู้โจมตีอาจอยู่ที่ ISP ซึ่งสามารถตรวจจับแพ็กเก็ตที่รับส่งระหว่างเครือข่าย ภายในและเครือข่ายอื่น ๆ โดยผ่าน ISP การโจมตีนี้จะใช้แพ็กเก็ตสนิฟเฟอร์เป็นเครื่องมือเพื่อขโมยข้อมูล หรือใช้เซสชั่นเพื่อแอ็กเซสเครือข่ายภายใน หรือวิเคราะห์การจราจรของเครือข่ายหรือผู้ใช้
รูปที่ 2.67 Man-in-the-Middle Attack
3 การโจมตีแบบ DOS
การโจมตีแบบดีไนล์ออฟเซอร์วิส หรือ DOS (Denial-of-Service) หมายถึง การโจมตีเซิร์ฟเวอร์โดยการทำให้เซิร์ฟเวอร์นั้นไม่สามารถให้บริการได้ ซึ่งโดยปกติจะทำโดยการใช้รีซอร์สของเซิร์ฟเวอร์จนหมด หรือ ถึงขีดจำกัดของเซิร์ฟเวอร์ ตัวอย่างเช่น เว็บ เซอร์เวอร์ และเอฟทีพีเซิร์ฟเวอร์ การโจมตีจะทำได้โดยการเปิดการเชื่อมต่อ (Connection) กับเซิร์ฟเวอร์จนถึงขีดจำกัดของเซิร์ฟเวอร์ ทำให้ผู้ใช้คนอื่น ๆ ไม่สามารถเข้ามาใช้บริการได้ การ โจมตีแบบนี้อาจใช้โปรโตคอลที่ใช้บนอินเตอร์เน็ตทั่ว ๆ ไป เช่น TCP( Transmission Control Protocol) หรือ ICMP (Internet Control Message Protocol) การโจมตีแบบแบบดีไนล์ออฟเซอร์วิส เป็นการโจมตีจุดอ่อนของระบบหรือเซิร์ฟเวอร์มากกว่าการโจมตีจุดบกพร่อง (Bug) หรือช่องโหว่ของระบบการรักษาความปลอดภัย
4 โทรจันฮอร์ส เวิร์ม และไวรัส
คำว่า “ โทรจันฮอร์ส (Trojan Horse) ” นี้เป็นคำที่มาจากสงครามโทรจัน ระหว่างทรอย (Troy) และ กรีก (Greek) ซึ่งเปรียบถึงม้าโครงไม้ที่ชาวกรีกสร้างทิ้งไว้แล้วซ่อนทหารไว้ข้างในแล้วถอนทัพกลับ พอชาวโทรจันออกมาดูเห็นม้าโครงไม้ทิ้งไว้ และคิดว่าเป็นของขวัญที่กรีซทิ้งไว้ให้ จึงนำกลับเข้าเมืองไปด้วย พอตกดึกทหารกรีกที่ซ่อนอยู่ในม้าโครงไม้นี้ก็ออกมาเปิดประตูให้กับทหารกรีกเข้าไปทำลายเมืองทรอย สำหรับในความหมายคอมพิวเตอร์แล้ว โทรจันฮอร์ส หมายถึง โปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่น ๆ เช่น เกม สกรีนเซฟเวอร์ เป็นต้น ซึ่งผู้ใช้อาจจะดาวน์โหลดโปรแกรมต่าง ๆ เหล่านี้มา แต่เมื่อติดตั้งแล้วรันโปรแกรมโทรจันฮอร์สที่แฝงมาด้วยก็จะทำลายระบบคอมพิวเตอร์ เช่น ลบไฟล์ต่าง ๆ หรืออาจสร้างแบ็คดอร์ให้กับโปรแกรมอื่นเข้ามาทำลายระบบก็ได้
เทคโนโลยีการรักษาความปลอดภัย
ถึงแม้ว่าการปกป้องข้อมูลเป็นสิ่งที่มีลำดับความสำคัญสูงสุด แต่การรักษาเครือข่ายให้ทำงานอย่างถูกต้องก็เป็นปัจจัยที่สำคัญในการปกป้องข้อมูลที่อยู่ในเครือข่ายนั้น ถ้ามีช่องโหว่ของระบบเครือข่ายที่อนุญาตให้โจมตีได้ ความเสียหายที่เกิดขึ้นอาจใช้ทั้งเวลาและความพยายามอย่างมากที่จะทำให้ระบบกลับมาทำงานได้เหมือนเดิม ในหัวข้อต่อไปผู้เขียนจะแนะนำเทคนิคและเทคโนโลยีที่ใช้สำหรับการป้องกันและรักษาความปลอดภัยทั้งระบบเครือข่ายเอง และข้อมูลที่จัดเก็บและรับส่งผ่านเครือข่าย
1 ไฟร์วอลล์
เหตุผลหลักที่มีการใช้ไฟร์วอลล์ (Firewall) ก็เพื่อให้ผู้ใช้ที่อยู่ภายในสามารถใช้บริการเครือข่ายภายในได้เต็มที่ และใช้บริการเครือข่ายภายนอก เช่น อินเตอร์เน็ตได้ ในขณะที่ไฟร์วอลล์จะป้องกันไม่ให้ผู้ใช้ภายนอกเข้ามาใช้บริการเครือข่ายที่อยู่ข้างใน รูปที่ 2.68 แสดงการติดตั้งไฟร์วอลล์เพื่อเชื่อมต่อเครือข่ายส่วนบุคคลกับเครือข่ายอินเตอร์เน็ต จากรูปจะเห็นได้ว่าแพ็กเก็ตที่วิ่งระหว่างเครือข่ายภายในและอินเตอร์เน็ตต้องผ่านไฟร์วอลล์เท่านั้น ดังนั้นไฟร์วอลล์จึงสามารถควบคุมการใช้เครือข่ายได้ โดยอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่านได้ซึ่งแพ็กเก็ตที่อนุญาตให้ผ่านหรือไม่นี้จะขึ้นอยู่กับนโยบายการรักษาความปลอดภัย (Security Policy) ของเครือข่าย ไฟร์วอล์เป็นระบบที่บังคับใช้นโยบายการรักษาความปลอดภัยระหว่างเครือข่าย โดยหลักการแล้วไฟร์วอลล์จะทำงานอยู่ 2 กลไกคือ การอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่าน
รูปที่ 2.68 ไฟร์วอลล์
ถ้าเครือข่ายองค์กรนั้นมีการเชื่อมต่อโดยตรงกับอินเตอร์เน็ตโดยที่ไม่มีไฟร์วอลล์เป็นการเปิดช่องโหว่ให้เครือข่ายสามารถถูกโจมตี หรือบุกรุกได้อย่างง่ายดาย ตัวอย่างเช่น สมมติว่าเครือข่ายมีโฮสต์หรือเซิรฟ์เวอร์เป็นร้อย ๆ เครื่อง ถ้าผู้บุกรุกเครือข่ายสามารถบุกรุกเข้าเครื่องใดเครื่องหนึ่งได้ ต่อไปนี้ก็ไม่เป็นการยากที่จะบุกรุกเข้าไปยังเครื่องอื่น ๆ การติดตั้งไฟร์วอลล์จะเป็นการป้องกันผู้บุกรุกได้ในระดับหนึ่ง
ประเภทของไฟร์วอลล์
โดยทั่วไปแล้วไฟร์วอลล์แบ่งออกเป็น 2 ประเภท คือ
- Application Layer Firewall
- Packet Filtering Firewall
1 แอพพลิเคชันเลเยอร์ไฟร์วอลล์
ไฟร์วอลล์ที่ทำงานในระดับแอพพลิเคชันเลเยอร์ (Application Layer Firewall) นั้นบางทีก็เรียกว่า “ พร็อกซี่ (Proxy Firewall)” คือ โปรแกรมที่รันบนระบบปฏิบัติการทั่ว ๆ ไป เช่น วินโดวส์ เซิร์ฟเวอร์หรือยูนิกซ์ หรืออาจจะเป็นฮาร์ดแวร์ที่ติดตั้งซอฟต์แวร์พร้อมใช้งานแล้วก็ได้ ไฟร์วอลล์จะมีเน็ตเวิร์คการ์ดหลายการ์ด เพื่อสำหรับเชื่อมต่อกับ เครือข่ายต่าง ๆ นโยบายการรักษาความปลอดภัยจะเป็นสิ่งที่กำหนดว่าทราฟิกใด สามารถถ่ายโอนระหว่างเครือข่ายใดได้บ้าง ถ้านโยบายไม่ได้ระบุอย่างชัดเจนว่าทราฟิกไหนที่อนุญาตให้ผ่านได้ไฟร์วอลล์ก็จะไม่ส่งผ่านหรือละทิ้งแพ็กเก็ตนั้นทันที นโยบายนั้นจะถูกบังคับใช้โดยพร็อกซี่ในไฟร์วอลล์ระดับแอพพลิเคชันนั้นทุก ๆ โปรโตคอลที่อนุญาตให้ผ่านได้จะต้องมีพร็อกซี่สำหรับโปรโตคอลนั้น พร็อกซี่ที่ดีที่สุดนั้นจะเป็นพร็อกซี่ที่ออกแบบมาสำหรับจัดการกับโปรโตคอลนั้นโดยเฉพาะ
รูปที่ 2.69 ไฟร์วอลล์ระดับแอพพลิเคชัน
ไฟร์วอลล์ที่ทำงานในระดับแอพพลิเคชันปัจจุบันส่วนใหญ่จะมีพร็อกซี่สำหรับโปรโตคอลที่นิยมใช้ เช่น HTTP, SMTP, FTP และ Telnet เป็นต้น ถ้าโปรโตคอลไหนไม่มีพร็อกซี่ก็ไม่สามารถผ่านไฟร์วอลล์ได้ นอกจากนี้ไฟร์วอลล์ประเภทนี้ยังสามารถซ่อนแอดเดรสหรือหมายเลขของระบบภายในได้ เนื่องจากการเชื่อมต่อทั้งหมดจะสิ้นสุดที่ไฟร์วอลล์ ดังนั้นเครื่องที่อยู่ภายนอกจะมองเห็นเฉพาะหมายเลขไอพีของไฟร์วอลล์เท่านั้น ถ้าผู้บุกรุกไม่รู้โครงสร้างภายในโอกาสที่จะเจาะระบบได้ก็น้อยลง
2 แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์
แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์ (Packet Filtering Firewall) อาจเป็นได้ทั้งซอฟต์แวร์หรือฮาร์ดแวร์ที่ทำหน้าที่กรองแพ็กเก็ตที่ผ่านไฟร์วอลล์โดยใช้นโยบายการรักษาความปลอดภัยที่กำหนดไว้ แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์นั้นจะอนุญาตให้มีการเชื่อมต่อโดยตรงระหว่างไคลเอนท์และเซิร์ฟเวอร์ ดังนั้นไฟร์วอลล์ประเภทนี้จะทำงานค่อนข้างเร็วกว่าแบบแอพพลิเคชันไฟร์วอลล์เนื่องจากไม่ต้องสร้างคอนเน็กชันใหม่
รูปที่ 2.70 แพ็กเก็ตฟิลเตอร์ริ่งไฟร์วอลล์
เราท์เตอร์โดยที่วไปจะมีหลักการทำงานคือ เมื่อได้รับแพ็กเก็ตมาก็จะตรวจสอบหมายเลขไอพีของเครื่องปลายทาง หลังจากนั้นเราท์เตอร์ก็จะตรวจเช็คเราท์ติ้งเทเบิ้ล (Routing Table) เพื่อค้นหาเราท์เตอร์หรือโฮสต์ปลายทางที่จะส่งต่อไป ส่วนขั้นตอนการกรองแพ็กเก็ตของไฟร์วอลล์นั้นจะทำก่อนที่จะส่งผ่านแพ็กเก็ตนี้ แพ็กเก็ตจะถูกกรองตามรายการควบคุมการเข้าถึง (Access Control List หรือ ACL) แต่ละรายการของ ACL จะประกอบด้วยฟิลด์ของเฮดเดอร์ของไอพีแพ็กเก็ตและการอนุญาตหรือไม่อนุญาตให้ผ่าน
คำถามมีอยู่ว่า ถ้าแพ็กเก็ตที่เข้ามาไม่ตรงกับกฎข้อใดเลย
ไฟร์วอลล์จะทำอย่างไรกับ แพ็กเก็ตนี้ มีอยู่ 2 ประเด็นที่ไฟร์วอลล์จะทำคือ
- ถ้าไม่มีกฎข้อไหนที่ไม่ได้เขียนไว้ว่าอนุญาตให้ถือว่าห้าม
- ถ้าไม่มีกฎข้อไหนที่ไม่ได้เขียนไว้ว่าห้ามให้ถือว่าอนุญาต
โดยส่วนใหญ่แล้วไฟร์วอลล์จะใช้หลักการในข้อแรกคือ ถ้าไม่ได้ระบุอย่างแน่ชัดว่าอนุญาตให้ถือว่าห้าม ข้อมูลที่ใช้สำหรับการพิจารณาว่าจะให้แพ็กเก็ตผ่านหรือไม่นั้น มาจากข้อมูลในส่วนหัวของแพ็กเก็ต IP ซึ่งข้อมูลประกอบด้วย
ระบบตรวจจับการบุกรุก (Intrusion Detection System)
ระบบตรวจจับการบุกรุก หรือ IDS (Intrusion Detection System) เป็นเครื่องมือสำหรับการรักษาความปลอดภัยอีกประเภทหนึ่งที่ใช้สำหรับตรวจจับความพยายามที่จะบุกรุกเครือข่าย โดยระบบจะแจ้งเตือนผู้ดูแลระบบเมื่อการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย IDS นั้นไม่ใช่ระบบที่ใช้ป้องกันการบุกรุกแต่เป็นระบบที่คอยแจ้งเตือนภัยเท่านั้นถ้าเปรียบกับระบบการรักษาความปลอดภัยของรถ IDS ก็อาจจะเปรียบได้กับระบบกันขโมย ซึ่งระบบนี้จะส่งสัญญาณเมื่อมีการตรวจพบความพยายามที่จะขโมยรถ เช่น การงัดประตูหรือกระจก แต่ระบบนี้จะไม่สามารถป้องกันไม่ให้รถถูกขโมยได้ อย่างไรก็ตามโดยธรรมชาติแล้วขโมยก็จะพยายามหลีกเลี่ยงรถที่ติดตั้งระบบนี้ ระบบเครือข่ายก็เช่นกัน ถ้ามีระบบตรวจจับและแจ้งเตือนการบุกรุก พวกแฮ็กเกอร์ก็จะหลีกเลี่ยงการบุกรุกเครือข่ายนี้
หน้าที่หลักของ IDS คือ แจ้งเตือนการเข้าใช้เครือข่ายที่ผิดปกติ สิ่งที่เป็นประเด็นสำคัญในการออกแบบระบบ IDS ก็คือ เหตุการณ์ใดคือสิ่งที่ถือว่าผิดปกติ ดังนั้นการใช้ IDS นั้นก็ขึ้นอยู่กับว่าอะไรที่จะแจ้งเตือนให้ทราบ คำตอบนั้นไม่ใช่แค่ถูกหรือผิด ขาวหรือดำ แต่จะขึ้นอยู่กับสภาวะของระบบในขณะนั้น
1 ประเภทของ IDS
IDS แบ่งออกเป็น 2 ประเภทคือ Host-Based IDS และ Network-Based IDS โดยโฮสต์เบสไอดีเอสนั้นคือ ระบบที่ติดตั้งที่โฮสต์และเฝ้าระวังและตรวจจับความพยายามที่จะบุกรุกโฮสต์นั้น ส่วนเน็ตเวิร์คเบสไอดีเอสนั้นคือ ระบบที่ตรวจดูแพ็กเก็ตที่วิ่งอยู่ในเครือข่าย และแจ้งเตือนถ้าพบหลักฐานที่คาดว่าจะเป็นการบุกรุกเครือข่าย
ข้อเสียเปรียบของเน็ตเวิร์คเบสไอดีเอส
- เน็ตเวิร์คเบสไอดีจะแจ้งเตือนภัยก็ต่อเมื่อตรวจพบแพ็กเก็ตที่ตรงกับซิกเนเจอร์ที่ กำหนดไว้ก่อนหน้าเท่านั้น
- เน็ตเวิร์คเบสไอดีเอสอาจพลาดที่จะตรวจจับแพ็กเก็ตได้ในกรณีที่มีการใช้เครือข่ายมาก จนทำให้ IDS วิเคราะห์แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไม่ทัน หรือมีเส้นทางข้อมูลอื่นที่ไม่ต้องผ่าน IDS
- เน็ตเวิร์คไอดีเอสไม่สามารถสรุปได้ว่า การบุกรุกนั้นสำเร็จหรือไม่
- เน็ตเวิร์คไอดีเอสไม่สามารถตรวจวิเคราะห์แพ็กเก็ตที่ถูกเข้ารหัสไว้ได้
- เครือข่ายที่ใช้สวิตซ์นั้นต้องเซตเพื่อให้พอร์ตที่เชื่อมต่อกับ IDS นั้นสามารถมองเห็นทุกแพ็กเก็ตที่วิ่งผ่านสวิตซ์นั้น
ทั้งโฮสต์เบสไอดีเอสและเน็ตเวิร์คเบสไอดีเอสมีทั้งข้อดีและข้อเสียที่แตกต่างกัน ในขณะที่เน็ตเวิร์คเบสนั้นสามารถใช้เฝ้าระวังได้ครอบคลุมส่วนของเครือข่ายได้มากกว่า ดังนั้นจึงเป็นทางเลือกที่ประหยัดกว่าแต่โฮสต์เบสไอดีเอสจะเหมาะสำหรับการเฝ้าระวังภัยที่อาจจะสร้างโดยผู้ใช้ของเครือข่ายเอง ดังนั้นการเลือกประเภทของ IDS ให้เหมาะสมนั้นก็ขึ้นอยู่กับภัยที่คุกคาม เครือข่ายขององค์กร
2 การแจ้งเตือนภัยของ IDS
IDS จะรายงานเฉพาะสิ่งที่กำหนดให้รายงานเท่านั้น มีอยู่สองสิ่งที่ผู้ดูแลระบบจะต้องคอนฟิกให้กับ IDS สิ่งแรกคือ ซิกเนเจอร์ของการบุกรุก สิ่งที่สองคือ เหตุการณ์ที่ผู้ดูแลระบบให้ความสำคัญหรือเหตุการณ์ที่คาดว่าจะเป็นผลไปสู่การบุกรุกในภายหน้า ซึ่งเหตุการณ์ต่าง ๆเหล่านี้อาจเป็นทราฟิกที่ไม่ปกติหรืออาจเป็นบางข้อความในล็อก การคอนฟิกซิกเนเจอร์ให้กับ IDS ของแต่ละองค์กรนั้นอาจจะไม่เหมือนกัน ซึ่งจะขึ้นอยู่กับว่าองค์กรนั้นจะให้ความสนใจกับการบุกรุกประเภทใด
เมื่อ IDS ได้ถูกคอนฟิกอย่างถูกต้องแล้ว เหตุการณ์ที่ IDS จะรายงานให้ทราบนั้นสามารถแบ่งออกได้เป็น 3 ประเภทคือ
- การสำรวจเครือข่าย
- การโจมตี
- เหตุการณ์ที่น่าสงสัยหรือผิดปกติ
- โฮสต์เบสไอดีเอสสามารถบ่งชี้ได้ว่ามีการเข้าใช้ระบบอย่างผิดปกติโดยผู้ใช้ของ ระบบเอง
ข้อเสียเปรียบของโฮสต์เบสไอดีเอสคือ
- โพรเซสเซอร์ IDS อาจถูกโจมตีเองจนอาจไม่สามารถแจ้งเตือนได้
- โฮสต์เบสไอดีเอสจะแจ้งเตือนก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้นนั้นตรงกับที่กำหนดไว้ก่อนหน้า ถ้าแฮ็กเกอร์มีเทคนิคใหม่ ๆ IDS อาจไม่แจ้งเตือนการบุกรุกก็ได้
- การทำงานของโฮสต์ไอดีเอสอาจมีผลกระทบต่อประสิทธิภาพของโฮสต์เองเนื่องจากต้องตรวจสอบล็อกไฟล์และซิสเต็มคอลล์
Netwok – Based IDS
เน็ตเวิร์คเบสไอดีเอส คือ เซิร์ฟเวอร์พิเศษที่รันบนคอมพิวเตอร์เครื่องหนึ่งต่างหาก IDS ประเภทนี้จะมีเน็ตเวิร์คการ์ดที่ทำงานในโหมดที่เรียกว่า “ โพรมิสเซียส (promiscuous Mode)” ซึ่งในโหมดนี้เน็ตเวิร์คการ์ดจะส่งต่อทุก ๆ แพ็กเก็ตที่วิ่งอยู่บนเครือข่ายไปให้แอพพลิเคชันโพรเซส ในขณะที่เน็ตเวิร์คการ์ดที่รันในโหมดธรรมดานั้นจะรับเอาเฉพาะแพ็ก เก็ตที่มีที่อยู่ปลายทางตรงกับของเครื่องนั้นเท่านั้น เมื่อทุก ๆ แพ็กเก็ตส่งผ่านไปให้แอพพลิเคชัน IDS จะวิเคราะห์ข้อมูลในแพ็กเก็ตเหล่านั้นกับกฏที่ได้ตั้งไว้ก่อนหน้า ถ้าตรงกับกฏก็จะแจ้งเตือนทันที ในแต่ละ IDS จะมีข้อมูลที่ใช้สำหรับเปรียบเทียบเพื่อบอกว่ามีการพยายามที่จะบุกรุก เครือข่ายหรือไม่ ซึ่งข้อมูลนี้จะเรียกว่า “ ซิกเนเจอร์ (Signature)” IDS จะใช้ซิกเนเจอร์ที่เก็บไว้เปรียบเทียบกับข้อมูลที่ได้จากการวิเคราะห์แพ็กเก็ตที่วิ่งในเครือข่าย ดังนั้นถ้าแฮ็กเกอร์มีเทคนิคใหม่ ๆ และ IDS ไม่รู้จักเทคนิคนี้หรือมีซิกเนเจอร์ นี้ IDS ก็จะไม่สามารถตรวจจับการบุกรุกประเภทนี้ได้
โดยส่วนใหญ่แล้ว IDS ประเภทนี้จะมี 2 เน็ตเวิร์คการ์ด โดยเน็ตเวิร์คการ์ดแรกจะเชื่อมต่อเข้ากับเครือข่ายที่ต้องการเฝ้าระวังหรือตรวจจับการบุกรุก โดยเน็ตเวิร์คการ์ดนี้จะไม่มีหมายเลขไอพี ดังนั้นเครื่องอื่น ๆ ที่อยู่ในเครือข่ายจะมองไม่เห็นเครื่องนี้ ส่วนเน็ตเวิร์คการ์ดอีกอันหนึ่งจะเชื่อมต่อเข้ากับอีกเครือข่ายหนึ่งเพื่อใช้สำหรับส่งการแจ้งเตือนภัยไปยังเซิร์ฟเวอร์ โดยเครือข่ายจะต้องไม่ถูกเชื่อมต่อกับเครือข่ายหลักที่ IDS จะตรวจจับการบุกรุก
คริพโตกราฟี (Cryptography)
โดยทั่วไปแล้วข้อมูลที่รับส่งผ่านเครือข่ายนั้นจะอยู่ในรูปเคลียร์เท็กซ์ (Clear text) ซึ่งข้อมูลนี้อาจถูกอ่านหรือคัดลอกได้โดยใช้เทคนิคที่เรียกว่า “ สนิฟเฟอริง (Sniffering)” เครื่องมือต่าง ๆ เช่น โปรโตคอลอะนาไลเซอร์ หรือโปรแกรมการดูแลระบบเครือข่ายที่ส่วนใหญ่จะมีมาในระบบปฏบัติการปัจจุบันนั้น สามารถที่จะใช้ตรวจดูข้อมูลที่รับส่งผ่านเครือข่ายได้ เพื่อป้องกันการขโมยข้อมูลที่รับส่งผ่านเครือข่ายที่ไม่มีความปลอดภัยนี้ ข้อมูลจำเป็นต้องมีการเข้ารหัส การเข้ารหัสข้อมูล (Data encryption) คือ วิธีที่ใช้สำหรับแปลงเคลียร์เท็กซ์ให้เป็นไซเฟอร์เท็กซ์ (Cipher text) หรือข้อมูลที่เข้ารหัสแล้ว ซึ่งข้อมูลนี้จะถูกส่งไปให้ผู้รับเมื่อผู้รับได้รับข้อมูลก็จะถอดรหัสข้อมูล (Decryption) เพื่อให้ได้ข้อมูลเดิม การเข้าและถอดรหัสข้อมูลจะเรียกว่า “ คริพโตกราฟี (Cryptography) ” ปัจจุบันการเข้ารหัสข้อมูลจะแบ่งออกเป็น 2 ประเภทคือ
- Symmetric Key Cryptography
- Public Key Cryptography
ซึ่งรายละเอียดของแต่ละประเภทจะได้กล่าวในหัวข้อถัดไป
1 Symmetric Key Cryptography
การเข้าและถอดรหัสข้อมูลแบบซีเครทคีย์ (Secret Key) เป็นวิธีที่ทั้งการเข้ารหัสและการถอดรหัสจะใช้คีย์ (Key) หรือรหัสลับเดียวกันหรือเรียกอีกอย่างหนึ่งว่า การเข้าและถอดรหัสแบซิมเมทริกซ์ (Symmetric) คีย์ที่ใช้จะมีความยาวคงที่ การไหลของข้อมูลเป็นเหมือนแสดงในรูปที่ 2.72 จากรูปดังกล่าวเครื่องส่งนำข้อมูลที่ต้องการส่งคือ “abc” มาเข้ารหัสโดยใช้คีย์ ซึ่งผลที่ได้คือ “I&#” แล้วส่งผ่านเครือข่าย เมื่อถึงปลายทางเครื่องรับก็จะถอดรหัสข้อมูลโดยใช้คีย์เดียวกัน ซึ่งข้อมูลก็จะถูกเปลี่ยนกลับมาเป็น