บทที่ 8
การรักษาความปลอดภัยในเครือข่าย
การใช้งานเครือข่ายแม้ว่าจะมีประโยชน์ต่อการสื่อสารข้อมูล
แต่ยังคงมีความเสี่ยง หากไม่มีการควบคุมหรือป้องกันที่ดี
การโจมตีหรือบุกรุกเครือข่าย หมายถึงความพยายามของผู้บุกรุก
หรือผู้ประสงค์ร้ายที่จะเข้าใช้ระบบ (Access Attack) การแก้ไขข้อมูลหรือระบบ
(Modification Attack)การทำให้ระบบไม่สามารถใช้งานได้ (Deny
of Service Attack) และ การบิดเบือนข้อมูล (Repudiation
Attack) เพื่อลักลอบนำข้อมูลที่สำคัญหรือ เข้าใช้ระบบโดยไม่ได้รับอนุญาต
รูปแบบการโจมตีเครือข่าย
-
Packet Sniffer
-
IP Spoofing
-
Password
Attacks
-
Man in the
Middle
-
Denial of
Service
-
Trojan Horse
& Virus
Packet Sniffer
คือความพยายามของผู้บุกรุก
โดยการใช้โปรแกรมที่มีความสามารถในการตรวจจับ Packet ที่เคลื่อนที่อยู่บนเครือข่าย
โดยเฉพาะอย่างยิ่งPacket ของข้อมูลที่ไม่มีการเข้ารหัส
(Clear text) ซึ่งอาจจะนำไปสู่การโจมตีเครือข่ายในรูปแบบอื่นๆ ต่อไป
เช่น ชื่อผู้ใช้ และรหัสผ่านPacket Sniffer อาจโจมตีโดยใช้ชื่อผู้ใช้
และรหัสผ่านที่ตรวจจับได้ เข้าใช้งานระบบ
IP SpoofingIP
Spoofing
คือ การปลอมแปลงหมายเลข IP Address ให้เป็นหมายเลขซึ่งได้รับอนุญาตให้เข้าใช้งานเครือข่ายนั้นๆ ได้
เพื่อบุกรุกเข้าไปขโมย หรือทำลายข้อมูล หรือกระทำการอื่นๆ
อันเป็นการโจมตีเครือข่าย เช่น การเข้าไปลบค่า Routing table ทิ้งเพื่อให้สามารถส่งข้อมูลผ่านไปยังภายนอกได้
การได้มาซึ่งหมายเลข IP Address ที่ได้รับอนุญาตอาจได้มาจากการ Sniffer ดูแพคเกจข้อมูลจากหมายเลข
IP ต่างๆ ที่วิ่งผ่านเพื่อจับสังเกตหาหมายเลข IP Address ที่คาดว่าจะเป็นไปได้ หรือใช้วิธีการอื่นๆ ที่ได้มาซึ่งหมายเลข IP
Address
Password
AttacksPassword Attacks
คือ
ความพยายามบุกรุกเข้าสู่เครือข่าย เพื่อโจมตีเครือข่ายรูปแบบอื่นๆ ต่อไป
โดยการใช้วิธีการต่างๆ เพื่อให้ได้มาซึ่ง รหัสผ่าน สำหรับเข้าสู่เครือข่าย เช่น Packet
Sniffer, IP spoofing หรือใช้วิธีการเดารหัสผ่าน
(Brute-Force)
Man in the
MiddleMan in the Middle
คือ ผู้โจมตีที่ทำตัวเป็นตัวกลาง
หรือ ปลอมตัวเป็นตัวกลางระหว่างเครือข่าย เช่น ปลอมเป็นผู้ให้บริการอินเทอร์เน็ต ISP ที่ทำหน้าที่ให้บริการเชื่อมโยงเครือข่ายระหว่างองค์กร เพื่อโจมตีเครือข่ายองค์กรใดๆ
โดยการอาศัยวิธีการต่างๆ เช่น Packet Sniffer ในการขโมยข้อมูล
Denial of
ServiceDenial of Service
คือ ความพยายามของผู้บุกรุก
ในการทำให้เครือข่าย หรือ
Server นั้น ไม่สามารถให้บริการได้ ด้วยวิธีการต่างๆ เช่น
การใช้ทรัพยากรของ Server จนหมด ถือเป็นการโจมตีจุดอ่อน หรือ
ข้อจำกัดของระบบ เช่น การส่ง Packet จำนวนมากอย่างต่อเนื่องเพื่อให้
Traffic เต็ม
Trojan Horse
& VirusTrojan Horse & Virus
คือ ความพยายามในการทำลายระบบ
โดยการส่ง
Trojan horse, Worm หรือ Virus เข้าโจมตีเครือข่าย
-
Trojan horse คือโปรแกรมทำลายระบบที่แฝงมากับโปรแกรมอื่นๆ เช่น Screen Saver
-
Worm คือโปรแกรมที่แพร่กระจายตัวเองไปยังเครื่องอื่นๆ ในเครือข่าย
-
Virus คือโปรแกรมที่ทำลายระบบและโปรแกรมภายในเครื่องคอมพิวเตอร์
การรักษาความปลอดภัยของเครือข่ายการรักษาความปลอดภัยของเครือข่าย
แม้ว่าการปกป้องข้อมูลเป็นสิ่งที่มีลำดับความสำคัญสูงสุด
แต่การรักษาเครือข่ายให้ทำงานอย่างถูกต้องก็เป็นปัจจัยที่สำคัญในการปกป้องข้อมูลที่อยู่ในเครือข่ายนั้น
ถ้ามีช่องโหว่ของระบบเครือข่ายที่อนุญาตให้โจมตีได้
ความเสียหายที่เกิดขึ้นอาจใช้ทั้งเวลาและความพยายามอย่างมากที่จะทำให้ระบบกลับมาทำงานให้เหมือนเดิม
รูปแบบการรักษาความปลอดภัยของเครือข่าย
-
Firewall
-
Intrusion
Detection System
-
Cryptography
-
Authorized
-
Secure Socket
Layer
-
Virtual Private
Network
Firewall
คือ ฮาร์ดแวร์ และซอฟต์แวร์
ที่ใช้เพื่อให้ผู้ใช้ที่อยู่ภายในสามารถใช้บริการเครือข่ายภายในได้เต็มที่
และใช้บริการเครือข่ายภายนอก เช่นอินเตอร์เน็ตได้
และในขณะเดียวกันจะป้องกันมิให้ผู้อื่นเข้าใช้บริการเครือข่ายที่อยู่ข้างในได้
โดยการควบคุมและกำหนดนโยบายการใช้เครือข่ายโดยอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่านได้
Firewall แบ่งออกเป็น 2 ประเภทคือ
-
Application
Layer Firewall หรือเรียกว่า Proxy Firewall ทำหน้าที่ควบคุมและกำหนดนโยบายการใช้งาน
Application ต่างๆ โดยทำหน้าที่เชื่อมต่อกับ Client แทน Server
-
Packet
Filtering Firewall ทำหน้าที่กรองแพ็คเก็ตที่ผ่านเข้า-ออกเครือข่าย และอนุญาต / ไม่อนุญาตให้ผ่าน
Firewall ได้ ตามนโยบายที่กำหนดไว้
Intrusion
Detection SystemIntrusion Detection System
เป็นเครื่องมือสำหรับการรักษาความปลอดภัยอีกประเภทหนึ่งที่ใช้สำหรับตรวจจับความพยายามที่จะบุกรุกเครือข่าย
โดยระบบจะแจ้งเตือนผู้ดุแลระบบเมื่อการบุกรุกหรือพยายามที่จะบุกรุกเครือข่ายIDS ไม่ใช่ระบบป้องกันผู้บุกรุก แต่มีหน้าที่เตือนภัย
ในการเข้าใช้เครือข่ายที่ผิดปกติเท่านั้น
ดังนั้นจะต้องมีความสามารถในการระบุได้ว่าเหตุการณ์ใดผิดปกติ และผิดปกติอย่างไร
Intrusion
Detection System (ต่อ)
โดยส่วนใหญ่จะจำแนกประเภทความผิดปกติออกเป็น 3 ระดับ
- การสำรวจเครือข่าย : ความพยายามในการรวบรวมข้อมูลก่อนการโจมตีของผู้บุกรุก เช่น การสแกนหา
IP Address (IP Scans),การสแกนหาพอร์ต (Port Scans), การสแกนหาพอร์ตที่สามารถส่งโทรจันเข้าสู่เครือข่ายได้ (Trojan
Scans), การสแกนหาจุดอ่อนของระบบ (Vulnerability Scans)
และ
การทดสอบสิทธิการใช้งานไฟล์ต่างๆ (File Snooping)
- การโจมตี: ความพยายามในการโจมตีเครือข่าย
ซึ่งควรให้ระดับความสำคัญสูงสุด เช่น การ
พบความผิดปกติของการส่ง packet ซ้ำๆ เข้าสู่เครือข่าย หรือ ลักษณะของ Packet บนเครือข่ายจากคนละผู้ส่งแต่มี
signature เดียวกัน
- เหตุการณ์น่าสงสัยหรือผิดปกติ
: เหตุการณ์อื่นๆ ที่ผิดปกติที่ไม่ได้จัดอยู่ในประเภทต่างๆ
CryptographyCryptography
CryptographyCryptographyคือการเข้ารหัสข้อมูลเพื่อป้องกันการดักดูข้อมูลจาก Sniffer โดยปัจจุบันการเข้ารหัสข้อมูลจะแบ่งออกเป็น 2 ประเภทคือ
-
Symmetric Key
Cryptography
-
Public Key
Authorized
การพิสูจน์ตัวตนบนเครือข่าย
เป็นการระบุถึงผู้ส่งและผู้รับข้อมูลบนเครือข่ายว่าเป็นตัวจริงหรือไม่
โดยมีวิธีการ
2 วิธีคือ
-
Digital
Signature คือ
ลายเซ็นอิเล็กทรอนิกส์ที่ลงท้ายไปกับข้อมูลที่ส่งไปบนเครือข่าย
โดยขึ้นอยู่กับนโยบายการใช้งานของแต่ละเครือข่ายดังนั้น Digital Signature อาจเป็น รหัสผ่าน, ลายนิ้วมือ หรือ Private
Key เป็นต้น
-
Certificate
Authority คือ
หน่วยงานหรือองค์กรที่ตั้งขึ้นเพื่อรับรองสิทธิการเข้าถึงเครือข่ายและข้อมูลบนเครือข่าย
ของทั้งผู้ให้บริการ และผู้ใช้บริการ ซึ่งจะเกี่ยวข้องกับธุรกรรมต่างๆ
บนเครือข่ายอินเตอร์เน็ต
Secure Socket
LayerSecure Socket Layer
คือ เทคโนโลยีที่พัฒนาขึ้นเพื่อความปลอดภัยในการทำธุรกรรมต่างๆ
ผ่านเครือข่าย โดยเฉพาะอย่างยิ่งเครือข่ายอินเตอร์เน็ต ถือเป็นโปรโตคอลตัวหนึ่ง
มีหน้าที่หลักๆ คือ
-
Server
Authentication คือการพิสูจน์ตัวตนของผู้ให้บริการ โดยติดต่อกับ
CA: Certificate Authority เพื่อตรวจสอบความมีอยู่จริง
-
Client
Authentication คือการพิสูจน์ตัวตนของผู้รับบริการ
เพื่อตรวจสอบความมั่นใจว่า ผู้ให้บริการติดต่อกับใครอยู่ (IP อะไร) หรือ ข้อมูลที่เกี่ยวข้อง
สามารถพิสูจน์ตัวตนได้จริง
- Encrypted Session คือการเข้ารหัสข้อมูลที่อยู่ในระหว่างการทำธุรกรรมครั้งนั้นๆ
อยู่
Virtual Private
NetworkVirtual Private Network
คือ เครือข่ายส่วนบุคคลเสมือน
หรืออุโมงค์ข้อมูลที่ทำงานอยู่บนเครือข่ายสาธารณะ
สามารถแบ่งออกตามลักษณะการใช้งานได้ 3 ประเภท
-
Access VPN คือ VPN สำหรับผู้ที่เชื่อมต่อระยะไกล
-
Intranet VPN คือ VPN ที่ใช้ส่งข้อมูลที่เป็นความลับระหว่างบุคคล
หรือหน่วยงานภายในองค์กร
-
Extranet VPN คือ VPN ที่ใช้ในการเชื่อมโยงข้อมูลสำคัญระหว่างองค์กร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น