วันพุธที่ 24 สิงหาคม พ.ศ. 2554

เครื่องมือรักษาความปลอดภัย Security Tools


เครื่องมือรักษาความปลอดภัย
Security Tools

เครื่องมือที่ใช้ในการรักษาความปลอดภัย
vเครื่องมือที่ใช้สำหรับการรักษาความปลอดภัยให้กับระบบเครือข่ายมีดังต่อไปนี้
1. ไฟร์วอลล์(Firewall)
2. ระบบตรวจจับและป้องกันการบุกรุก หรือ IDS/IPS
3. การเข้ารหัสข้อมูล (Encryption)
4. ซอฟต์แวร์ป้องกันไวรัส (Anti-Virus Software)
5. ระบบรักษาความปลอดภัยทางด้านกายภาพ 

1.ไฟร์วอลล์  (Firewall)
         ไฟร์วอลล์  คือส่วนประกอบอันหนึ่งของเครือข่ายคอมพิวเตอร์ ซึ่งอาจเป็นได้ทั้งฮาร์ดแวร์
หรือซอฟต์แวร์ที่ทำหน้าที่ในการควบคุมการเข้าออกของเครือข่าย โดยจะบล็อคการเชื่อมต่อที่
ไม่อนุญาตและปล่อยให้การเชื่อมต่อที่ได้รับอนุญาตสามารถทำงานได้ ซึ่งจะทำให้ผู้ใช้ภายใน
ระบบเครือข่ายสามารถติดต่อไปยังเครือข่ายภายนอก(อย่างเช่นอินเทอร์เน็ต)ได้ และในขณะ
เดียวกันก็สามารถป้องกันไม่ให้ผู้บุกรุกสามารถเข้ามายังระบบเครือข่ายของเราได้  แต่อย่างไร
ก็ตาม หากเซิร์ฟเวอร์มีจุดอ่อนหรือช่องโหว่ ไฟร์วอลล์จะไม่สามารถป้องกันการบุกรุกได้หากผู้
บุกรุกใช้ช่องทางเดียวกันกับการเข้ามาดูหรือใช้งาน เซิร์ฟเวอร์ ซึ่งนั้นหมายความว่านอกจาก
จะใช้ ไฟร์วอลล์แล้ว การอุดช่องโหว่ของเซิร์ฟเวอร์ก็เป็นสิ่งสำคัญเช่นเดียวกัน
การทำงานของไฟร์วอลล์จะขึ้นอยู่กับกฎหรือนโยบายว่าจะบล็อคหรืออนุญาตการเชื่อมต่อแบบ
ใดบ้าง หลักการทำงานของไฟล์วอลล์อยู่ที่การอนุญาต (Allow) และการปฏิเสธ (Deny) การ
เชื่อมต่อ
vประเภทของไฟร์วอลล์
1.1 Packet Filtering Firewall
         ไฟร์วอลล์ประเภทนี้จะทำหน้าที่กรองแพ็กเก็ตโดยดูจากส่วนต่างๆที่อยู่ในส่วนหัวของแพ็กเก็ต
เช่น โปรโตคอล,ไอพีแอดเดรสของผู้ส่ง,ไอพีแอดเดรสของผู้รับ,พอร์ตที่ใช้ในการเชื่อมต่อ โดย
จะนำข้อมูลเหล่านี้ไปเทียบกับกฎหรือนโยบายที่ตั้งเอาไว้ว่าจะปล่อยให้แพ็กเก็ตนี้ส่งข้อมูลต่อไป
หรือจะบล็อคไว้ไม่ให้เข้าหรือออกจากระบบได้


1.2 Stateful Firewall
           ไฟร์วอลล์แระเภทนี้มีการทำงานเหมือนกับไฟร์วอลล์แบบ Packet Filtering แต่จะเพิ่ม
ความสามารถอย่างอื่นเข้ามาด้วย  โดยที่ไฟร์วอลล์ประเภทนี้จะมีการบันทึกข้อมูลของแต่ละการ
เชื่อมต่อที่ผ่านการตรวจสอบแล้ว หากมีแพ็กเก็ตใดวิ่งผ่านไฟร์วอลล์และไฟร์วอลล์ตรวจพบว่าตรง
กับข้อมูลที่เคยบันทึกไว้ ก็จะปล่อยให้แพ็คเก็ตนั้นวิ่งผ่านไปได้  ซึ่งทำให้การทำงานของไฟร์วอลล์
ประเภทนี้เร็วกว่า แต่ถ้าหากยังไม่มีข้อมูลไฟร์วอลล์ก็จะทำการตรวจสอบกับกฎที่มีอยู่ และทำการ
บันทึกข้อมูลเพื่อเอาไว้ใช้สำหรับการเชื่อมต่อครั้งต่อไป
ตัวอย่างการทำงานของไฟร์วอลล์แบบ Stateful Firewall

1.3 Application Layer Firewall 
         ไฟร์วอลล์ประเภทนี้จะทำงานในระดับแอพพลิเคชันเลเยอร์ มีชื่อเรียกอีกย่างว่า  พร็อกซี่”
(Proxy Firewall) ซึ่งก็คือโปรแกรมที่รันบนระบบปฏิบัติการต่างๆ นั่นเอง นอกจากความสามารถใน
การกำหนดเงื่อนไขแล้ว ไฟร์วอลล์ประเภทนี้ยังสามารถสร้างการเชื่อมต่อกับโอสต์ปลายทางได้ด้วยตัว
เอง ทำให้สามารถซ่อนหมายเลยไอพีแอดเดรสของผู้ใช้ที่อยู่ในเครือข่ายได้ (เนื่องจากไอพีแอดเดรส
ที่ออกไปยังโอสต์เป็นของตัวไฟร์วอลล์ ไม่ใช่ของผู้ใช้ในเครือข่าย)  

1.4 Personal Firewall หรือ Host-based Firewall)
        ไฟร์วอลล์ทั้งสามประเภทที่ได้กล่าวไปแล้วนั้นเป็นไฟร์วอลล์แบบ “เน็ตเวิร์คไฟร์วอลล์” ซึ่ง
สามารถปกป้องเครื่องคอมพิวเตอร์ทั้งหมดที่อยู่ภายในระบบเครือข่ายของเราได้แต่ไฟร์วอลล์ประ
เภทที่นี้ถือว่าเป็นไฟร์วอลล์แบบ “โอสต์เบสไฟร์วอลล์” หรือหมายถึงไฟร์วอลล์ส่วนบุคคลนั่นเอง ซึ่งมี
ราคาถูกกว่าไฟร์วอลล์สามแบบแรก และสามารถติดตั้งได้ทั้งบนเครื่องคอมพิวเตอร์ส่วนบุคคล และ
เครื่องที่เป็นเซิร์ฟเวอร์ ข้อดีของไฟร์วอลล์ประเภทนี้คือสามารถบล็อคการเชื่อมต่อของโปรแกรมและ
พอร์ตต่างๆ ได้ด้วยการกำหนดของผู้ใช้ รวมทั้งป้องกันการโจมตีที่เกิดขึ้นจากภายในเครือข่ายเดียว
กันได้ ดังนั้น หากองค์กรไม่มีงบประมาณเพียงพอที่จะซื้อเน็ตเวิร์คไฟร์วอลล์ ก็สามารถใช้ไฟร์วอลล์
ประเภทนี้ในการป้องกันเครื่องเซิร์ฟเวอร์แทนไปก่อนก็ได้
ตัวอย่างไฟร์วอลล์ส่วนบุคคล

1.5 Hardware Firewall
         ไฟร์วอลล์ประเภทนี้คืออุปกรณ์หรือฮาร์ดแวร์สำเร็จรูป หรือที่เรียกกันอีกชื่อหนึ่งว่า Appliances” 
โดยใช้เป็นเน็ตเวิร์คไฟร์วอลล์ โดยที่อุปกรณ์เหล่านี้จะมีการติดตั้งซอฟต์แวร์ที่ทำหน้าที่เป็นไฟร์วอลล์
เอาไว้แล้ว  ส่วนคุณสมบัติและความสามารถของซอฟต์แวร์นั้นขึ้นอยู่กับผู้ผลิตแต่ละราย
ตัวอย่าง Hardware Firewall

2.ระบบตรวจจับและแจ้งเตือนการบุกรุก หรือ IDS/IPS
         ระบบตรวจจับและแจ้งเตือนการบุกรุก (IDS:Intrusion Detection System) คือระบบ
ที่ใช้ในการตรวจจับและแจ้งเตือนการกระทำที่อาจเป็นการบุกรุกคอมพิวเตอร์หรือระบบเครือข่าย
ข้อจำกัดของ IDS คือสามารถทำได้เพียงแจ้งเตือนเมื่อพบการบุกรุก แต่ไม่สามารถป้องกันหรือ
หยุดยั้งการโจมตีได้ จึงได้มีการพัฒนา IPS (Intrusion Prevention System) ซึ่งสามาร
ตรวจพบ แจ้งเตือน และหยุดการบุกรุกนั้นได้ด้วย  ระบบตรวจจับและแจ้งเตือนการบุกรุกมีอยู่
ประเภท ดังนี้
         2.1 Host Based IDS เป็น IDS ที่จะทำการตรวจจับและแจ้งเตือนเฉพาะการบุกรุกที่เกิดกับ
โฮสต์ที่ติดตั้งเท่านั้น (เช่น การติดตั้งบนเครื่องเซิร์ฟเวอร์) แต่จะตรวจจับไม่และแจ้งเตือนการบุกรุก
ที่เกิดขึ้นกับเครื่องเซิร์ฟเวอร์ตัวอื่นๆ ที่อยู่ใกล้กัน
         2.2 Network Based IDS เป็น IDS ที่สามารถตรวจจับการบุกรุกที่เกิดขึ้นกับเซิร์ฟเวอร์หรือ
อุปกรณ์เครือข่ายหลายๆเครื่อง ได้พร้อมกัน
ภาพแสดงตำแหน่งการติดตั้ง NIDS

3. การเข้ารหัสข้อมูล (Encryption)
         การเข้ารหัสข้อมูลหรือเอ็นคริพชั่น เป็นกระบวนการป้องกันข้อมูลที่อยู่ระหว่างการสื่อสารมิให้
ถูกอ่านได้จากผู้ไม่หวังดี โดยที่ผู้รับและผู้ส่งจะต้องสามารถเข้ารหัส(Encrypt)และ
ถอดรหัส(Decrypt)ข้อมูลได้ สิ่งสำคัญของการเข้ารหัสข้อมูลคือต้องให้ความสำคัญกับการปกป้องคีย์ที่
ใช้สำหรับการถอดรหัสข้อมูลด้วย หากผู้ไม่หวังดีได้รับคีย์ที่ใช้ในการถอดรหัส ผู้ไม่หวังดีก็สามารถเข้าดู
ข้อมูลได้
4. ซอฟต์แวร์ป้องกันไวรัส (Anti-Virus Software)
         ซอฟต์แวร์หรือโปรแกรมป้องกันไวรัสเป็นโปรแกรมที่ใช้สำหรับการตรวจหาและกำจัดโปรแกรมประสงค์ร้ายต่างๆ ไม่ว่าจะเป็น ไวรัสคอมพิวเตอร์ หนอนคอมพิวเตอร์ ม้าโทรจัน สิ่งสำคัญที่จะช่วยให้การป้องกันไวรัสมีประสิทธิภาพมากขึ้นคือการติดตั้งและหมั่นปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสอยู่เสมอ เพื่อให้โปรแกรมป้องกันไวรัสสามารถตรวจพบไวรัสชนิดใหม่ๆ ได้  และควรทำการสแกนเครื่องคอมพิวเตอร์เป็นประจำด้วย
5.ระบบรักษาความปลอดภัยทางด้านกายภาพ
         ระบบรักษาความปลอดภัยทางกายภาพเป็นอีกช่องทางหนึ่งที่จะป้องกันไม่ให้ผู้บุกรุกหรือผู้ที่ไม่
ได้รับอนุญาตสามารถเข้าถึงคอมพิวเตอร์หรือระบบเครือข่ายได้โดยตรง เช่น การใช้แผ่น CD ในการ
ลบหรือแก้ไขรหัสผ่านของผู้ดูและระบบ หรือติดตั้งโปรแกรมประสงค์ร้ายลงไปในเครื่องคอมพิวเตอร์  อย่างไรก็ตาม หากเครื่องคอมพิวเตอร์และระบบเครือข่ายถูกเชื่อมต่อกับระบบอื่นๆ ภายนอก 
(Intranet , Extranet และ Internet) การป้องกันทางกายภาพเพียงอย่างเดียวก็คงไม่เพียงพอ เพราะผู้ไม่หวังดีสามารถโจมตีเครื่องคอมพิวเตอร์ผ่านทางระบบเครือข่ายได้
การพิสูจน์ตัวตน (Authentication) สามารถทำได้โดยใช้การตรวจอบคุณสมบัติสามประการ
ของผู้ใช้  อันได้แก่
1.สิ่งที่คุณรู้   เช่น การใช้รหัสผ่าน เป็นต้น
2.สิ่งที่คุณมี เช่น การใช้สมาร์ทการ์ด
3.สิ่งที่คุณเป็น เช่น การสแกนลายนิ้วมือ การสแกนรูม่านตา เป็นต้น



vแหล่งที่มาของข้อมูล / แหล่งสำหรับการศึกษาค้าคว้าเพิ่มเติม
จตุชัย แพงจันทร์. (2550). Master in Security.
  นนทบุรี:ไอดีซีฯ
ธวัชชัย ชมศิริ. (2553). Computer & Network Security.
  กรุงเทพฯ:โปรวิชั่น
สมเกียรติ รุ่งเรืองลดา. (2551). คู่มือดูแลระบบ Network ฉบับมืออาชีพ.
  กรุงเทพฯ:โปรวิชั่น
Network Security (ชื่อเรื่อง). (2553). ค้นเมื่อ  24 กุมภาพันธ์ 2553  , จาก  http://en.wikipedia.org/wiki/Network_security


การรักษาความปลอดภัยให้แก่เครื่องคอมพิวเตอร์

1.การรักษาความปลอดภัยให้แก่เครื่องคอมพิวเตอร์และระบบเครือข่าย

vการรักษาความปลอดภัยด้าน
         การเข้าถึงทางกายภาพนั้น หมายถึงการที่เราสามารถเข้าไปจับหรือสัมผัสกับเครื่องคอมพิวเตอร์
ได้โดยตรง ดังนั้น การรักษาความปลอดภัยประเภทนี้คือการป้องกันผู้ไม่หวังดี ไม่ให้สามารถเข้า
ไปใช้งานหรือโจมตีเครื่องคอมพิวเตอร์และอุปกรณ์ของเราได้
vการรักษาความปลอดภัยให้กับเครื่อง Server และ Client
         แม้ว่าเราจะสามารถป้องกันการบุกรุกในทางกายภาพได้แล้ว แต่เครื่องคอมพิวเตอร์ก็ยังสามารถ
ถูกโจมตีได้หากมีการเชื่อมต่อกับระบบเครือข่าย โดยมีเป้าหมายอยู่ที่การขโมยข้อมูลลับ การลบหรือ
แก้ไขข้อมูลที่อยู่ในเครื่อง Server หรือเครื่อง Client หรือการทำให้เครื่องคอมพิวเตอร์ของเราไม่ให้
สามารถใช้งานได้ตามปกติ โดยการอาศัยช่องโหว่ของตัวโปรแกรม รวมทั้งการหลอกล่อเพื่อยึดครอง
และสั่งการเครื่องคอมพิวเตอร์ผ่านทางระบบเครือข่าย หรือยุติการให้บริการในระบบเครือข่าย

2.องค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล
vConfidentiality ความลับของข้อมูล
         การรักษาความลับของข้อมูล คือการกำหนดสิทธิ์ในการเข้าถึงหรือใช้งานข้อมูล และทำให้ข้อมูล
นั้นเข้าถึงหรือใช้งานได้เฉพาะผู้ที่ได้รับสิทธิ์เท่านั้น
vIntegrity ความคงสภาพของข้อมูล
         การรักษาความคงสภาพของข้อมูล คือการปกป้องและรักษาข้อมูลมิให้ถูกแก้ไขหรือเปลี่ยนแปลง
จากแหล่งที่มาเดิม และความน่าเชื่อถือของแหล่งที่มา
vAvailabllity ความพร้อมใช้งานของข้อมูล
         ความพร้อมใช้งานของข้อมูล คือการทำให้ข้อมูลนั้นสามารถเข้าถึงได้เมื่อต้องการ และช่องทางที่
ใช้ในการเข้าถึงข้อมูลจะต้องทำงานเป็นปกติ
vภัยคุกคาม (Threat)
ภัยคุกคามที่มีต่อระบบคอมพิวเตอร์และเครือข่ายมาจากสิ่งต่อไปนี้
        1.Hacker(แฮคเกอร์) หรือ Cracker(แคร็คเกอร์) เป็นกลุ่มบุคคลที่มีความรู้และความชำนาญ
เกี่ยวกับระบบคอมพิวเตอร์และเครือข่าย การโจมตีของบุคคลกลุ่มนี้จะอาศัยจุดอ่อนหรือช่องโหว่ต่างๆ
ของระบบและทำการโจมตี ความแตกต่างของ Hacker กับ Cracker นั้นอยู่ที่แรงจูงใจ  แรงจูงใจ
ของแฮคเกอร์คือมองหาจุดอ่อนหรือช่องโหว่เพื่อการพัฒนาหรือปรับปรุงระบบความปลอดภัย มีจรรยา
บรรณว่าต้องไม่ล้วงความลับหรือทำลายระบบ ในขณะที่แคร็คเกอร์นั้นมองหาจุดอ่อนและช่องโหว่ของ
ระบบเพื่อใช้ประโยชน์จากมันในการโจมตีระบบ
         2.Virus , Worm  และ Trojan  ไวรัส,เวิร์มและโทรจัน สามารถแพร่กระจายมายังระบบเครือ
ข่ายได้ โดยอาศัยช่องโหว่ของซอฟต์แวร์หรือความประมาทของผู้ใช้ ความเสียหายที่เกิดขึ้นกับระบบ
เครือข่ายนั้นขึ้นอยู่กับความรุนแรงของไวรัสและเวิร์มนั้นๆ ซึ่งมีตั้งแต่ความน่ารำคาญเพียงเล็กน้อยไป
จนถึงการทำลายหรือทำให้ระบบทำงานช้าลงหรือหยุดการทำงาน ในขณะที่โทรจันนั้นจะเปิดทางให้กับผู้
ที่ต้องการโจมตีหรือควบคุมเครื่องคอมพิวเตอร์
         3.พวกอยากทดลอง อาจจะเป็นบุคคลในหรือนอกระบบเครือข่ายก็ได้ โดยส่วนใหญ่แล้วบุคคล
กลุ่มนี้ไม่มีความรู้ความชำนาญมากนัก แต่จะอาศัยเครื่องมือโจมตีต่างๆ แล้วทดลองเจาะระบบ ซึ่งอาจจะ
เป็นการทำให้ระบบทำงานช้าลง ยุติการบริการ หรือข้อมูลในระบบได้รับความเสียหาย
         4.Cyberterrorist (ผู้ก่อการร้ายบนอินเทอร์เน็ต) แรงจูงใจของคนกลุ่มนี้อาจเป็นเรื่องของ
อุดมการณ์หรือความเชื่อ การโจมตีจากคนกลุ่มนี้อาจเป็นการเปลี่ยนแปลงข้อมูล เจาะเข้าระบบเพื่อ
ทำลายข้อมูลหรือยุติการทำงานของระบบ
vการโจมตีรูปแบบต่างๆ

1.การสอดแนมหรือ Snooping
         การสอดแนม(Snooping หรือ Sniffer) คือการดักเพื่อแอบดูข้อมูลที่ส่งผ่านกันทางเครือข่าย 
การอ่านไฟล์ที่จัดเก็บอยู่ในระบบ หรือการแท็ปสายข้อมูลซึ่งเป็นวิธีการหนึ่งในการเฝ้าดูข้อมูลที่ส่งผ่าน
กันระหว่างเครือข่าย   หรือการใช้โปรแกรม Packet Sniffer เพื่อดักเอาข้อมูลต่างๆที่อยู่ใน packet 
เนื่องจากมีข้อมูลหลายๆชนิดที่ไม่ได้ทำการเข้ารหัสข้อมูลเอาไว้ ทำให้ผู้โจมตีสามารถอ่านข้อมูลที่
สำคัญอย่างเช่น Username และ Password ที่อยู่ใน Packet ที่ดักจับมาได้ ดังตัวอย่างในภาพ

ตัวอย่างการดักจับ Username และ Password ที่ไม่ได้เข้ารหัส




2.การเปลี่ยนแปลงข้อมูลหรือ Modification

         การเปลี่ยนแปลงข้อมูล หมายถึง การแก้ไขข้อมูลโดยที่ไม่ได้รับอนุญาต  โดยอาจมีจุดประสงค์เพื่อหลอกลวง หรือการเปลี่ยนแปลงข้อมูลเพื่อเข้าทำการควบคุม ตัวอย่างเช่น การโจมตีแบบคนกลาง หรือ Man-in-the-Middle โดยผู้โจมตีจะแทรกตัวเข้าไปอยู่ตรงกลางระหว่างผู้ส่งและผู้รับ เมื่อผู้ส่งส่งข้อมูลออกมา ผู้โจมตีก็จะทำการเปลี่ยนแปลงข้อมูลนั้นให้เป็นไปตามที่ตนเองต้องการ จากนั้นจึงส่งข้อมูลที่ตนเองเปลี่ยนแปลงแล้วไปยังผู้รับ
3.การปลอมตัวหรือ Spoofing
         การโจมตีแบบนี้คือการทำให้อีกฝ่ายเข้าใจว่าตนเองเป็นบุคคลที่อีกฝ่ายต้องการสนทนาหรือติดต่อด้วย(ซึ่งจริงๆแล้วตนเองไม่ใช่) การโจมตีแบบนี้อาจเป็นได้ทั้งการหลอกลวงและควบคุมระบบ  ยกตัวอย่างเช่น การที่ผู้โจมตีหลอกให้อีกฝ่ายป้อนข้อมูลสำคัญให้กับเว็บไซต์ของตนเองโดยการทำหน้าเว็บเลียนแบบเว็บไซต์จริง หลังจากนั้นก็นำข้อมูลที่หลอกมาได้ไปใช้ประโยชน์ต่อไป โดยที่ผู้ป้อนข้อมูลนึกว่าตนเองนั้นได้ป้อนข้อมูลให้กับบุคคลที่ตนเองต้องการ
4.การปฏิเสธการให้บริการหรือ Denial of Service (DoS)
         การโจมตีแบบนี้คือการขัดขวางมิให้ Server หรืออุปกรณ์ในระบบเครือข่ายสามารถให้บริการได้
ตามปกติ ยกตัวย่างเช่น การโจมตีไปยังรีซอร์สของ Server จนถึงขีดจำกัดที่ Server จะให้บริการได้
หรือการใช้โปรแกรม NetCut เพื่อตัดการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์กับระบบเครือข่าย