Unlock the full potential of your projects.
Show full map
Copy and edit map Copy

Network Security

Other
NW
nutta wet
Get Started. It's Free
or sign up with your email address
Similar Mind Maps Mind Map Outline
Network Security by Mind Map: Network Security

1. ที่มาของข้อมูล

1.1. ข้อมูลต่างๆที่มีอยู่ภายในระบบ

1.2. Log File

1.3. ข้อมูลใน Network

1.4. File System

1.5. System Call

1.6. Agent

1.7. อื่นๆ

2. การทำงานของ IDPS

2.1. ระบุเหตุฉุกเฉินที่เป็นไปได้

2.2. เก็บข้อมูลเหตุฉุกเฉินที่พบ

2.3. พยายามหยุดการบุกรุกโดยอัตโนมัติ

2.4. ระบุปัญหาที่เกิดขึ้นซึ่งขัดกับนโยบายการรักษาความปลอดภัย

2.5. จัดทำรายงานและแจ้งเตือนผู้ดูแลระบบ

3. ผลลัพธ์การทำงานของ IDPS

3.1. ผลลัพธ์ส่วนใหญ่จะเป็นการแจ้งเตือนและเก็บข้อมูลการแจ้งเตือนในรูปแบบต่างๆ

3.1.1. การแสดง Alert Message ในหน้าจอ

3.1.2. การส่งอีเมล์ , SMS แจ้งเตือน

3.1.3. การส่งเสียง , ไฟกะพริบแจ้งเตือน

3.2. ความสามารถในการตอบสนองต่อปัญหา

3.2.1. ตัดการเชื่อมต่อ

3.2.2. ตั้งค่าระบบเพิ่มเติม

4. Intrusion Detection System

4.1. IDS (Intrusion Detection System) คือหมายถึงฮาร์ดแวร์หรือซอฟต์แวร์ที่ติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่ส่งผ่านบนเครือข่ายคอมพิวเตอร์ด้วยการวิเคราะห์รูปแบบพฤติกรรมในแพ็กเก็ตข้อมูล (Packet Data) เพื่อค้นหาสิ่งที่ผิดปกติ(Anomaly) แล้วนำเข้าสู่กระบวนการทำนาย (Prediction) เพื่อตัดสินว่าเป็นเหตุการณ์บุกรุกจริงแล้วแจ้งเตือน (Alert) ให้ผู้รับผิดชอบระบบทราบเพื่อดำเนินการป้องกันและแก้ไขต่อไป

4.2. ระบบตรวจหาการบุกรุกบนครื่องคอมพิวเตอร์ (Host-based IDSs)

4.2.1. จะทำงานในเครื่องคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูล

4.2.2. ตรวจสอบการใช้งานโปรแกรมประยุกต์ (Application) ในเครื่องคอมพิวเตอร์จากไฟล์บันทึกข้อมูลการใช้(Log File) เพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ

4.2.3. การวางอุปกรณ์เซ็นเซอร์ที่ใช้คอยตรวจสอบ package ที่วิ่งอยู่บนระบบเครือข่ายและประมวลผล package ต่อ package

4.2.4. โดยเซ็นเซอร์ดังกล่าวจะถูกวางไว้ในจุดที่ต้องการทำการตรวจสอบโดยอาจจะเชื่อมต่อเข้าไปยัง hub หรือ switch

4.3. ระบบตรวจหาการบุกรุกบนเครือข่าย (Network-based IDSs)

4.3.1. จะทำงานในเครือข่ายคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลเพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ

4.4. การตรวจหาการใช้งานที่ผิด (Misuse DetectionหรือSignature-based)

4.4.1. การตรวจจับการ telnet ที่ใช้ username “root”

4.4.2. E-mail ที่มีการแนบไฟล์ที่มีนามสกุล “.exe”

4.4.3. โปรแกรมสแกนไวรัส

4.4.4. โปรแกรมสแกนช่องโหว่ของเครื่องคอมพิวเตอร์

4.5. การตรวจหาเหตุการณ์ผิดปกติ (Anomaly-based Detection)

4.5.1. เป็นการตรวจหารูปแบบการบุกรุก ด้วย เก็บข้อมูลเกี่ยวกับการทำงานต่างๆ ที่เป็นการทำงานปกติไว้เปรียบเทียบกับเหตุการณ์ที่เกิดขึ้น

4.5.2. ถ้าแตกต่างกันจะแปลว่าเกิดการทำงานที่ผิดปกติขึ้น จึงดำเนินการตอบสนองในรูปแบบต่างๆ

4.5.3. สามารถตรวจจับการโจมตีใหม่ๆ ได้

4.5.4. มี overhead และใช้การประมวลผลมากกว่า signature-based

4.5.5. การตรวจหาความผิดปกติ

4.5.5.1. การตรวจหาความผิดปกติด้วยสถิติ (Statistical Anomaly-Based)

4.5.5.2. การตรวจหาความผิดปกติด้วยโพรโตคอล (Protocol Anomaly-Based)

4.5.5.3. การตรวจหาความผิดปกติด้วยสัญญาณจราจร(Traffic Anomaly-Based)

4.6. การติดตั้งระบบตรวจหาการบุกรุก

4.6.1. 1. การใช้ฮับวางระหว่างสวิตช์กับเราเตอร์ แล้วเชื่อมต่อระบบตรวจหาการบุกรุกเข้ากับฮับ

4.6.2. 2. การทำพอร์ตมิลเรอริ่งคือการใช้คุณสมบัติของสวิตช์ในการส่งต่อทุก ๆ แพ็กเก็ตที่รับจากพอร์ตที่ต่ออยู่กับเราเตอร์ไปยังอีกพอร์ตหนึ่งที่ต่ออยู่กับระบบตรวจหาการบุกรุกเป็นผลให้ระบบตรวจหาการบุกรุกสามารถตรวจจับทุกแพ็กเก็ตที่ส่งถึงกันระหว่างเราเตอร์

4.6.3. 3. การใช้แท็พซึ่งเป็นอุปกรณ์ที่ทำหน้าที่คล้ายฮับแต่มีคุณสมบัติที่ทนต่อข้อผิดพลาดและไม่มีผลกระทบต่อการไหลของtraffic ไม่ทำให้ประสิทธิภาพของเครือข่ายลดลง และสามารถตรวจจับแพ็กเก็ตได้ทุกแพ็กเก็ต

5. Intrusion prevention systems

5.1. IPS (Intrusion Prevention System) คือ Software หรือ hardware ที่ได้รับการออกแบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS(Intrusion Detection System) แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือหยุดยั้งผู้บุกรุกได้ด้วยตัวเอง โดยที่ไม่จำเป็นต้องอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ

5.2. IPS is used as Inline mode protection for securing internal network.

5.3. Vulnerability Scanner

5.3.1. Network-Based Scanner

5.3.1.1. ตรวจสอบผ่านเครือข่าย

5.3.1.2. ข้อเสียเล็กน้อยคือข้อมูลที่ได้จากการตรวจสอบจะไม่ละเอียดมาก

5.3.1.3. ตัวอย่างซอฟต์แวร์เช่น Nessus และ Retina

5.3.2. Host-Based Scanner

5.3.2.1. ตรวจสอบความบกพร่องภายในระบบคอมพิวเตอร์ได้โดยละเอียด

5.3.2.2. ต้องนำโปรแกรมไปติดตั้งและสแกนในเครื่องคอมพิวเตอร์นั้นๆ

5.3.2.3. การตรวจสอบระบบในเครือข่ายขนาดใหญ่จะทำได้ยาก

6. Introduction

6.1. การ Monitoring เป็นกระบวนการที่สำคัญในกลุ่มการทำงาน PDR

6.2. Intrusion Detection System คืออุปกรณ์ที่ใช้ในการ Detect สัญญาณของปัญหาต่างๆ ในระบบสารสนเทศ

6.3. Intrusion Prevention System เป็นระบบที่มีความสามารถมากกว่า

6.4. Intrusion Detection System โดยมีความสามารถในการ Prevent และ Response ต่อปัญหาการโจมตีต่างๆ ได้

7. Intrusion

7.1. การทำงานที่ทำให้ระบบสูญเสีย Confidentiality , Integrity, Availability

7.2. การทำงานที่ทำให้กระบวนการ Security Mechanism ต่างๆ ไม่สามารถทำงานได้

7.3. การทำงานของมัลแวร์ต่างๆ , unauthorized access, authorized users ที่ดำเนินการเพิ่มสิทธิของตนเอง

7.4. การทำงานโดยไม่รู้หรือไม่ตั้งใจของผู้ใช้งานเช่นพิมพ์ผิด การเข้าใช้งานระบบผิด อาจทำให้มองได้ว่าเป็นการบุกรุก (False Positive)

8. Firewall

8.1. สิ่งที่ไฟร์วอลล์ช่วยได้

8.1.1. บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด

8.1.2. ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network-based Security)

8.1.3. บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ

8.1.4. ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก เช่นถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่นถ้ามีเว็บเซิร์ฟเวอร์) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์วอลล์ช่วยได้

8.1.5. ไฟร์วอลล์บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP

8.2. ข้อจำกัดของ Firewall

8.2.1. อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา

8.2.2. อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์

8.2.3. อันตรายจากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มันปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ

8.2.4. ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล

8.3. Packet filter Firewalls

8.3.1. Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา

8.3.2. ข้อดี -ไม่ขึ้นกับแอพพลิเคชัน -มีความเร็วสูง -รองรับการขยายตัวได้ดี

8.3.3. ข้อเสีย -บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ

8.4. 2. Stateful Inspection Firewalls

8.4.1. ความหมาย

8.4.1.1. เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว

8.4.1.2. Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content) และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว

8.4.2. ตัวอย่างผลิตภัณฑ์ทางการค้าที่ใช้ Stateful Inspection Technology

8.4.2.1. Check Point Firewall-1

8.4.2.2. Cisco Secure Pix Firewall

8.4.2.3. SunScreen Secure Net

8.4.2.4. และส่วนที่เป็น open source แจกฟรี

8.5. 3. Proxy Service

8.5.1. ความหมาย

8.5.1.1. Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer

8.5.2. การทำงาน

8.5.2.1. เมื่อไคลเอนต์ต้องการใช้เซอร์วิสภายนอก ไคลเอนต์จะทำการติดต่อไปยัง Proxy ก่อน

8.5.2.2. ไคลเอนต์จะเจรจา (negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้

8.5.2.3. เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ 2 การเชื่อมต่อ

8.5.2.4. โดยที่ Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง

8.5.2.5. Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่

8.5.3. Firewall Architecture

8.5.3.1. Single Box Architecture

8.5.3.1.1. 1) Screening Router เราสามารถใช้เราเตอร์ทำ Packet Filtering ได้ วิธีนี้จะทำให้ประหยัดค่าใช้จ่ายเนื่องจากส่วนใหญ่จะใช้เราเตอร์ต่อกับเน็ตเวิร์กภายนอกอยู่แล้ว แต่วิธีนี้อาจไม่ยืดหยุ่นมากนักในการconfiguration

8.5.3.1.2. 2)Dual-Homed Host เราสามารถใช้ Dual-Homed Host ( คอมพิวเตอร์ที่มีNetwork interfaceอย่างน้อย 2 อัน) ใช้การบริการเป็น Proxy ให้กับเครื่องภายในเน็ตเวิร์ก

8.5.3.1.3. 3)Multi-purposed Firewall Box มีผลิตภัณฑ์หลายชนิดที่ผลิตออกมาเป็นpackage เดียว ซึ่งทำหน้าที่ได้หลายอย่าง ทั้ง Packet Filtering, Proxy แต่ก็อย่าลืมว่านี่คือ Architecture แบบชั้นเดียว ซึ่งถ้าพลาดแล้วก็จะเสียหายทั้งเน็ตเวิร์กได้

8.5.3.2. Screened Host Architecture

8.5.3.2.1. จะมีโฮสต์ซึ่งให้บริการ Proxy เหมือนกับใน Single Box Architecture ที่เป็น Dual-homed Host แต่จะต่างกันตรงที่ว่า โฮสต์นั้นจะอยู่ภายในเน็ตเวิร์ก ไม่ต่ออยู่กับเน็ตเวิร์กภายนอกอื่นๆ

8.5.3.3. Multi Layer Architecture

8.5.3.3.1. ในสถาปัตยกรรมแบบหลายชั้น ไฟร์วอลล์จะเกิดขึ้นจากคอมโพเน็นต์หลายๆส่วนทำหน้าที่ประกอบกันขึ้นเป็นระบบ

8.5.3.3.2. วิธีการนี้สามารถเพิ่มความปลอดภัยได้มาก เนื่องจากเป็นการลดความเสี่ยงต่อความผิดพลาดที่อาจเกิดขึ้น ถ้าหากมีไฟร์วอลล์เพียงจุดเดียวแล้วมีเกิดความผิดพลาดเกิดขึ้น ระบบทั้งหมดก็จะเป็นอันตราย แต่ถ้ามีการป้องกันหลายชั้น หากในชั้นแรกถูกเจาะ ก็อาจจะมีความเสียหายเพียงบางส่วน ส่วนที่เหลือระบบก็ยังคงมีชั้นอื่นๆ ในการป้องกันอันตราย

8.5.3.3.3. ลดความเสี่ยงได้โดยการที่แต่ละชั้นนั้นมีการใช้เทคโนโลยีที่แตกต่างกัน เพื่อให้เกิดความหลากหลาย เป็นการหลีกเลี่ยงการโจมตีหรือช่องโหว่ที่อาจมีในเทคโนโลยีชนิดใดชนิดหนึ่ง โดยทั่วไปแล้วสถาปัตยกรรมแบบหลายชั้นจะเป็นการต่อกันเป็นซีรี่โดยมี Perimeter Network (หรือบางทีเรียกว่า DMZ Network) อยู่ตรงกลาง เรียกว่า Screened Subnet Architecture