1. FireWall
1.1. 1.Packet filter Firewalls
1.1.1. ความหมาย
1.1.1.1. คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ ที่กำหนดไว้ และตัดสินว่าควรจะทิ้ง แพ็กเก็ตนั้นไปหรือว่าจะยอมให้แพ็กเก็ตนั้นผ่านไปได้
1.1.2. ข้อดี
1.1.2.1. 1.ไม่ขึ้นกับแอพพลิเคชัน
1.1.2.2. 2.มีความเร็วสูง
1.1.2.3. 3.รองรับการขยายตัวได้ดี
1.1.3. ข้อเสีย
1.1.3.1. 1.บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ
1.2. 2.Stateful Inspection Firewalls
1.2.1. ความหมาย
1.2.1.1. เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการ พิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเด อร์เพียงอย่างเดียวจะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content) และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มี อยู่แล้ว
1.2.2. ตัวอย่างผลิตภัณฑ์ทางการค้าที่ใช้ Stateful Inspection Technology
1.2.2.1. 1.Check Point Firewall-1
1.2.2.2. 2.Cisco Secure Pix Firewall
1.2.2.3. 3.SunScreen Secure Net
1.3. 3.Proxy Service
1.3.1. ความหมาย
1.3.1.1. Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่ บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความ ปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์ก ภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมี การตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer
1.3.2. ข้อดี
1.3.2.1. 1.มีความปลอดภัยสูง
1.3.2.2. 2.รู้จักข้อมูลในระดับแอพพลิเคชัน
2. Firewall Architecture
2.1. 1.Single Box Architecture
2.1.1. Single Box Architecture มี component ที่ใช้คือ
2.1.1.1. 1) Screening Router เราสามารถใช้เราเตอร์ทำ Packet Filtering ได้ วิธีนี้จะทำให้ประหยัดค่าใช้จ่ายเนื่องจากส่วนใหญ่จะใช้เราเตอร์ต่อกับเน็ตเวิร์กภายนอกอยู่แล้วแต่วิธีนี้อาจไม่ยืดหยุ่นมากนักในการconfiguration
2.1.1.1.1. Architecture แบบนี้เหมาะสำหรับ
2.1.1.2. 2)Dual-Homed Host เราสามารถใช้ Dual-Homed Host ( คอมพิวเตอร์ที่มีNetwork interfaceอย่างน้อย 2 อัน) ใช้การบริการเป็น Proxy ให้กับเครื่องภายในเน็ตเวิร์ก
2.1.1.2.1. Architecture แบบนี้เหมาะสำหรับ
2.1.1.3. 3)Multi-purposed Firewall Box มีผลิตภัณฑ์หลายชนิดที่ผลิตออกมาเป็นpackage เดียว ซึ่งทำหน้าที่ได้หลายอย่าง ทั้ง Packet Filtering, Proxy แต่ก็อย่าลืมว่านี่คือ Architecture แบบชั้นเดียว ซึ่งถ้าพลาดแล้วก็จะเสียหายทั้งเน็ตเวิร์กได้
2.2. 2.Screened Host Architecture
2.2.1. ความหมาย
2.2.1.1. จะมีโฮสต์ซึ่งให้บริการ Proxy เหมือนกับใน Single Box Architecture ที่เป็น Dual-homed Host แต่จะต่างกันตรงที่ว่า โฮสต์นั้นจะอยู่ภายในเน็ตเวิร์ก ไม่ต่อ อยู่กับเน็ตเวิร์กภายนอกอื่นๆ มี เราเตอร์ที่ทำหน้าที่ Packet Filtering ช่วยบังคับให้เครื่องภายในเน็ตเวิร์กต้อง ติดต่อเซอร์วิสผ่าน Proxy โดยไม่ยอมให้ติดต่อใช้เซอร์วิสจากภายนอกโดยตรง และก็ให้ภายนอกเข้าถึงได้เฉพาะ Bastion host ( คือโฮสต์ที่มีความเสี่ยงสูงต่อ การถูกโจมตี มักจะเป็นโฮสต์ที่เปิดให้บริการกับอินเตอร์เน็ต ดังนั้นโฮสต์นี้ต้องมี การดูแลเป็นพิเศษ) เท่านั้น
2.2.1.1.1. Architecture นี้เหมาะสำหรับ
2.3. 3.Multi Layer Architecture
2.3.1. ความหมาย
2.3.1.1. ในสถาปัตยกรรมแบบหลายชั้น ไฟร์วอลล์จะเกิดขึ้นจากคอมโพเน็นต์หลายๆ ส่วนทำหน้าที่ประกอบกันขึ้นเป็นระบบ วิธีการนี้สามารถเพิ่มความปลอดภัยได้มาก เนื่องจากเป็นการลดความเสี่ยงต่อ ความผิดพลาดที่อาจเกิดขึ้น ถ้าหากมีไฟร์วอลล์เพียงจุดเดียวแล้วมีเกิดความผิด พลาดเกิดขึ้น ระบบทั้งหมดก็จะเป็นอันตราย แต่ถ้ามีการป้องกันหลายชั้น หาก ในชั้นแรกถูกเจาะ ก็อาจจะมีความเสียหายเพียงบางส่วน ส่วนที่เหลือระบบก็ยัง คงมีชั้นอื่นๆ ในการป้องกันอันตราย ลดความเสี่ยงได้โดยการที่แต่ละชั้นนั้นมีการใช้เทคโนโลยีที่แตกต่างกัน เพื่อให้ เกิดความหลากหลาย เป็นการหลีกเลี่ยงการโจมตีหรือช่องโหว่ที่อาจมีใน เทคโนโลยีชนิดใดชนิดหนึ่ง โดยทั่วไปแล้วสถาปัตยกรรมแบบหลายชั้นจะ เป็นการต่อกันเป็นซีรี่โดยมี Perimeter Network (หรือบางทีเรียกว่า DMZ Network) อยู่ตรงกลาง เรียกว่า Screened Subnet Architecture
2.3.1.2. Screened Subnet Architecture เป็นสถาปัตยกรรมที่มีการเพิ่ม PerimeterNetwork เข้าไปกั้นระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กภายในไม่ให้เชื่อมต่อกันโดยตรง ทำให้เน็ตเวิร์กภายในมีความปลอดภัยมากขึ้น
2.3.1.2.1. ประกอบไปด้วย เราเตอร์ 2 ตัว ตัวนึงอยู่ระหว่างอินเตอร์เน็ตกับ Perimeter Network ส่วนอีกตัวหนึ่งอยู่ระหว่าง Perimeter Network กับเน็ตเวิร์กภายใน ถ้า หากแฮกเกอร์จะเจาะเน็ตเวิร์กภายในต้องผ่านเราเตอร์เข้ามาถึง 2 ตัวด้วยกัน ถึง แม้ว่าจะเจาะชั้นแรกเข้ามายัง Bastion host ได้ แต่ก็ยังต้องผ่านเราเตอร์ตัวในอีก ถึงจะเข้ามายังเน็ตเวิร์กภายในได้
3. Intrusion Detection and Prevention System
3.1. Introduction
3.1.1. การ Monitoring เป็นกระบวนการที่สำคัญใน กลุ่มการทำงาน PDR
3.1.2. Intrusion Detection System คืออุปกรณ์ที่ใช้ในการ Detect สัญญาณของปัญหาต่างๆ ในระบบสารสนเทศ
3.1.3. Intrusion Prevention System เป็นระบบที่มีความสามารถมากกว่า Intrusion DetectionSystem โดยมีความสามารถในการ Preventและ Response ต่อปัญหาการโจมตีต่างๆ ได้
3.2. Intrusion
3.2.1. การทำงานที่ทำให้ระบบสูญเสีย Confidentiality , Integrity, Availability
3.2.2. การทำงานที่ทำให้กระบวนการ SecurityMechanism ต่างๆ ไม่สามารถทำงานได้ เช่นการทำงานของมัลแวร์ต่างๆ , unauthorized access, authorized users ที่ดำเนินการเพิ่มสิทธิของตนเอง
3.2.3. การทำงานโดยไม่รู้หรือไม่ตั้งใจของผู้ใช้งานเช่น พิมพ์ผิด การเข้าใช้งานระบบผิด อาจทำให้มองได้ ว่าเป็นการบุกรุก (False Positive)
3.3. Intrusion prevention systems
3.3.1. ความหมาย
3.3.1.1. Software หรือ hardware ที่ได้รับการ ออก แบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS(Intrusion Detection System) แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือหยุดยั้งผู้บุกรุก ได้ด้วยตัวเองโดยที่ไม่จำเป็นต้องอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ
3.4. Intrusion Detection System
3.4.1. ความหมาย
3.4.1.1. คือหมายถึงฮาร์ดแวร์หรือซอฟต์แวร์ที่ ติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่ส่งผ่านบนเครือข่ายคอมพิวเตอร์ ด้วยการวิเคราะห์รูปแบบ พฤติกรรมในแพ็กเก็ตข้อมูล (Packet Data) เพื่อค้นหา สิ่งที่ผิดปกติ(Anomaly) แล้วนำเข้าสู่กระบวนการทำนาย (Prediction) เพื่อตัดสิน ว่าเป็นเหตุการณ์บุกรุกจริงแล้วแจ้งเตือน (Alert) ให้ผู้รับผิดชอบระบบทราบเพื่อ ดำเนินการป้องกันและแก้ไขต่อไป
3.4.2. ระบบตรวจหาการบุกรุกบนเครือข่าย (Network-based IDSs)
3.4.2.1. จะทำงานในเครือข่ายคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลเพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ ผิดปกติ
3.4.3. ระบบตรวจหาการบุกรุกบนครื่องคอมพิวเตอร์ (Host-based IDSs)
3.4.3.1. จะทำงานในเครื่องคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจร (Traffic) ที่อยู่ในรูปของแพ็กเก็ตข้อมูลและตรวจสอบการใช้งานโปรแกรม ประยุกต์ (Application) ในเครื่องคอมพิวเตอร์จากไฟล์บันทึกข้อมูลการใช้(Log File) เพื่อตรวจสอบว่าแพ็กเก็ตใดมีลักษณะที่ผิดปกติ
3.4.4. หลักการทำงานของระบบตรวจหาการ บุกรุก
3.4.4.1. การตรวจหาการใช้งานที่ผิด (Misuse Detection)หรือ (Signature-based) เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่ เกิดขึ้นในระบบเครือข่าย โดยการเปรียบเทียบพฤติกรรมหรือเหตุการณ์ที่เข้ามา ในเครือข่าย ณ เวลาขณะน้ันกับพฤติกรรมหรือเหตุการณ์ที่เป็นการบุกรุกซึ่งจัด เก็บไว้ในฐานข้อมูลระบบ 1.Pattern Matching เป็นการเปรียบเทียบแพ็กเก็ตของซิกเนเจอร์ 2.Stateful Matching เป็นการเปรียบเทียนรูปแบบของกิจกรรมทั่วไป
3.4.4.2. การตรวจหาเหตุการณ์ผิดปกติ (Anomaly-based Detection) เป็นการตรวจหารูป แบบการบุกรุก ด้วยการวิเคราะห์พฤติกรรมหรือเหตุการณ์ที่เกิดขึ้นในระบบเครือ ข่าย โดยการเปรียบเทียบพฤติกรรมหรือเหตุการณ์ที่เข้ามาในเครือข่าย ณ เวลา ขณะน้ันกับพฤติกรรมหรือเหตุการณ์ที่เป็นการบุกรุกซึ่งจัดเก็บไว้ในฐานข้อมูล ระบบ การตรวจหาความผิดปกติด้วยสถิติ (Statistical Anomaly-Based)
3.4.4.3. การวัดตามกฎ (Rule-based Measure) เป็นวิธีการวัดโดยกำหนดพฤติกรรมหรือ เหตุการณ์ปกติเป็นกฎไว้ แล้วนำ พฤติกรรมหรือเหตุการณ์ที่เกิดข้ึนในเครือข่าย ณ เวลาในขณะน้ัน มาเปรียบเทียบกับกฎ หากไม่ตรงกันแสดงว่าเป็นรูปแบบการโจมตี เช่น ใช้กฎพื้นฐาน IF/THEN ของการเขียนโปรแกรมในระบบผู้เชี่ยวชาญ (Expert System) ใช้การอนุญาตของระบบผู้เชี่ยวชาญสำหรับคุณลักษณะของปัญญาประดิษฐ์ (Artificial Intelligence)กฎระเบียบที่ซับซ้อนมากขึ้น อุปสงค์มากขึ้นจากความต้องการ การประมวลผลของเครื่องและโปรแกรมทางคอมพิวเตอร์และไม่สามารถตรวจสอบการ โจมตีแบบใหม่ได้
3.4.5. การวิเคราะห์รูปแบบการโจมตีของระบบ ตรวจหาการบุกรุก( Attack Analysis of IDS)
3.4.5.1. 1.การวิเคราะห์เนื้อหา (Content Analysis)
3.4.5.1.1. จะต้องมีการจับแพ็กเก็ตข้อมูล (Capture Packets) ทั้งหมดซึ่งโดยปกติแล้วขนาดของ Ethernet Packet สามารถมีขนาดได้ถึง1500 bytes เพราะฉะน้ันจำเป็นต้องมีพื้นที่ว่างในฮาร์ด ดิสก์(Disk Space) และหน่วยประมวลผล (CPU Time) ในการประมวลผลข้อมูล ดังกล่าวที่เหมาะสม
3.4.5.2. 2.การวิเคราะห์สัญญาณจราจร (Traffic Analysis)
3.4.5.2.1. เป็นการแปลความหมายจาก รูปแบบ(Patterns) ในส่วนหัวของแพ็กเก็ต (Packet Header) ซึ่งจะแสดงถึง ความผิดปกติของเครือข่าย เพราะฉะน้ันจึงมีความจำเป็นที่ผุ้วิเคราะห์จะต้อง มีความรู้และทักษะในการแปลความหมายจากข้อมูลดังกล่าว เนื่องจาก วิเคราะห์จะดูเฉพาะส่วนที่เป็นส่วนหัวของแพ็กเก็ต ฉะน้ันจึงมีการจับเฉพาะ ส่วนหัวของข้อมูล โดยปกติแล้วส่วนหัวที่จะต้องจับจะมีขนาดประมาณ 68 byte และหากต้องการความถูกต้องในการวิเคราะห์จึงจำเป็นต้องมีการจับทุก ๆ ส่วนหัวที่ผ่านในเครือข่าย
3.4.6. การติดตั้งระบบตรวจหาการบุกรุก
3.4.6.1. 1. การใช้ฮับวางระหว่างสวิตช์กับเราเตอร์ แล้วเชื่อมต่อระบบตรวจหาการบุกรุกเข้ากับฮับ
3.4.6.2. 2. การทำพอร์ตมิลเรอริ่งคือการใช้คุณสมบัติของสวิตช์ในการส่งต่อทุก ๆแพ็กเก็ตที่รับจากพอร์ตที่ต่ออยู่กับเราเตอร์ไปยังอีกพอร์ตหนึ่งที่ต่ออยู่กับระบบตรวจหาการบุกรุกเป็นผลให้ระบบตรวจหาการบุกรุกสามารถตรวจจับทุกแพ็กเก็ตที่ส่งถึงกันระหว่างเราเตอร์และไฟร์วอลล์ได้
3.4.6.3. 3.การใช้แท็พซึ่งเป็นอุปกรณ์ที่ทำหน้าที่คล้ายฮับแต่มีคุณสมบัติที่ทนต่อข้อผิดพลาดและไม่มีผลกระทบต่อการไหลของtraffic ไม่ทำให้ประสิทธิภาพของเครือข่ายลดลง และสามารถตรวจจับแพ็กเก็ตได้ทุกแพ็กเก็ต
3.4.7. ซอฟต์แวร์ที่นิยมใช้ในการตรวจหาการ บุกรุก
3.4.7.1. 1. Snort เป็นซอฟต์แวร์ที่อยู่ในกลุ่ม Network Intrusion Detection System (NIDS)
3.4.7.2. 2. Tcpdump เป็ นซอฟต์แวร์ในกลุ่ม Network Analyzer
3.4.7.3. 3. Ethereal
3.4.7.4. 4. Sniffit เป็นซอฟต์แวร์ดักจับแพ็กเกต