1. Intrusion Detection System(IDS)
1.1. คือหมายถึงฮาร์ดแวร์หรือซอฟต์แวร์ที่ ติดตามตรวจสอบสัญญาณจราจร ที่ส่งผ่านบนเครือข่ายคอมพิวเตอร์ ด้วยการวิเคราะห์รูปแบบ พฤติกรรมในแพ็กเก็ตข้อมูล เพื่อค้นหา สิ่งที่ผิดปกติแล้วนำเข้าสู่กระบวนการทำนาย เพื่อตัดสิน ว่าเป็นเหตุการณ์บุกรุกจริงแล้วแจ้งเตือน ให้ผู้รับผิดชอบระบบทราบเพื่อ ดำเนินการป้องกันและแก้ไขต่อไป
1.2. IDS Architectuer
1.2.1. 1. Network-based IDS : NIDS
1.2.1.1. ทํางานในเครือข่าย คอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจรที่อยู่ในรูปของPacket Data เพื่อตรวจสอบว่าPacket ใดมีลักษณะที่ผิดปกติ
1.2.1.2. ข้อดี
1.2.1.2.1. องค์กรขนาดใหญ่จะใช้อุปกรณ์จํานวนน้อย
1.2.1.2.2. ติดตั้งได้ง่าย ไม่รบกวนการทํางานของระบบเดิม
1.2.1.2.3. ไม่เป็นที่สังเกตของผู้โจมตี
1.2.1.3. ข้อเสีย
1.2.1.3.1. ไม่สามารถวิเคราะห์ Packet Data ที่เข้ารหัสได
1.2.1.3.2. ไม่สามารถตรวจจับการโจมตีที่มากับFragmented Packet
1.2.2. 2. Host-based IDS : HIDS
1.2.2.1. จะทํางานในเครื่องคอมพิวเตอร์ ด้วยการติดตามตรวจสอบสัญญาณจราจรละตรวจสอบการใช้ งานโปรแกรมประยุกต์ในเครื่องคอมพิวเตอร์จากไฟล์ บันทึกข้อมูลการใช้ เพื่อตรวจสอบว่าPacket ใดมีลักษณะที่ผิดปกติ
1.2.2.2. ข้อดี
1.2.2.2.1. ตรวจสอบเหตุการณ์ที่เกิดขึ้นกับเครื่องHost และเครือข่ายได้
1.2.2.2.2. ตรวจสอบข้อมูลที่เข้ารหัสได
1.2.2.2.3. ตรวจสอบการใช้งานได้จากAudit Log File
1.2.2.3. ข้อเสีย
1.2.2.3.1. ต้องติดตั้งทุกHost
1.2.2.3.2. ไม่สามารถ Scan Port ที่อุปกรณ์เครือข่ายอื่นๆ ได้
1.2.2.3.3. ถูกตรวจจับได้ง่ายจากการโจมตีแบบDoS
1.2.2.3.4. ต้องใช้พื้นที่ของHard disk มากเพื่อใช้เก็บAudit Log File
1.3. หลักการทำงานของระบบตรวจสอบผู้บุกรุก
1.3.1. 1. การตรวจหาการใช้งานที่ผิด
1.3.1.1. เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์พฤติกรรมที่เกิดขึ้นในระบบเครือข่าย โดยการปรียบเทียบพฤติกรรมที่เข้ามาในเครือข่าย ณ เวลาขณะนั้นกับพฤติกรรม"หากตรงกัน"จะรายงาน ผู้ดูแลระบบทราบ มี 2ชนิด
1.3.1.1.1. Pattern Matching
1.3.1.1.2. Stateful Matching
1.3.2. 2. การตรวจหาเหตุการณ์ผิดปกติ
1.3.2.1. เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์พฤติกรรมที่เกิดขึ้นในระบบเครือข่าย โดยการปรียบเทียบพฤติกรรมที่เข้ามาในเครือข่าย ณ เวลาขณะนั้นกับพฤติกรรม"หากไม่ตรงกัน"จะรายงาน ผู้ดูแลระบบทราบ
1.3.2.1.1. Statistical Anomaly-Based
1.3.2.1.2. Protocol Anomaly-Based
1.3.2.1.3. Traffic Anomaly-Based
1.3.3. 3. การวัดตามกฎ
1.3.3.1. เป็นการตรวจหารูปแบบการบุกรุกด้วยการวิเคราะห์พฤติกรรมที่เกิดขึ้นในระบบเครือข่าย โดยการปรียบเทียบกับกฎแล้ว"หากไม่ตรงกัน"จะรายงาน ผู้ดูแลระบบทราบ
1.3.4. ซอฟต์แวร์ที่นิยมใช้ในการตรวจหาการ บุกรุก
1.3.4.1. Snort
1.3.4.2. Tcpdump
1.3.4.3. Ethereal
1.3.4.4. Sniffit
2. Intrusion Prevention System(IPS)
2.1. คือ Software หรือ hardware ที่ได้รับการออกแบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือหยุดยั้งผู้บุกรุกได้ด้วยตัวเองโดยที่ไม่จำเป็นต้นอาศัยโปรแกรมหรือ hardware ตัวอื่นๆIPS นั้นจะจู่โจมผู้โจมตีโดยการส่งสัญญาน TCP Reset โต้ตอบกลับไปหรือจะสั่งการ firewallเพื่อปรับเปลี่ยนกฎบางข้อเพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครื่อข่าย
2.2. ประเภทของ IPS
2.2.1. 1. Network Based Intrusion Prevention System (NIPS)
2.2.1.1. คือ IPSที่ได้รับการติดตั้งไว้ที่ส่วนหนึ่งของระบบเครือข่ายเพื่อป้องกันการบุกรุก
2.2.2. 2. Host Based Intrusion Prevention System (HIPS)
2.2.2.1. Host Based Intrusion Prevention System (HIDS) คือ Software ที่ติดตั้งเข้าไปที่เครื่อง Server เพื่อป้องกันการบุกรุกหรือการโจมตีต่างๆ
2.2.2.1.1. Antivirus,
2.2.2.1.2. AntiSpyware
2.3. หลักการทำงานของ IPS
2.3.1. ใช้หลักการที่เรียกว่า “Inline” หรือที่เรียกว่า “Gateway IDS” ซึ่งก็คือ การนำ IPS ไปกั้นกลางบนเส้นทางการส่งข้อมูล โดยไม่ต้องมีการกำหนดหมายเลขไอพีให้กับ IPS แต่ปัญหาก็คือ หากตัว IPS เกิดเสีย ถ้า IPS ไม่สามารถบายพาสตัวเองได้ ก็จะทำให้เกิดปัญหาในการรับ-ส่งข้อมูลระหว่างต้นทางกับปลายทาง ตลอดจนถ้า IPS ตัดสินใจผิด การบล็อกแพ็กเก็ตที่ IPS คิดว่าเป็นการบุกรุก
3. Firewall
3.1. สิ่งที่ไฟร์วอลล์ทำได้
3.1.1. บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด
3.1.2. ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก
3.1.3. บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
3.1.4. ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก เช่นถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้เซอร์วิส แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์วอลล์ช่วยได้
3.1.5. ไฟร์วอลล์บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP
3.2. สิ่งที่ไฟร์วอลล์ทำไม่ได้
3.2.1. อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา
3.2.2. อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์
3.2.3. อันตรายจากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มันปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ
3.2.4. ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล
3.3. ชนิดของไฟร์วอลล์
3.3.1. Packet Filtering
3.3.1.1. Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง แพ็กเก็ตนั้นไปหรือว่าจะยอมให้แพ็กเก็ตนั้นผ่านไปได้
3.3.1.1.1. ข้อดี
3.3.1.1.2. ข้อเสีย
3.3.2. Proxy Service
3.3.2.1. Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์
3.3.2.1.1. ข้อดี
3.3.2.1.2. ข้อเสีย
3.3.3. Stateful Inspection
3.3.3.1. Firewall Architecture นั้น จะพูดถึงการจัดวางไฟร์วอลล์คอมโพเน็นต์ในแบบต่างๆ เพื่อทำให้เกิดเป็นระบบไฟร์วอลล์ขึ้น
3.3.3.1.1. Single Box Architecture
3.3.3.1.2. Screened Host Architecture
3.3.3.1.3. Multi Layer Architecture
3.3.3.1.4. Screened Subnet Architecture
4. antivirus software
4.1. เป็นโปรแกรมที่สร้างขึ้นเพื่อคอยตรวจจับ ป้องกัน และกำจัดโปรแกรมคุกคามทางคอมพิวเตอร์หรือมัลแวร์
4.1.1. ไวรัส
4.1.2. เวิร์ม
4.1.3. โทรจัน
4.1.4. สปายแวร์
4.1.5. แอดแวร์
4.2. โปรแกรมป้องกันไวรัสมี 2 แบบหลักๆ
4.2.1. Anti-Virus
4.2.1.1. เป็นโปรแกรมโปรแกรมป้องกันไวรัสทั่วๆไป จะค้นหาและทำลายไวรัสในคอมพิวเตอร์
4.2.2. Anti-Spyware
4.2.2.1. เป็นโปรแกรมป้องกันการโจรกรรมข้อมูล จากไวรัสสปายแวร์ และจากแฮ็กเกอร์ รวมถึงการกำจัด Adsware ซึ่งเป็นป๊อปอัพโฆษณา
4.3. รายชื่อของโปรแกรมป้องกันไวรัส
4.3.1. Smadav
4.3.2. BitDefender
4.3.3. Kaspersky
4.3.4. ESET Nod32
4.3.5. Aluria Anti-Spyware
4.3.6. Spy Sweeper
4.4. วิธีป้องกันไวรัสคอมพิวเตอร์เบื้องต้น
4.4.1. ควรติดตั้งซอฟแวร์ป้องกันไวรัสที่เชื่อถือได้ และสามารถอัพเดทฐานข้อมูลไวรัสและเครื่องมือได้ตลอด เพราะจะทำให้สามารถดักจับและจัดการกับไวรัสตัวใหม่ๆ
4.4.2. อย่าตั้งค่าให้โปรแกรมอีเมลเปิดไฟล์ที่แนบมาโดยอัตโนมัติ ควรจะต้องตรวจสอบก่อนดาวน์โหลดหรือเปิดไฟล์ขึ้นมา
4.4.3. สแกนไฟล์แนบท้ายของอีเมลทุกฉบับ หรือแม้แต่อีเมลจากคนรู้จัก
4.4.4. ตั้งค่าระบบป้องกันให้ทำงานทันทีที่เริ่มเปิดคอมพิวเตอร์ใช้งาน
4.4.5. อัพเดทซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ ถ้าเป็นไปได้ควรอัพเดททุกครั้งที่ออนไลน์ เพราะจะมีไวรัสสายพันธุ์ใหม่เกิดขึ้นทุกวัน
4.4.6. อย่าดาวน์โหลดโปรแกรมจากเว็บไซต์ที่ไม่น่าเชื่อถือ เพราะอาจได้ไวรัสแถมมาด้วย แต่หากต้องการดาวน์โหลดจริงๆ ก็ให้สร้างโฟลเดอร์เฉพาะไว้ต่างหาก และสแกนหาไวรัสก่อนเปิดใช้งาน
4.4.7. ควรสแกนแฟตไดร์ก่อนใช้งานทุกครั้ง เพราะแฟตไดร์เป็นพาหะในการนำข้อมูลจากพีซีเครื่องหนึ่งมาใส่ในอีกเครื่อง