887130 Platform TechnologyAsst. Prof. Patcharin Buayen

แนวคดเบองตนของระบบรกษาความปลอดภย การโจมตระบบคอมพวเตอร ระบบรกษาความปลอดภย

ระบบรกษาความปลอดภยในระบบคอมพวเตอร

1

2

แนวคดเบองตนของระบบรกษาความปลอดภย

การปองกนและรกษาระบบของระบบปฏบตการ

มการแบงสวนของระบบปฏบตการเปนล าดบชนเปนการปองกนไมใหผใชเขามาควบคมการท างานของระบบปฏบตการ มระบบการปองกนระบบจากการท างานผดพลาดของงานทก าลงประมวลผลอย มระบบการรกษาระบบทเนองมาจากการท างานของระบบบางสวนผดพลาด มระบบการรกษางานทท างานอยเมอเกดเหตการณจากภายนอก เชน ไฟฟาตก มระบบการกคนไฟลระบบเมอระบบปฏบตการพบวา มการท างานของระบบทผดปกต มระบบการรกษาความปลอดภยของผใช ทเรยกวา User Account โดยมการปองกนดวยรหสผาน

3

แนวคดเบองตนของระบบรกษาความปลอดภย

การปองกนและรกษาระบบของระบบปฏบตการ

มการแบงสวนของระบบปฏบตการเปนล าดบชนเปนการปองกนไมใหผใชเขามาควบคมการท างานของระบบปฏบตการ มระบบการปองกนระบบจากการท างานผดพลาดของงานทก าลงประมวลผลอย มระบบการรกษาระบบทเนองมาจากการท างานของระบบบางสวนผดพลาด มระบบการรกษางานทท างานอยเมอเกดเหตการณจากภายนอก เชน ไฟฟาตก มระบบการกคนไฟลระบบเมอระบบปฏบตการพบวา มการท างานของระบบทผดปกต

4

แนวคดเบองตนของระบบรกษาความปลอดภย

มาตรการในการรกษาความปลอดภย

การรกษาความปลอดภยดานขอมล(Information Assurance)

การรกษาความปลอดภยดานผใช

การรกษาความลบ(Confidentiality)

การรกษาความถกตอง(Integrity)

ความพรอมใชของขอมล(Availability)

การระบอ านาจหนาท(Authorization)

การระบตวบคคล(Authentication)

การปฏเสธความรบผดชอบ(Non-Repudiation)

มาตรการในการรกษาความ

ปลอดภย

5

แนวคดเบองตนของระบบรกษาความปลอดภย

การรกษาความลบ (Confidentiality) เปนการปองกนไมใหบคคลอนทไมเกยวของรขอมลส าคญ เครองมอทใชคอ การเขารหสขอมล (Data Encryption)

การรกษาความถกตอง (Integrity) เปนการปองกนไมใหขอมลทสงมาจากผสงถกเปลยนแปลงหรอแกไขจากผประสงคราย เครองมอทใชคอ ลายเซนดจตอล (Digital Signature)

ความพรอมใชของขอมล (Availability) เปนการสรางความมนใจใหกบผใชวา สามารถเขาถงขอมลของเวบและใชบรการไดจรง โดยระดบการเขาถงขอมล จะขนอยกบสทธในการใชงานของผใชแตละคน

แนวคดเบองตนของระบบรกษาความปลอดภย

การระบอ านาจหนาท (Authorization) เปนการควบคมการเขาถงขอมล (Access) ของแตละบคคลตามอ านาจและสทธการใช เครองมอทใช คอ การก าหนดรหสผาน การใช Firewall และ Biometrics

การระบตวบคคล (Authentication) เปนการพสจนตวตนของผสงขอมล และปองกนการแอบอางของผอน เครองมอทใชคอ การก าหนดรหสผาน ลายเซนดจตอล (Digital Signature) และ Biometrics

การปฏเสธความรบผดชอบ (Non-repudiation) เปนการปองกนการปฏเสธการรบ-สงขอมลหรอการท าธรกรรมตางๆ เครองมอทใช คอ ลายเซนดจตอล การบนทกเวลา และการออกใบรบประกนสนคา

6

การโจมตระบบคอมพวเตอร

ประเภทของผโจมต (Attacker)

7

1. แฮกเกอร (Hackers) สามารถเจาะระบบเพออานขอมลหรอขโมยขอมลส าคญและโจมตระบบคอมพวเตอรขององคกรอน เปนผเชยวชาญดานระบบเครอขาย และการใชงานคอมพวเตอร

2. อาชญากรทางคอมพวเตอร (Computer Criminals) เปนการขโมยขอมลทความลบเพอไปใชในการซอสนคา หรอน าไปขายใหกบองคกรคแขง

3. ผกอการรายทางคอมพวเตอร (Computer Terrorists) เปนการใชประโยชนจากระบบเครอขายเปนเครองมอในการกอการราย

4. พนกงานหรอลกจางในองคกร เปนบคคลภายในองคกรทมความรดานเครอขายเปนอยางด แตตองการท าทจรต หรอไม

พอใจในองคกร จงสรางความเสยหายใหระบบ ซงรายแรงกวาการโจมตจากบคคลภายนอก

การโจมตระบบคอมพวเตอร

8

รปแบบของการโจมต (Kind of Attack)1. การโจมต Server2. การโจมต Client3. การดกจบ Packet หรอ Packet Sniffer4. การโจมตแบบ Denial-of-Service Attacks (DoS)

การโจมตโดยสง Message หรอ Packet จ านวนมากไปยง Server จนไมสามารถใหบรการแก Client ได การโจมตโดยสง Message หรอ Packet เดยว ส าหรบท าลายระบบของ Server

Message/Packet Message/Packet Message/Packet

การโจมตระบบคอมพวเตอร การโจมตแบบ Distributed Denial-of-Service Attacks (DDoS)

- รนแรงกวา “การโจมต Server” และ “การโจมต Client”- ใชคอมพวเตอรมากกวา 1 เครองในการสง Message ไปยง Server พรอมกน ท าให

ระบบลมไดอยางรวดเรว

การโจมตระบบคอมพวเตอร

5. การโจมตจาก Virus, Worm, Trojan horse และ Spam- Virus : มลกษณะการท าลายหลายรปแบบ สามารถแพรกระจายและส าเนาตวเอง

รวมทงการกระจายไปเครองอนโดยอาศยตวกลาง- Worm : แพรกระจายในระบบเครอขาย และไมจ าเปนตองอาศยตวกลาง- Trojan horse : จะท าการซอนตวเองในโปรแกรมอน (โดยเฉพาะโปรแกรมทดาวน

โหลดจากอนเทอรเนต) มผลทงการขโมยขอมลและการท าลาย- Spam (E-Mail bombing) : มจดประสงคเพอการโฆษณาผาน E-Mail แตมการแอบ

แฝง Virus หรอ Worm หรอ เปนการสง E-Mail จ านวนมากพรอมๆ กนจนท าใหเกดปญหา Mailboxes

10

การโจมตระบบคอมพวเตอร

บตเซกเตอรไวรส (Boot sector หรอ Boot Infector Viruses)

เปนชดค าสงไวรสทฝงตวอยในบตเซกเตอรทเรยกวา Master Boot Record (MBR) ท าใหทกครงทเปดเครอง ไวรสจะท างานกอนทระบบปฏบตการจะถกโหลดเขาสหนวยความจ าหลก

11

Macro Virusเปนไวรสทกอกวนไฟลประเภทเอกสาร ไดแก

document และ spread sheet โดยจะขดขวางการท างานทเกยวกบไฟลเอกสารนนๆ อาท หยดการท างานโดยไมมสาเหต ท าใหไฟลเสยหาย หรอ ไมใหไฟลเอกสารนนๆ สงพมพได เปนตน

การโจมตระบบคอมพวเตอร

12

Program Viruses หรอ File Infector virusesเปนฝงตวไปกบไฟลโปรแกรมทมนามสกล .com,

.exe, .sys หรอ .dll ซงเปนไฟลส าหรบการประมวลผล หรอไฟลระบบ ไฟลทมค าสงของไวรสชนดนฝงอยจะมขนาดไฟลทใหญขนเมอท างาน ท าใหหนวยความจ าของเครองคอมพวเตอรไมเพยงพอส าหรบการท างาน การแพรกระจายเกดจากการทโปรแกรมทไวรสโดยประมวลผล ซงชดค าสงไวรสจะคดลอกไปไวในหนวยความจ า และเมอไฟลประมวลผลอนๆ ถกประมวลผลตอ ชดค าสงไวรสดงกลาวจะคดลอกตวเองไปเปนสวนหนงของไฟลประมวลผลอนๆ ตอไป

การโจมตระบบคอมพวเตอร

13

โพลมอรฟกไวรส (Polymorphic Viruses) เปนชอทใชเรยกไวรสทมความสามารถในการ

แปรเปลยนตวเอง ไดเมอมการสรางส าเนาตวเองเกดขน ซงอาจไดถงหลายรอยรปแบบ ผลกคอ ท าใหไวรสเหลานยากตอการถกตรวจจดโดยโปรแกรมตรวจหาไวรสทใชวธการสแกนอยางเดยว ไวรสใหม ๆ ในปจจบนทมความสามารถนเรมมจ านวนเพมมากขนเรอย ๆ

Scripts Virusesเปนไวรสทมาจากภาษาทใชในการ

เขยนโปรแกรม อาท javaScript ซงอาจจะเขยนรวมในไฟลของเวบเพจ

การโจมตระบบคอมพวเตอร

สทลตไวรส (Stealth Viruses) เปนชอเรยกไวรสทมความสามารถในการพรางตว

ตอการตรวจจบได เชน ไฟลอนเฟกเตอร ไวรสประเภททไปตดโปรแกรมใดแลวจะท าใหขนาดของโปรแกรมนนใหญขน ถาโปรแกรมไวรสนนเปนแบบสทสตไวรส จะไมสามารถตรวจดขนาดทแทจรงของโปรแกรมทเพมขนได เนองจากตวไวรสจะเขาไปควบคมดอส เมอมการใชค าสง DIR หรอโปรแกรมใดกตามเพอตรวจดขนาดของโปรแกรม ดอสกจะแสดงขนาดเหมอนเดม ทกอยางราวกบวาไมมอะไรเกดขน

14

Trap Doorประตกบดก เปนชองโหวทถกสรางโดย

โปรแกรมเมอรของระบบ เพอใหตนเองสามารถเขาสระบบไดทกเมอ

การโจมตระบบคอมพวเตอร

Wormหนอนคอมพวเตอร จะท าการคดลอกตวเองโดย

ใชทรพยากรของระบบและไมใหโปรเซสอนๆ ใชทรพยากรของระบบ ท าใหโปรเซสไมสามารถท างานได ซงการคดลอกตวเองนสามารถท าใหระบบคอมพวเตอรหรอระบบเครอขายไมสามารถท างานได

15

Trojan Horseเปนไวรสประเภท Spy ทมงลวงความลบ

ของระบบ หรอขอมลในเครองคอมพวเตอร รวมถงการท าลายระบบการท างานของคอมพวเตอร โดยชดค าสงเหลานนจะฝงมากบโปรแกรมทมกจะแจกฟรในอนเทอรเนต

ระบบรกษาความปลอดภย

16

ระบบรกษาความปลอดภยในการตดตอสอสารวตถประสงคของการรกษาความปลอดภยในการตดตอสอสาร คอ

1. เพอรกษาความปลอดภยของขอมลทสงผานระบบเครอขาย2. เพอปองกนผแอบอางสทธในการเขาถงขอมลทอยในเครอง Client และ Server

ตวอยางระบบรกษาความปลอดภย การพสจนดานชวลกษณะ (Biometrics Authentication) การเขารหส (Encryption) ลายเซนดจตอล (Digital Signature) โปรโตคอล HTTPS (Hypertext Transfer Protocol Security) SSL (Security Socket Layer)

ระบบรกษาความปลอดภย

17

การพสจนดานชวลกษณะ (Biometrics Authentication)

Voice Identification

FaceIdentification

IrisIdentification

FingerprintIdentification

ระบบรกษาความปลอดภย

18

การเขารหส (Encryption)• Symmetric Encryption (Secret key Encryption)

Plaintext PlaintextCipher text

ระบบรกษาความปลอดภย

การเขารหส (Encryption)• Assymmetric Encryption (Public key Encryption)

Cipher textPlaintext Plaintext

ระบบรกษาความปลอดภย

ลายเซนดจตอล (Digital Signature)

Receiver’s Public key

Sender’sPrivate key

Sender

ระบบรกษาความปลอดภย

Receiver’sPrivate key

Receiver

Sender’sPublic key

Match?

ระบบรกษาความปลอดภย

โปรโตคอล HTTPS (Hypertext Transfer Protocol Security)

- ชวยปองกนการถอดรหส (Decryption) เพอรกษาความลบของขอมลผใชทกรอก - แต ไมสามารถปองกนการแฝงตวของผประสงครายได

22

ระบบรกษาความปลอดภย

SSL (Secure Socket Layer)

- เปนโปรโตคอลทเพมความปลอดภยในการรบสงขอมลผานระบบเครอขาย ท าใหเราสามารถสงขอมลทเปนความลบเชน รหสผาน หรอหมายเลขบตรเครดตผานระบบเครอขายไดดวยความปลอดภย

- นอกจากผสงและผรบขอมลแลวไมมใครในระบบเครอขายสามารถดงขอมลทเปนความลบไปใชได

- ท างานท TCP/IP Layer (application layer และ transport layer) จงสามารถเรยกอกชอวา “TLS (Transport Layer Security)”

ประโยชนของการใช SSL- Authorization- Confidentiality- Authentication- Integrity

23

ระบบรกษาความปลอดภย

Client

Server

Sent/receive data (which encrypt with secret key and public key) for business.

4. Server decrypt the message with server’s private key, then it knew the secret key for receive/send data between client and server.

5. Tell the client “Knew your secret key.”

ระบบรกษาความปลอดภย

25

Firewallเปนเสมอนก าแพงหรอกองทหารปองกน

การโจมตหรอการบกรกจากนอกองคกร

Firewall ม 3 ชนด ไดแก1. Package Filter Firewall2. Application (Proxy) Firewall3. Stateful Inspection

ระบบรกษาความปลอดภยบนเครอขาย

ระบบรกษาความปลอดภย

26

1. Package Filter Firewallท าการตรวจสอบและกลนกรอง IP Package โดยเทยบคณสมบต IP Package ทเขามา

กบ Access Control Lists (ACL) หากไมตรงจะถอวาเปน Package ทมความเสยงตอระบบ จะไมอนญาตให Package นนเขาสระบบขององคกร

ระบบรกษาความปลอดภย

27

ในการพจารณาเฮดเดอร Packet Filter จะตรวจสอบในระดบของอนเตอรเนตเลเยอร (Internet Layer) และทรานสปอรตเลเยอร (Transport Layer) ในอนเตอรเนตโมเดล

ขอด - ไมขนกบแอพพลเคชน- มความเรวสง- รองรบการขยายตวไดด

ขอเสย บางโปรโตคอลไมเหมาะสมกบการใช Packet Filtering เชน FTP, ICQ

ระบบรกษาความปลอดภย

28

2. Application (Proxy) FirewallProxy หรอ Application Gateway

เปนแอพพลเคชนโปรแกรมทท างานอยบนไฟรวอลลทตงอยระหวางเนตเวรก 2 เนตเวรก ท าหนาทเพมความปลอดภยของระบบเนตเวรกโดยการควบคมการเชอมตอระหวางเนตเวรกภายในและภายนอก Proxy จะชวยเพมความปลอดภยไดมากเนองจากมการตรวจสอบขอมลถงในระดบของแอพพลเคชนเลเยอร (Application Layer)

ระบบรกษาความปลอดภย

29

เมอไคลเอนตตองการใชเซอรวสภายนอก ไคลเอนตจะท าการตดตอไปยง Proxy กอน ไคลเอนตจะเจรจา กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให เมอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ ไคลเอนตกบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะท าหนาทรบขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะท าหนาทในการตดสนใจวาจะใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม

ขอเสย- ประสทธภาพต า- แตละบรการมกจะตองการโปรเซส

ของตนเอง- สามารถขยายตวไดยาก

ขอด- มความปลอดภยสง- รจกขอมลในระดบแอพพลเคชน

ระบบรกษาความปลอดภย

30

3. Stateful InspectionStateful Inspection เปนเทคโนโลยทเพมเขาไปใน Packet Filtering โดยการพจารณา

วาจะยอมใหแพกเกตผานไปนน แทนทจะดขอมลจากเฮดเดอรเพยงอยางเดยว StatefulInspection จะน าเอาสวนขอมลของแพกเกต (message content) และขอมลทไดจากแพกเกตกอนหนานทไดท าการบนทกเอาไว น ามาพจารณาดวย จงท าใหสามารถระบไดวาแพกเกตใดเปนแพกเกตทตดตอเขามาใหม หรอวาเปนสวนหนงของการเชอมตอทมอยแลว

ขอเสย- ประสทธภาพต า- แตละบรการมกจะตองการโปรเซส

ของตนเอง- สามารถขยายตวไดยาก

ขอด- สามารถเพมบรการอนๆได- การก าหนด Access Ruleท าไดงาย- สามารถท า IDS เพอปองกนการโจมตได- มความสามารถในการท า Authentication- ใชงานงาย เพราะถกออกแบบมาท าหนาท Firewall โดยเฉพาะ- ประสทธภาพสง เพราะถกออกแบบมาท าหนาท Firewall โดยเฉพาะ- การสอสารระหวาง Firewall กบ Administration Console มความปลอดภยสง

ระบบรกษาความปลอดภย

31

Intrusion Detection System (IDS)คอ software หรอ hardware ทไดรบการออกแบบมาเพอใหตรวจสอบการเชอมตอท

ไมพงประสงค หรอความพยายามทจะเขามาท าอนตรายตอเครอขาย โดยผานระบบตางๆเชน Internet, Lan เปนตน โดยการโจมตนนอาจจะเกดจาก cracker, Worm หรอ Malware ตางๆ

องคประกอบของ IDS ไดแก1. Sensor คอสวนทจะสรางเหตการณทเกยวกบความปลอดภยขนมา2. Console คอสวนทจะตรวจจบเหตการณตาง, แจงเตอน รวมไปถงการควบคม Sensor3. Engine คอสวนทจะบนทกเหตการณจาก sensor ลงในฐานขอมลและจะแจงเตอนตามกฎทก าหนดใน IDS

ขอจ ากด คอไมสามารถทจะตรวจสอบ Packet ทเขารหสได

ระบบรกษาความปลอดภย

32

วธการปองกนเครองในองคกร1. ปดชองโหวของระบบปฏบตการดวยการ Update software2. ตดตง Firewall ใหกบคอมพวเตอรทกเครองในองคกร3. มการท า Authentication กอนเขาใช Server4. มการก าหนดสทธในการเขาใช Server