เรื่องความปลอดภัยของเครือข่ายแลนไร้สายตามมาตรฐาน 802.11นั้น ในยุคแรก ๆ อาจดูไม่ปลอดภัยเท่าที่ควร เพราะมีข่าวประโคมต่าง ๆ นานาว่าข้อมูลที่ส่งผ่านเครือข่าย WLAN นั้นได้กลายเป็นช่องทางที่เหล่าแฮกเกอร์ใช้เจาะระบบเข้ามาเพื่อสร้างความเสียหาย โดยการสร้าง
ประตูหลังบ้าน (back-door) ขึ้นมาเพื่อโจมตีเครือข่ายของคุณเป็นฐานโจมตีระบบอื่น ๆ ด้วยเช่นกัน สำหรับการเซตระบบความปลอดภัยขึ้นมาใช้บนเครือข่าย WLAN นั้น วิธีที่ง่ายที่สุดก็คงเป็นการตั้งค่าการทำงานของเครือข่ายอย่างเหมาะสม ซึ่งคำว่าเหมาะสมในที่นี้หมายถึง หากเป็นเครือข่ายที่มีผู้ใช้จำนวนมากโอกาสเสี่ยงต่อการถูกโจมตีก็อาจมีสูงด้วย ดังนั้นควรตั้งค่าความปลอดภัยให้สูงนิดหนึ่ง เช่น เซต Firewall เอาไว้ที่ระดับสูงสุด ในทางกลับกัน หากระบบมีผู้ใช้จำนวนน้อย อย่างภายในบ้าน ออฟฟิศเล็ก ๆ ที่มีคอมพ์ไม่เกิน 5 เครื่อง ซึ่งแอนมินฯ สามารถดูแลได้อย่างทั่วถึงนั้น ก็ไม่ควรตั้งค่าความปลอดภัยเอาไว้สูงจนเกินไป เพราะจะทำให้ประสิทธิภาพด้านความเร็วของระบบโดยรวมลดลงได้ แนะนำให้ปรับแต่งตามความเหมาะสมของเครือข่ายที่ใช้งานอยู่จะดีที่สุด !
ความรู้เบื้องต้นเกี่ยวกับความปลอดภัย
10.1 การป้องกัน (Protection)
- คอมพิวเตอร์มีการทำงานที่ซับซ้อนเพิ่มขึ้นทุกวัน ความน่าเชื่อถือจึงเป็นหัวข้อที่ถูกหยิบยก ขึ้นมากล่าวถึงอยู่เสมอ โดยเฉพาะระบบมัลติโปรแกรมมิ่ง (Multiprogramming) ที่มีผู้เข้าใช้ระบบจำนวนมาก จึงต้องปกป้องคอมพิวเตอร์ให้พ้นจากผู้ไม่ประสงค์ดี
- กฎการป้องกันของระบบคอมพิวเตอร์คือ การสร้างกลไกที่บังคับให้ผู้ใช้ทรัพยากรปฏิบัติตามข้อกำหนด ที่ได้สร้างไว้ เพื่อการใช้ทรัพยากรเป็นไปอย่างถูกต้อง และป้องกับข้อมูลของผู้ใช้ให้มีความปลอดภัยนั่นเอง
- Domain of protection คือ การนิยามความสัมพันธ์ของ object และ right ที่สัมพันธ์กัน ความสัมพันธ์ของ domain อาจยอมให้ object ถูกเรียกใช้ได้หลาย ๆ domain เช่น object เกี่ยวกับการพิมพ์ บาง domain จะมี object ในการดูแลมากมาย และมี right ที่เฉพาะเจาะจงเช่น อ่าน เขียน หรือประมวลผล
- ACL (Access control list) คือ ตารางความสัมพันธ์ของ object และ domain ที่สามารถเรียกใช้แต่ละ object โดยไม่เกิดปัญหา บางระบบปฏิบัติการจะมีระบบ ACL ที่สนับสนุนระบบกลุ่มผู้ใช้(GID) และผู้ใช้(UID)P.239 น.ท.ไพศาล
- จุดประสงค์หลักของความปลอดภัยทางข้อมูล
- 1. การรักษาความลับ (Confidentiality) คือการรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้มีสิทธิเท่านั้นจึงจะเข้าถึงข้อมูลนั้นได้
- 2. การรักษาความสมบูรณ์ (Integrity) คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นโดย อุบัติเหตุหรือโดยเจตนา
- 3. ความพร้อมใช้ (Availability) คือการรับรองว่าข้อมูลและบริการการสื่อสารต่าง ๆ พร้อมที่จะใช้ได้ในเวลาที่ต้องการใช้งาน
- 4. การห้ามปฏิเสธความรับผิดชอบ (Non-Repudiation) คือวิธีการสื่อสารซึ่งผู้ส่งข้อมูลได้รับหลักฐานว่าได้มีการส่งข้อมูลแล้วและผู้รับก็ได้รับการยืนยันว่าผู้ส่งเป็นใคร ดังนั้นทั้งผู้ส่งและผู้รับจะไม่สามารถปฏิเสธได้ว่าไม่มีความเกี่ยวข้องกับข้อมูลดังกล่าวในภายหลัง
- เรียบเรียงโดย : สิริพร จิตต์เจริญธรรม, เสาวภา ปานจันทร์ และ เลอศักดิ์ ลิ้มวิวัฒน์กุล
- กำหนดลักษณะของการควบคุมความมั่นคงปลอดภัย (Security Controls) ได้ 5 ระดับ
- 1. Audit (Who done it?)
- 2. Integrity (Who can change it?)
- 3. Encryption (Who can see it?)
- 4. Authorization (Who can access it?)
- 5. Authentication (Who's who?)
10.2 สภาพแวดล้อมของความปลอดภัย
- การรักษาความปลอดภัย คือ อ้างการป้องกันปัญหาทั้งหมด แต่การป้องกัน จะอ้างถึงกลไกเฉพาะด้านของโปรแกรมระบบที่ใช้ป้องกันข้อมูล สำหรับการรักษาความปลอดภัย (Security) มีประเด็นอยู่ 3 ด้านคือ
1. ภัยคุกคาม (Threat)
1.1 นำความลับไปเปิดเผย (Data confidentiality)
1.2 เปลี่ยนแปลงข้อมูล (Data integrity)
1.3 ทำให้หยุดบริการ (System availability)
2. ผู้ประสงค์ร้าย (Intruder)
2.1 พวกชอบสอดรู้สอดเห็น
2.2 พวกชอบทดลอง
2.3 พวกพยายามหารายได้ให้ตนเอง
2.4 พวกจารกรรมข้อมูล
3. ข้อมูลสูญหายโดยเหตุสุดวิสัย (Accidental data loss)
3.1 ปรากฎการณ์ทางธรรมชาติ
3.2 hardware หรือ software ทำงานผิดพลาด
3.3 ความผิดพลาดของมนุษย์
10.3 ภัยคุกคาม (Threats)
- ภัยคุกคาม หรือการสร้างความเสียหายในระบบคอมพิวเตอร์ มี 3 ประการคือ นำความลับไปเปิดเผย(Data confidentiality) เปลี่ยนแปลงข้อมูล(Data integrity) และทำให้หยุดบริการ(System availability) เปรียบเทียบเป้าหมายการป้องกัน และการสร้างความเสียหายมาเปรียบเทียบได้ดังนี้
เป้าหมายของการป้องกัน เป้าหมายการคุกคาม หรือสร้างความเสียหาย รักษาความลับ นำความลับไปเปิดเผย(Data confidentiality) รักษาความสมบูรณ์ เปลี่ยนแปลงข้อมูล(Data integrity) พร้อมใช้ตลอดเวลา ทำให้หยุดบริการ(System availability)
แอดแวร์ (Adware) - โปรแกรมสนับสนุนโฆษณา (Advertising Supported Software) เกิดจากบริษัทต่าง ๆ จะพยายามโฆษณาสินค้าของตน จึงแอบติดตั้งโปรแกรมในเครื่องของผู้ใช้ให้แสดงป้ายโฆษณา เพื่อชวนผู้ใช้ไปซื้อสินค้าเหล่านั้น
สปายแวร์ (Sypware) - เป็นซอฟต์แวร์ที่เขียนมาเพื่อส่งข้อมูลส่วนบุคคลของคุณไปยังคน หรือสิ่งที่ได้กำหนดไว้ ลักษณะจะคล้ายกับ Cookies แต่ว่า spyware นี้จะเป็น third-party cookies ปกติแล้ว Cookies นั้นจะเป็นเครื่องมือที่อำนวยความสะดวกให้กับผู้ใช้งานอินเทอร์เน็ตหรือโปรแกรมบางอย่าง เช่นเมื่อใช้อินเทอร์เน็ต และเข้าเว็บที่คุณได้ติดตั้ง Cookies ไว้จะแสดงผลได้อย่างรวดเร็ว หรือจะช่วยจำค่าที่คุณได้ปรับแต่งโปรแกรมเอาไว้ และ ในบาง Cookies จะส่งผลการใช้งานโปรแกรมกลับไปยังผู้พัฒนาเพื่อดูผลการใช้งานจะได้นำมาปรับปรุงต่อไป แต่ว่า spyware จะเป็น Cookies ที่แอบแฝงเข้ามา โดยที่คุณไม่รู้ตัวเพื่อวัตถุประสงค์เพื่อการโฆษณาหรือแอบนำข้อมูลส่วนตัวของคุณส่งออกไป ผู้ผลิตส่วนใหญ่จะแจ้งเรื่องการส่งการ รายงานผลกลับในระหว่างการลงโปรแกรมอยู่แล้ว ผู้ใช้งานควรอ่านเงื่อนไขให้ดีก่อนตอบตกลง
10.4 การรับรองผู้ใช้ (User authentication)
- การรักษาความปลอดภัยให้กับระบบที่สำคัญมาก คือการพิสูจน์ว่าผู้ใช้ที่กำลังใช้งานอยู่คือใคร มีสิทธิ์เข้าใช้ระบบเพียงใด โดยผ่านการ login เข้าสู่ระบบ ซึ่งคอมพิวเตอร์ในยุคแรก ๆ ไม่ระบบนี้ สำหรับการรับรองสิทธิ์นั้นมี 4 วิธีในการรับรองสิทธิ์ คือ
1. รหัสผ่าน (ความจำ ให้แทนกันได้)
2. ตอบคำถามให้ถูกต้อง (ความจำ ให้แทนกันได้)
3. กุญแจ หรือบัตรผ่าน (วัตถุ ให้แทนกันได้)
4. ลายนิ้วมือ ม่านตา หรือลายเซ็นต์ (ลักษณะเฉพาะ ให้แทนกันไม่ได้) - การพิสูจน์ตัวตน คือขั้นตอนการยืนยันความถูกต้องของหลักฐาน (Identity) ที่แสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ในทางปฏิบัติจะแบ่งออกเป็น 2 ขั้นตอน คือ
- การระบุตัวตน (Identification) คือขั้นตอนที่ผู้ใช้แสดงหลักฐานว่าตนเองคือใครเช่น ชื่อผู้ใช้ (username)
- การพิสูจน์ตัวตน (Authentication) คือขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง
- [img]http://www.thaicert.nectec.or.th/paper/authen/authentication_guide/authentication.png[/img]
10.5 การเข้ารหัส (Encryption)
- ปัจจุบันระบบเครือข่ายเชื่อมต่อกันไปทั่วโลก ข้อมูลที่อยู่ในคอมพิวเตอร์มีความสำคัญที่จะต้องปกป้อง จึงมีเทคนิคการเข้ารหัสข้อมูล เพื่อป้องกันการอ่านข้อมูล สำหรับกลไกพื้นฐานในการเข้ารหัสข้อมูลคือ
1. ข้อมูลถูกเข้ารหัส (encode) จากข้อมูลธรรมดา (Plain text) ให้อยู่ในรูปที่อ่านไม่ออก(Cipher text)
2. ข้อมูลที่ถูกเข้ารหัสแล้ว (Cipher text) ถูกส่งไปในอินเทอร์เน็ต
3. ผู้รับข้อมูลทำการถอดรหัส (Decode) ให้กลับมาเป็นข้อมูลธรรมดา (Plain text) - สำหรับการเข้ารหัสที่นิยมกันมี 2 วิธีคือการใช้ Secret-key encryption เป็นการเข้ารหัสที่รู้กันระหว่าคอมพิวเตอร์ 2 เครื่อง หรือผู้ใช้ 2 คน ส่วน Public-key encryption เป็นการเข้ารหัสที่มี key 2 ส่วนคือ public key และ private key เช่นระบบ SSL ที่นิยมใช้กันในปัจจุบัน
Secure Sockets Layer (SSL) คืออะไร - Secure Sockets Layer (SSL) คือ โปรโตคอลความปลอดภัย ที่ถูกใช้เป็นมาตรฐาน ในการเพิ่มความปลอดภัย ในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ในปัจจุบันเทคโนโลยี SSL ได้ถูกทำการติดตั้งลงบนบราวเซอร์ อาทิ IE, Netscape และอื่นๆมากมายอยู่เรียบร้อยแล้ว
- โปรโตคอล SSL จะใช้ Digital Certificate ในการสร้างท่อสื่อสาร ที่มีความปลอดภัยสูง สำหรับตรวจสอบ และเข้ารหัสลับการติดต่อสื่อสารระหว่าง client และ server หน้าที่ของ SSL จะแบ่งออกเป็น 3 ส่วนใหญ่ๆคือ
- 1. การตรวจสอบ server ว่าเป็นตัวจริง ตัวโปรแกรม client ที่มีขีดความสามารถในการสื่อสารแบบ SSL จะสามารถตรวจสอบเครื่อง server ที่ตนกำลังจะไปเชื่อมต่อได้ว่า server นั้นเป็น server ตัวจริงหรือไม่ หน้าที่นี้ของ SSL เป็นหน้าที่ที่สำคัญ โดยเฉพาะอย่างยิ่งในกรณีที่ client ต้องการที่จะส่งข้อมูลที่เป็นความลับ (เช่น หมายเลข credit card) ให้กับ server ซึ่ง client จะต้องตรวจสอบก่อนว่า server เป็นตัวจริงหรือไม่
- 2. การตรวจสอบว่า client เป็นตัวจริง server ที่มีขีดความสามารถในการสื่อสารแบบ SSL จะตรวจสอบ client หรือผู้ใช้ว่าเป็นตัวจริงหรือไม่ หน้าที่นี้ของ SSL จะมีประโยชน์ในกรณีเช่น ธนาคารต้องการที่จะส่งข้อมูลลับทางการเงินให้แก่ลูกค้าของตนผ่านทางเครือข่าย Internet (server ก็จะต้องตรวจสอบ client ก่อนว่าเป็น client นั้นจริง)
- 3. การเข้ารหัสลับการเชื่อมต่อ ในกรณีนี้ ข้อมูลทั้งหมดที่ถูกส่งระหว่าง client และ server จะถูกเข้ารหัสลับ โดยโปรแกรมที่ส่งข้อมูลเป็นผู้เข้ารหัสและโปรแกรมที่รับข้อมูลเป็นผู้ถอดรหัส (โดยใช้วิธี public key) นอกจากการเข้ารหัสลับในลักษณะนี้แล้ว SSL ยังสามารถปกป้องความถูกต้องสมบูรณ์ของข้อมูลได้อีกด้วย กล่าวคือ ตัวโปรแกรมรับข้อมูลจะทราบได้หากข้อมูลถูกเปลี่ยนแปลงไปในขณะกำลังเดินทางจากผู้ส่งไปยังผู้รับ
10.6 ปฏิบัติการฝึกป้องกัน และรักษา
- - ฝึกส่งข้อมูลระหว่างคอมพิวเตอร์ เช่น email หรือ telnet หรือ secure sheel
- ฝึกตรวจสอบบริการของ server เช่น scan port, nmap เป็นต้น
- ฝึกลับลอบข้อมูลที่ไม่มีการเข้ารหัส และหาทางป้องกัน เช่น sniffer และตรวจสอบ log file
- ฝึกฆ่าไวรัส และ spyware
- ค้นคว้าข้อมูลเกี่ยวกับ การป้องกัน และระบบความปลอดภัย จากอินเทอร์เน็ต แล้วทำรายงาน และส่งตัวแทนนำเสนอหน้าชั้น
แนะนำเว็บไซต์ประกอบการค้นคว้าบางส่วน
+ http://www.inet.co.th/services/ssl/faq.html
+ http://www.thaicert.nectec.or.th/paper/encryption/sshl.php
+ http://www.thaicert.nectec.or.th/paper/authen/authentication_guide.php (การพิสูจน์ตัวตน)
+ http://www.thaicert.nectec.or.th/paper/spyware.php
อ้างอิง
http://www.thaiall.com/os/os10.htmhttp://www.thaigoodview.com/library/contest2551/tech04/20/wireless/n07.html
https://www.paysbuy.com/security.aspx
ไม่มีความคิดเห็น:
แสดงความคิดเห็น