SECURITY
security ?
--------------------------------------------------------------------------------------------------------------------
คือ "ยาม" ที่คอยเฝ้ามองความผิดปกติ ?
คือ Firewall กัน Hacker ?
คือ การปิดช่องโหว่ของโปรแกรมและ Service และ Port ต่างๆ ?
คือ การ Configuration Login Access เพื่อ กำหนด Permission ในการเข้าถึง ?
__________________________________________________________________
แล้ว Security คืออะไรหละ ?????
-------------------------------------------------------------------------------------------------------------------
Security แบ่งเป็น 4 ส่วน จะไม่อ้างอิงตามตำรา มันมีหลาย Level ผมจะพูดถึง Enterprise แล้วกัน เพื่อจะได้มองภาพรวมได้ แล้วที่เหลืออันไหนไม่เอาก็ตัดออกไป
1. Physical Security
เป็น security ที่เกี่ยวข้องกับตัว server และห้อง หรือ data center โดยตรง
จุดนี้ จะแบ่งเป็นหลาย level เป็นการป้องกันไม่ไห้ผู้ประสงค์ดีเข้ามาทำมิดีมิร้ายกับเครื่อง server หรือ local !!! เข้าคุกไม่รู้ตัว !!!
ลักษณะการ hack ในจุดนี้ มีได้หลายแบบแยบยล หากไม่มีการป้องกันที่ดี
2. Local Network Security
Security ในจุดนี้ เป็นจุดที weak มากๆ อีกจุดหนึ่ง เนื่องจากเป็น LAN วงใน ที่ IT ส่วนใหญ่จะละเลย ส่วนหนึ่ง อาจจะมาจาก
การต้องการความสบายของผู้บริหารด้วย โดยไม่คำนึงถึงผลกระทบที่ตามมา ซึ่งเป็นผลร้ายแรง แม้ว่าจะปลอดภัยในระดับหนึ่ง
เพราะมีแค่ภายในเท่านั้นที่ access ได้ แต่หากมี hacker สามารถ plug เข้าระบบนี้ได้ ทุกอย่างก็จบ
3. Internet Security
ในจุดนี้ นับว่าแข็งแกร่งพอควร เพราะแน่นอน ว่าคุณต้องมี firewall แต่หากมองกลับกัน มันก็เป็นจุด weak มากๆ อีกจุดหนึ่ง
หากคุณไม่ระวังให้ดี เพราะนั่นหมายถึงว่า คนทั่วโลกจะมองเห็นคุณจาก public IP หรือ domain name แม้จะมี firewall
คอยป้องกันไห้อุ่นใจ แต่ก็ใช่ว่า จะ hack ได้ยากมากมาย หากคุณมีช่องโหว่บน port ที่เปิดออกไป
4. Coperate Security Policy
ตรงนี้ไม่ค่อยมีคนพูดถึง น้อยคนที่จะคิดถึงจุดนี้ หรืออาจจะคิด แต่ทำไม่ได้ เนื่องด้วยติดปัญหาหลายอย่างนการดำเนินงาน
เพราะจุดนี้ต้องได้รับความยินยอมจากผู้บริหารระดับสูงก่อนจึงจะสามารถทำได้ ทำไห้จุดนี้ เป็นจุดด้วยมากที่สุด ขององค์กรณ์ที่
มีระบบแข็งแกร่ง
__________________________________________________________________
แล้วเราจะป้องกันได้เช่นไร ? ในเบื้องต้น
-------------------------------------------------------------------------------------------------------------------
1. Physical Security
การป้องกันเบื้องต้นสำหรับ physical security ทำได้โดย
- สร้างห้องส่วนตัวที่แน่นหนาให้ server
- สร้าง policy การใช้งานห้อง server
- สร้าง console แยกไว้นอกห้อง server
- มี operator นัง stand by หน้าห้อง server ตลอด 24 ชม พร้อมกล้องวงจรปิดทุกจุด
- ทำการลงทะเบียนการใช้งานห้อง server ทุกครั้ง พร้อมบันทึกรายละเอียดการทำงานและเวลา
- กำหนด Level ของผู้ใช้งาน
- ติดตั้งการ access เข้าห้องด้วย เครื่องรูดบัตร หรือ Smart Card , Fingle Print และอื่นๆ ยิ่งหลายชั้นก็จะปลอดภัยขึ้นในระดับนึง
ระหว่างความยุ่งยาก และสิ้นเปลือง องค์กรจะยอมลงทุนหรือไม่เพื่อความปลอดภัย สิ่งนี้องค์สามารถ คิดและตัดสินได้
สำหรับมาตรการเบื้องตน ยังมีอีกมากมาย สามารถปรับเปลี่ยนได้ตามแต่ความเหมาะสมของแต่ละหน่วยงาน
2. Local Network Security
สำหรับจุดนี้ หาก hacker สามารถเข้ามาในวงภายในได้ ไม่ว่าจะเป้น Wire หรือ Wireless ก็ตาม การ Hack นั้นสามารถทำได้ง่ายมากๆ
เพราะส่วนใหญ่จะไม่มี IPS และ firewall ป้องกัน
การป้องกันเบื้องต้นสำหรับ Local Network security ทำได้โดย
- ทำการ Design Infra ไห้เหมาะสม และมีการแบ่งแยกตาม Business Model หรือโครงสร้างองค์กรณ์
- วางแผนสิทธิ์การใช้งานในส่วนข้อมูลต่างๆ ให้กลุ่ม แผนก หรือบุคคลตามความเหมาะสม
- แบ่ง VLAN และทำ ACL ตาม Infra ที่ Design ตามข้อ 1
- Update Pactch และ hotfix ให้ไหม่เสมอทั้ง Server และ Client
- ไม่ลงโปรแกรม หรือเปิด service อื่นที่ไม่จำเป็นในการใช้งาน ทำการ Config สิทธิ์ไห้รัดกุม
- ตรวจสอบ และ hardening server อย่างสม่ำเสมอ
- ติดตั้ง IPS / IDS / Firewall ในทุกจุดที่จำเป็น
- พัฒนาระบบ Log Management เพื่อง่ายต่อการติดตาม
- ทำทะเบียนเครื่องและผู้ใช้งาน รวมถึงเวลาใช้งาน
- ตั้ง Password ในทุกอุปกรณ์ และการใช้งาน เท่าที่เป็นไปได้ และการตั้ง Password ควรตั้งไม่ให้ตรงตาม Dictionary และควรตั้งมากกว่า 8 ตัวอักษรขึ้นไป
อย่างท่านตั้ง 1234 ไม่เกิน 1 นาทีครับ Hacker ทุลุ Server ท่านทันที เนื่องจาก มันเครื่องมือมากมายที่ช่วยในสมัยนี้ (ไม่รู้ 1 นาที เว่อไปหรือป่าวแหะๆแต่ที่เคยลองยังไม่ถึงนาทีหนะครับ
แต่ ประมาณว่าตั้งด้วยตัวเลขนะครับ 1234, 0987 อะไรประมาณนี้หนะครับ)
สำหรับมาตรการเบื้องตน ยังมีอีกมากมาย สามารถปรับเปลี่ยนได้ตามแต่ความเหมาะสมของแต่ละหน่วยงาน
3. Internet Security
การป้องกันเบื้องต้นสำหรับ Internet Security ทำได้โดย
- ติดตั้ง server ที่ไห้บริการผ่าน internet ไว้หลัง firewall และ IPS
- ทำ ACL และติด IPS ไว้ระหว่าง DMZ และ Server Farm หากเป็นไปได้ ไม่ควร Link ถึงกัน
- ติดตั้ง Patch / Hotfix และ Hardening อย่างสม่ำเสมอ
- ทำการตรวจสอบช่องโหว่ของ Application และแก้ใข Bug ที่มี
- ทำการ Config สิทธิ์ให้รัดกุม
- ทำ Certificate ในส่วนที่ต้องการจำกัดสิทธิ์ของผู้ใช้งานและระบุตัวตน
- หากเป็นไปได้ ลงเพียง server core 2008
สำหรับมาตรการเบื้องตน ยังมีอีกมากมาย สามารถปรับเปลี่ยนได้ตามแต่ความเหมาะสมของแต่ละหน่วยงาน
4. Coperate Security Policy
การออกแบบเบื้องต้นสำหรับ Coperate Security Polic ทำได้โดย
- วางแผนสิทธิ์การใช้งานในส่วนข้อมูลต่างๆ ให้กลุ่ม แผนก หรือบุคคลตามความเหมาะสม
- update patch / hotfix อย่างสม่ำเสมอบนเครือ่ง Client
- จำกัดสิทธิ์การใช้งาน บนเครื่อง Server
- จำกัดสิทธิ์การใช้งาน บนเครื่อง Client ด้วย GPL
- กำหนดสิทธิ์ในการใช้อุปกรณ์เชื่อมต่อตามความจำเป็น
- จำกัดสิทธิ์ในการนำอุปกรณ์อื่นๆเข้ามาในสำนักงาน
- กำหนดข้อมูลทุกอย่างอยู่บน Server เท่านั้น
- กำหนดการเชื่อมต่อจากภายนอก ต้องมีความปลอดภัยและไม่มีการเก็บข้อมูล Password ไว้ที่เครื่อง Client ซึ่ง
อาจใช้ Terminal service หรือ SSL VPN ก็ได้
- จำกัดสิทธิ์การใช้งานและการลง Application บนเครื่อง ไม่ไห้ลง Application นอกเหนือจากการใช้งาน หรือไห้มีเพียงเฉพาะ Windows
นอกนั้นใช้งานบน Terminal Service Application Provider ก็ได้
- กำหนดการเชื่อมต่อจากภายนอก จะต้องมี Certificate ยืนยันตัวตน
สำหรับมาตรการเบื้องตน ยังมีอีกมากมาย สามารถปรับเปลี่ยนได้ตามแต่ความเหมาะสมของแต่ละหน่วยงาน
__________________________________________________________________
**คำเต็ม เพื่อนำเทียบกับตัวย่อในบทความ**
-------------------------------------------------------------------------------------------------------------------
Intrusion Detection System (IDS)
Intrusion Prevention System (IPS)
IDS และ IPS คือ ระบบการตรวจสอบและป้องกันการบุกรุกก็ว่าได้นะครับซึ่งโดยปกติแล้วจะแบ่งออกเป็น 2 แบบด้วยกันครับคือ Host-Based และ Network Based System
Host-Based : ก็คือระบบการตรวจสอบการบุกรุกที่อยู่ในเครื่องคอมพิวเตอร์แต่ละเครื่องยังไงหละครับ โดยหลักการแล้วก็จะมี Program เล็กๆ หรือที่เค้าเรียกว่า Agent
เป็นตัวที่คอยตรวจสอบและเฝ้ามองข้อมูลต่างๆ ที่วิ่งเข้าวิ่งออกบนตัวคอมพิวเตอร์ที่ติดตั้ง agent ตัวดังกล่าวนี้
Network-Based System : ก็จะเป็นอีกระบบที่ใหญ่ขึ้นมาจากระบบ Host-Based นั่นเอง เพราะจะมีการวางอุปกรณ์เซ็นเซอร์ที่ใช้คอยตรวจสอบ Package
ที่วิ่งอยู่บนระบบเครือข่ายและประมวลผล package ต่อ package กันไปเลยก็ว่าได้ โดยเซ็นเซอร์ดังกล่าวจะถูกวางไว้ในจุดที่ต้องการทำการตรวจสอบโดยอาจจะเชื่อมต่อเข้าไปยัง
hub หรือ switch ซึ่งอาจจำเป็นที่จะต้องเปิดฟังก์ชั่น Port mirroring หรือ Network tap
ดังนั้นในปัจจุบันนี้ ระบบ IDS ที่ขายตามท้องตลาดจึงได้ผนวกวิธีการทั้งสองเข้าด้วยกันเพื่อเสริมความแข็งแกร่งนั่นเอง
ส่วนไอ้เจ้า IPS ก็ไม่มีอะไรมากไปกว่า IDS ซักเท่าไหร่หรอกครับ ให้คิดง่ายๆ นะครับว่า IDS คือระบบตรวจสอบส่วน IPS คือระบบตรวจสอบและป้องกันนั่นเองครับ
ก็คือเมื่อรู้แล้วว่านี้คือการโจมตีหรือการมุ่งร้ายก็จะตัดการทำงานหรือการเชื่อมต่อโดยทันทีนั่นเองครับ ซึ่งโดยส่วนใหญ่แล้ว IPS ก็คือ Firewall + IDS System
นั่นแหละครับ ไม่ต้องคิดมาก
|
Virtual LAN (VLAN)
VLAN ย่อมาจาก Virtual LAN เป็นเทคโนโลยีที่ใช้ในการจำลองสร้างเครือข่าย LAN แต่ไม่ขึ้นอยู่กับการต่อทางกายภาพเช่น สวิตช์หนึ่งตัวสามารถใช้จำลองเครือข่าย LAN ได้ห้าเครือข่าย หรือสามารถใช้สวิตช์สามตัวจำลองเครือข่าย LAN เพียงหนึ่งเครือข่าย เป็นต้น
ในการสร้าง VLAN โดยใช้อุปกรณ์เครือข่ายหลายตัว จะมีพอร์ตที่ทำหน้าที่เชื่อมต่อระหว่างอุปกรณ์เครือข่ายแต่ละตัว เรียก Trunk port ซึ่งเสมือนมีท่อเชื่อม หรือ Trunk เป็นตัวเชื่อมด้วย
เนื่องจาก VLAN เป็น LAN แบบจำลอง ถึงแม้ว่าจะต่อทางกายภาพอยู่บนอุปกรณ์เครือข่ายตัวเดียวกัน แต่การติดต่อกันนั้นจำเป็นต้องใช้อุปกรณ์ที่มีความสามารถในการค้นหาเส้นทาง เช่น เราเตอร์ หรือสวิตช์เลเยอร์สาม
ลักษณะพิเศษของ VLAN ทั่วๆ ไปคือ
1. VLAN แต่ละเครือข่ายที่ติดต่อกันนั้น จะมีลักษณะเหมือนกับต่อแยกกันด้วยบริดจ์
2. VLAN สามารถต่อข้ามสวิตช์หลายตัวได้
3. ท่อเชื่อม (Trunks) ต่างๆ จะรองรับทราฟฟิกที่คับคั่งของแต่ละ VLAN ได้
|
Secure Socket Layer (SSL) Secure Sockets Layer (SSL) คือ โปรโตคอลความปลอดภัย ที่ถูกใช้เป็นมาตรฐาน ในการเพิ่มความปลอดภัย ในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต
ในปัจจุบันเทคโนโลยี SSL ได้ถูกทำการติดตั้งลงบนบราวเซอร์ อาทิ IE, Netscape และอื่นๆมากมายอยู่เรียบร้อยแล้ว โปรโตคอล SSL จะใช้ Digital Certificate
ในการสร้างท่อสื่อสาร ที่มีความปลอดภัยสูง สำหรับตรวจสอบ และเข้ารหัสลับการติดต่อสื่อสารระหว่าง client และ server หน้าที่ของ SSL จะแบ่งออกเป็น 3 ส่วนใหญ่ๆคือ
1. การตรวจสอบ Server ว่าเป็นตัวจริง ตัวโปรแกรม Client ที่มีขีดความสามารถในการสื่อสารแบบ SSL จะสามารถตรวจสอบเครื่อง Server ที่ตนกำลังจะไปเชื่อมต่อได้ว่า
Server นั้นเป็น Server ตัวจริงหรือไม่ หน้าที่นี้ของ SSL เป็นหน้าที่ที่สำคัญ โดยเฉพาะอย่างยิ่งในกรณีที่ Client ต้องการที่จะส่งข้อมูลที่เป็นความลับ (เช่น หมายเลข Credit Card)
ให้กับ server ซึ่ง Client จะต้องตรวจสอบก่อนว่า Server เป็นตัวจริงหรือไม่ 2. การตรวจสอบว่า Client เป็นตัวจริง Server ที่มีขีดความสามารถในการสื่อสารแบบ SSL จะตรวจสอบ Client หรือผู้ใช้ว่าเป็นตัวจริงหรือไม่ หน้าที่นี้ของ SSL จะมีประโยชน์ในกรณีเช่น
ธนาคารต้องการที่จะส่งข้อมูลลับทางการเงินให้แก่ลูกค้าของตนผ่านทางเครือข่าย Internet (Server ก็จะต้องตรวจสอบ Client ก่อนว่าเป็น Client นั้นจริง) 3. การเข้ารหัสลับการเชื่อมต่อ ในกรณีนี้ ข้อมูลทั้งหมดที่ถูกส่งระหว่าง Client และ Server จะถูกเข้ารหัสลับ โดยโปรแกรมที่ส่งข้อมูลเป็นผู้เข้ารหัสและโปรแกรมที่รับข้อมูลเป็นผู้ถอดรหัส
(โดยใช้วิธี Public Key) นอกจากการเข้ารหัสลับในลักษณะนี้แล้ว SSL ยังสามารถปกป้องความถูกต้องสมบูรณ์ของข้อมูลได้อีกด้วย กล่าวคือ ตัวโปรแกรมรับข้อมูลจะทราบได้หากข้อมูล
ถูกเปลี่ยนแปลงไปในขณะกำลังเดินทางจากผู้ส่งไปยังผู้รับ |
Virtual Private Network (VPN)
Virtual Private Network เป็นเทคโนโลยีการเชื่อมต่อเครือข่ายนอกอาคาร (WAN - Wide Area Netwok) ที่กำลังเป็นที่น่าสนใจและเริ่มนำไปใช้ในหน่วยงานที่มีหลายสาขา หรือ
มีสำนักงานกระจัดกระจายอยู่ในหลายภูมิภาค ในระบบ VPN การเชื่อมต่อระหว่างสำนักงานโดยใช้เครือข่าย อินเตอร์เนต แทนการต่อเชื่อมด้วย Leased line หรือ Frame Relay |
I LIKE DOTNET
DOTNET Never DIe`