Post on 20-May-2020
887130 Platform TechnologyAsst. Prof. Patcharin Buayen
แนวคดเบองตนของระบบรกษาความปลอดภย การโจมตระบบคอมพวเตอร ระบบรกษาความปลอดภย
ระบบรกษาความปลอดภยในระบบคอมพวเตอร
1
2
แนวคดเบองตนของระบบรกษาความปลอดภย
การปองกนและรกษาระบบของระบบปฏบตการ
มการแบงสวนของระบบปฏบตการเปนล าดบชนเปนการปองกนไมใหผใชเขามาควบคมการท างานของระบบปฏบตการ มระบบการปองกนระบบจากการท างานผดพลาดของงานทก าลงประมวลผลอย มระบบการรกษาระบบทเนองมาจากการท างานของระบบบางสวนผดพลาด มระบบการรกษางานทท างานอยเมอเกดเหตการณจากภายนอก เชน ไฟฟาตก มระบบการกคนไฟลระบบเมอระบบปฏบตการพบวา มการท างานของระบบทผดปกต มระบบการรกษาความปลอดภยของผใช ทเรยกวา User Account โดยมการปองกนดวยรหสผาน
3
แนวคดเบองตนของระบบรกษาความปลอดภย
การปองกนและรกษาระบบของระบบปฏบตการ
มการแบงสวนของระบบปฏบตการเปนล าดบชนเปนการปองกนไมใหผใชเขามาควบคมการท างานของระบบปฏบตการ มระบบการปองกนระบบจากการท างานผดพลาดของงานทก าลงประมวลผลอย มระบบการรกษาระบบทเนองมาจากการท างานของระบบบางสวนผดพลาด มระบบการรกษางานทท างานอยเมอเกดเหตการณจากภายนอก เชน ไฟฟาตก มระบบการกคนไฟลระบบเมอระบบปฏบตการพบวา มการท างานของระบบทผดปกต
4
แนวคดเบองตนของระบบรกษาความปลอดภย
มาตรการในการรกษาความปลอดภย
การรกษาความปลอดภยดานขอมล(Information Assurance)
การรกษาความปลอดภยดานผใช
การรกษาความลบ(Confidentiality)
การรกษาความถกตอง(Integrity)
ความพรอมใชของขอมล(Availability)
การระบอ านาจหนาท(Authorization)
การระบตวบคคล(Authentication)
การปฏเสธความรบผดชอบ(Non-Repudiation)
มาตรการในการรกษาความ
ปลอดภย
5
แนวคดเบองตนของระบบรกษาความปลอดภย
การรกษาความลบ (Confidentiality) เปนการปองกนไมใหบคคลอนทไมเกยวของรขอมลส าคญ เครองมอทใชคอ การเขารหสขอมล (Data Encryption)
การรกษาความถกตอง (Integrity) เปนการปองกนไมใหขอมลทสงมาจากผสงถกเปลยนแปลงหรอแกไขจากผประสงคราย เครองมอทใชคอ ลายเซนดจตอล (Digital Signature)
ความพรอมใชของขอมล (Availability) เปนการสรางความมนใจใหกบผใชวา สามารถเขาถงขอมลของเวบและใชบรการไดจรง โดยระดบการเขาถงขอมล จะขนอยกบสทธในการใชงานของผใชแตละคน
แนวคดเบองตนของระบบรกษาความปลอดภย
การระบอ านาจหนาท (Authorization) เปนการควบคมการเขาถงขอมล (Access) ของแตละบคคลตามอ านาจและสทธการใช เครองมอทใช คอ การก าหนดรหสผาน การใช Firewall และ Biometrics
การระบตวบคคล (Authentication) เปนการพสจนตวตนของผสงขอมล และปองกนการแอบอางของผอน เครองมอทใชคอ การก าหนดรหสผาน ลายเซนดจตอล (Digital Signature) และ Biometrics
การปฏเสธความรบผดชอบ (Non-repudiation) เปนการปองกนการปฏเสธการรบ-สงขอมลหรอการท าธรกรรมตางๆ เครองมอทใช คอ ลายเซนดจตอล การบนทกเวลา และการออกใบรบประกนสนคา
6
การโจมตระบบคอมพวเตอร
ประเภทของผโจมต (Attacker)
7
1. แฮกเกอร (Hackers) สามารถเจาะระบบเพออานขอมลหรอขโมยขอมลส าคญและโจมตระบบคอมพวเตอรขององคกรอน เปนผเชยวชาญดานระบบเครอขาย และการใชงานคอมพวเตอร
2. อาชญากรทางคอมพวเตอร (Computer Criminals) เปนการขโมยขอมลทความลบเพอไปใชในการซอสนคา หรอน าไปขายใหกบองคกรคแขง
3. ผกอการรายทางคอมพวเตอร (Computer Terrorists) เปนการใชประโยชนจากระบบเครอขายเปนเครองมอในการกอการราย
4. พนกงานหรอลกจางในองคกร เปนบคคลภายในองคกรทมความรดานเครอขายเปนอยางด แตตองการท าทจรต หรอไม
พอใจในองคกร จงสรางความเสยหายใหระบบ ซงรายแรงกวาการโจมตจากบคคลภายนอก
การโจมตระบบคอมพวเตอร
8
รปแบบของการโจมต (Kind of Attack)1. การโจมต Server2. การโจมต Client3. การดกจบ Packet หรอ Packet Sniffer4. การโจมตแบบ Denial-of-Service Attacks (DoS)
การโจมตโดยสง Message หรอ Packet จ านวนมากไปยง Server จนไมสามารถใหบรการแก Client ได การโจมตโดยสง Message หรอ Packet เดยว ส าหรบท าลายระบบของ Server
Message/Packet Message/Packet Message/Packet
การโจมตระบบคอมพวเตอร การโจมตแบบ Distributed Denial-of-Service Attacks (DDoS)
- รนแรงกวา “การโจมต Server” และ “การโจมต Client”- ใชคอมพวเตอรมากกวา 1 เครองในการสง Message ไปยง Server พรอมกน ท าให
ระบบลมไดอยางรวดเรว
การโจมตระบบคอมพวเตอร
5. การโจมตจาก Virus, Worm, Trojan horse และ Spam- Virus : มลกษณะการท าลายหลายรปแบบ สามารถแพรกระจายและส าเนาตวเอง
รวมทงการกระจายไปเครองอนโดยอาศยตวกลาง- Worm : แพรกระจายในระบบเครอขาย และไมจ าเปนตองอาศยตวกลาง- Trojan horse : จะท าการซอนตวเองในโปรแกรมอน (โดยเฉพาะโปรแกรมทดาวน
โหลดจากอนเทอรเนต) มผลทงการขโมยขอมลและการท าลาย- Spam (E-Mail bombing) : มจดประสงคเพอการโฆษณาผาน E-Mail แตมการแอบ
แฝง Virus หรอ Worm หรอ เปนการสง E-Mail จ านวนมากพรอมๆ กนจนท าใหเกดปญหา Mailboxes
10
การโจมตระบบคอมพวเตอร
บตเซกเตอรไวรส (Boot sector หรอ Boot Infector Viruses)
เปนชดค าสงไวรสทฝงตวอยในบตเซกเตอรทเรยกวา Master Boot Record (MBR) ท าใหทกครงทเปดเครอง ไวรสจะท างานกอนทระบบปฏบตการจะถกโหลดเขาสหนวยความจ าหลก
11
Macro Virusเปนไวรสทกอกวนไฟลประเภทเอกสาร ไดแก
document และ spread sheet โดยจะขดขวางการท างานทเกยวกบไฟลเอกสารนนๆ อาท หยดการท างานโดยไมมสาเหต ท าใหไฟลเสยหาย หรอ ไมใหไฟลเอกสารนนๆ สงพมพได เปนตน
การโจมตระบบคอมพวเตอร
12
Program Viruses หรอ File Infector virusesเปนฝงตวไปกบไฟลโปรแกรมทมนามสกล .com,
.exe, .sys หรอ .dll ซงเปนไฟลส าหรบการประมวลผล หรอไฟลระบบ ไฟลทมค าสงของไวรสชนดนฝงอยจะมขนาดไฟลทใหญขนเมอท างาน ท าใหหนวยความจ าของเครองคอมพวเตอรไมเพยงพอส าหรบการท างาน การแพรกระจายเกดจากการทโปรแกรมทไวรสโดยประมวลผล ซงชดค าสงไวรสจะคดลอกไปไวในหนวยความจ า และเมอไฟลประมวลผลอนๆ ถกประมวลผลตอ ชดค าสงไวรสดงกลาวจะคดลอกตวเองไปเปนสวนหนงของไฟลประมวลผลอนๆ ตอไป
การโจมตระบบคอมพวเตอร
13
โพลมอรฟกไวรส (Polymorphic Viruses) เปนชอทใชเรยกไวรสทมความสามารถในการ
แปรเปลยนตวเอง ไดเมอมการสรางส าเนาตวเองเกดขน ซงอาจไดถงหลายรอยรปแบบ ผลกคอ ท าใหไวรสเหลานยากตอการถกตรวจจดโดยโปรแกรมตรวจหาไวรสทใชวธการสแกนอยางเดยว ไวรสใหม ๆ ในปจจบนทมความสามารถนเรมมจ านวนเพมมากขนเรอย ๆ
Scripts Virusesเปนไวรสทมาจากภาษาทใชในการ
เขยนโปรแกรม อาท javaScript ซงอาจจะเขยนรวมในไฟลของเวบเพจ
การโจมตระบบคอมพวเตอร
สทลตไวรส (Stealth Viruses) เปนชอเรยกไวรสทมความสามารถในการพรางตว
ตอการตรวจจบได เชน ไฟลอนเฟกเตอร ไวรสประเภททไปตดโปรแกรมใดแลวจะท าใหขนาดของโปรแกรมนนใหญขน ถาโปรแกรมไวรสนนเปนแบบสทสตไวรส จะไมสามารถตรวจดขนาดทแทจรงของโปรแกรมทเพมขนได เนองจากตวไวรสจะเขาไปควบคมดอส เมอมการใชค าสง DIR หรอโปรแกรมใดกตามเพอตรวจดขนาดของโปรแกรม ดอสกจะแสดงขนาดเหมอนเดม ทกอยางราวกบวาไมมอะไรเกดขน
14
Trap Doorประตกบดก เปนชองโหวทถกสรางโดย
โปรแกรมเมอรของระบบ เพอใหตนเองสามารถเขาสระบบไดทกเมอ
การโจมตระบบคอมพวเตอร
Wormหนอนคอมพวเตอร จะท าการคดลอกตวเองโดย
ใชทรพยากรของระบบและไมใหโปรเซสอนๆ ใชทรพยากรของระบบ ท าใหโปรเซสไมสามารถท างานได ซงการคดลอกตวเองนสามารถท าใหระบบคอมพวเตอรหรอระบบเครอขายไมสามารถท างานได
15
Trojan Horseเปนไวรสประเภท Spy ทมงลวงความลบ
ของระบบ หรอขอมลในเครองคอมพวเตอร รวมถงการท าลายระบบการท างานของคอมพวเตอร โดยชดค าสงเหลานนจะฝงมากบโปรแกรมทมกจะแจกฟรในอนเทอรเนต
ระบบรกษาความปลอดภย
16
ระบบรกษาความปลอดภยในการตดตอสอสารวตถประสงคของการรกษาความปลอดภยในการตดตอสอสาร คอ
1. เพอรกษาความปลอดภยของขอมลทสงผานระบบเครอขาย2. เพอปองกนผแอบอางสทธในการเขาถงขอมลทอยในเครอง Client และ Server
ตวอยางระบบรกษาความปลอดภย การพสจนดานชวลกษณะ (Biometrics Authentication) การเขารหส (Encryption) ลายเซนดจตอล (Digital Signature) โปรโตคอล HTTPS (Hypertext Transfer Protocol Security) SSL (Security Socket Layer)
ระบบรกษาความปลอดภย
17
การพสจนดานชวลกษณะ (Biometrics Authentication)
Voice Identification
FaceIdentification
IrisIdentification
FingerprintIdentification
ระบบรกษาความปลอดภย
18
การเขารหส (Encryption)• Symmetric Encryption (Secret key Encryption)
Plaintext PlaintextCipher text
ระบบรกษาความปลอดภย
การเขารหส (Encryption)• Assymmetric Encryption (Public key Encryption)
Cipher textPlaintext Plaintext
ระบบรกษาความปลอดภย
ลายเซนดจตอล (Digital Signature)
Receiver’s Public key
Sender’sPrivate key
Sender
ระบบรกษาความปลอดภย
Receiver’sPrivate key
Receiver
Sender’sPublic key
Match?
ระบบรกษาความปลอดภย
โปรโตคอล HTTPS (Hypertext Transfer Protocol Security)
- ชวยปองกนการถอดรหส (Decryption) เพอรกษาความลบของขอมลผใชทกรอก - แต ไมสามารถปองกนการแฝงตวของผประสงครายได
22
ระบบรกษาความปลอดภย
SSL (Secure Socket Layer)
- เปนโปรโตคอลทเพมความปลอดภยในการรบสงขอมลผานระบบเครอขาย ท าใหเราสามารถสงขอมลทเปนความลบเชน รหสผาน หรอหมายเลขบตรเครดตผานระบบเครอขายไดดวยความปลอดภย
- นอกจากผสงและผรบขอมลแลวไมมใครในระบบเครอขายสามารถดงขอมลทเปนความลบไปใชได
- ท างานท TCP/IP Layer (application layer และ transport layer) จงสามารถเรยกอกชอวา “TLS (Transport Layer Security)”
ประโยชนของการใช SSL- Authorization- Confidentiality- Authentication- Integrity
23
ระบบรกษาความปลอดภย
Client
Server
Sent/receive data (which encrypt with secret key and public key) for business.
4. Server decrypt the message with server’s private key, then it knew the secret key for receive/send data between client and server.
5. Tell the client “Knew your secret key.”
ระบบรกษาความปลอดภย
25
Firewallเปนเสมอนก าแพงหรอกองทหารปองกน
การโจมตหรอการบกรกจากนอกองคกร
Firewall ม 3 ชนด ไดแก1. Package Filter Firewall2. Application (Proxy) Firewall3. Stateful Inspection
ระบบรกษาความปลอดภยบนเครอขาย
ระบบรกษาความปลอดภย
26
1. Package Filter Firewallท าการตรวจสอบและกลนกรอง IP Package โดยเทยบคณสมบต IP Package ทเขามา
กบ Access Control Lists (ACL) หากไมตรงจะถอวาเปน Package ทมความเสยงตอระบบ จะไมอนญาตให Package นนเขาสระบบขององคกร
ระบบรกษาความปลอดภย
27
ในการพจารณาเฮดเดอร Packet Filter จะตรวจสอบในระดบของอนเตอรเนตเลเยอร (Internet Layer) และทรานสปอรตเลเยอร (Transport Layer) ในอนเตอรเนตโมเดล
ขอด - ไมขนกบแอพพลเคชน- มความเรวสง- รองรบการขยายตวไดด
ขอเสย บางโปรโตคอลไมเหมาะสมกบการใช Packet Filtering เชน FTP, ICQ
ระบบรกษาความปลอดภย
28
2. Application (Proxy) FirewallProxy หรอ Application Gateway
เปนแอพพลเคชนโปรแกรมทท างานอยบนไฟรวอลลทตงอยระหวางเนตเวรก 2 เนตเวรก ท าหนาทเพมความปลอดภยของระบบเนตเวรกโดยการควบคมการเชอมตอระหวางเนตเวรกภายในและภายนอก Proxy จะชวยเพมความปลอดภยไดมากเนองจากมการตรวจสอบขอมลถงในระดบของแอพพลเคชนเลเยอร (Application Layer)
ระบบรกษาความปลอดภย
29
เมอไคลเอนตตองการใชเซอรวสภายนอก ไคลเอนตจะท าการตดตอไปยง Proxy กอน ไคลเอนตจะเจรจา กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให เมอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ ไคลเอนตกบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะท าหนาทรบขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะท าหนาทในการตดสนใจวาจะใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม
ขอเสย- ประสทธภาพต า- แตละบรการมกจะตองการโปรเซส
ของตนเอง- สามารถขยายตวไดยาก
ขอด- มความปลอดภยสง- รจกขอมลในระดบแอพพลเคชน
ระบบรกษาความปลอดภย
30
3. Stateful InspectionStateful Inspection เปนเทคโนโลยทเพมเขาไปใน Packet Filtering โดยการพจารณา
วาจะยอมใหแพกเกตผานไปนน แทนทจะดขอมลจากเฮดเดอรเพยงอยางเดยว StatefulInspection จะน าเอาสวนขอมลของแพกเกต (message content) และขอมลทไดจากแพกเกตกอนหนานทไดท าการบนทกเอาไว น ามาพจารณาดวย จงท าใหสามารถระบไดวาแพกเกตใดเปนแพกเกตทตดตอเขามาใหม หรอวาเปนสวนหนงของการเชอมตอทมอยแลว
ขอเสย- ประสทธภาพต า- แตละบรการมกจะตองการโปรเซส
ของตนเอง- สามารถขยายตวไดยาก
ขอด- สามารถเพมบรการอนๆได- การก าหนด Access Ruleท าไดงาย- สามารถท า IDS เพอปองกนการโจมตได- มความสามารถในการท า Authentication- ใชงานงาย เพราะถกออกแบบมาท าหนาท Firewall โดยเฉพาะ- ประสทธภาพสง เพราะถกออกแบบมาท าหนาท Firewall โดยเฉพาะ- การสอสารระหวาง Firewall กบ Administration Console มความปลอดภยสง
ระบบรกษาความปลอดภย
31
Intrusion Detection System (IDS)คอ software หรอ hardware ทไดรบการออกแบบมาเพอใหตรวจสอบการเชอมตอท
ไมพงประสงค หรอความพยายามทจะเขามาท าอนตรายตอเครอขาย โดยผานระบบตางๆเชน Internet, Lan เปนตน โดยการโจมตนนอาจจะเกดจาก cracker, Worm หรอ Malware ตางๆ
องคประกอบของ IDS ไดแก1. Sensor คอสวนทจะสรางเหตการณทเกยวกบความปลอดภยขนมา2. Console คอสวนทจะตรวจจบเหตการณตาง, แจงเตอน รวมไปถงการควบคม Sensor3. Engine คอสวนทจะบนทกเหตการณจาก sensor ลงในฐานขอมลและจะแจงเตอนตามกฎทก าหนดใน IDS
ขอจ ากด คอไมสามารถทจะตรวจสอบ Packet ทเขารหสได
ระบบรกษาความปลอดภย
32
วธการปองกนเครองในองคกร1. ปดชองโหวของระบบปฏบตการดวยการ Update software2. ตดตง Firewall ใหกบคอมพวเตอรทกเครองในองคกร3. มการท า Authentication กอนเขาใช Server4. มการก าหนดสทธในการเขาใช Server