Please enable JavaScript.
Coggle requires JavaScript to display documents.
ความมั่นคงของระบบสารสนเทศ น.ส.พัณณิตา คชกาญจน์ รหัส 5802210035 (บทที่ 4 …
ความมั่นคงของระบบสารสนเทศ
น.ส.พัณณิตา คชกาญจน์
รหัส 5802210035
บทที่ 4
การควบคุมการเข้าถึง
( Access Control )
การควบคุมการเข้าถึง (Access Control)
การควบคุมการเข้าถึง (Access Control) หมายถึง การทำให้มั่นใจว่าทรัพยากรต่างๆ ของระบบจะได้รับอนุญาตให้ถูกใช้โดยผู้ที่มีสิทธิ์เท่านั้น ซึ่งต้องอาศัยเทคโนโลยีต่างๆ เป็นกลไกการทำงาน ประกอบด้วย 4 กลไก ได้แก่
:red_flag:
การระบุตัวตน (Identification) เป็นกลไกที่ได้จัดเตรียมสารสนเทศของบุคคลที่จะเข้าใช้ระบบ เรียกว่า Identifier ซึ่งผู้ใช้แต่ละคนจะต้องมีค่าไม่ซ้ำกัน ใช้ร่วมกับกลไกการพิสูจน์ทราบตัวตน
การพิสูจน์ทราบตัวตน (Authentication) เป็นกลไกการตรวจสอบว่าผู้ใช้เป็นใคร และเป็นผู้ที่ได้รับอนุญาติหรือไม่ โดยพิจารณาจาก Identifier ของผู้ใช้
การกำหนดสิทธิ์ (Authorization) เป็นกลไกการอนุญาตหรือให้สิทธิในการเข้าถึงระบบและเข้าใช้ข้อมูลของผู้ใช้ที่ผ่านการพิสูจน์ทราบตัวตนมาแล้ว โดยพิจารณาว่าผู้ใช้แต่ละคนได้รับอนุญาตในระดับใด และใช้ข้อมูลส่วนใดได้บ้าง
การจัดทำประวัติการเข้าใช้ระบบ (Accountability) เป็นส่วนที่ใช้บันทึกการเข้าใช้ระบบของผู้ใช้ (System Logs) เพื่อจัดทำเป็นหลักฐานการตรวจสอบ (Audit Trail) เพื่อติดตามพฤติกรรมที่น่าสงสัยได้
การพิสูจน์ทราบตัวตน (Authentication)
หมายถึง กระบวนการยืนยันความถูกต้องของตัวบุคคล โดยพิสูจน์ความถูกต้องของตัวบุคคล อาศัยสิ่งที่เป็น Identifier ของบุคคล เป็นหลักฐานในการระบุตัวตนก่อนที่จะดำเนินการตรวจสอบความถูกต้องของตัวบุคคล
:red_flag:
สิ่งที่ใช้สำหรับการพิสูจน์ทราบตัวตน
การพิสูจน์ทราบตัวตนจำเป็นต้องแสดงหลักฐานบางอย่างเพื่อพิสูจน์ว่าคือใคร หลักฐานนั้นสามารถแบ่งได้ 3 ลักษณะคือ
สิ่งที่คุณรู้ (What you know) เช่น รหัสผ่าน (Passwords) หรือพิน (PIN)
รหัสผ่าน (Password)
คือ คำหรือกลุ่มของตัวอักษรที่มีเพียงผู้ใช้คนเดียวเท่านั้นที่ทราบ ซึ่งกลไกการพิสูจน์ทราบตัวตนแบบนี้จะมีความเสี่ยงต่อการถูกโจมตีมากที่สุด จึงนิยมกำหนดรหัสผ่านให้คาดเดาได้ยาก
ลักษณะของรหัสผ่านที่ดี มี 3 มุมมอง คือ
2. ชุดของตัวอักษร
ความแตกต่างของตัวอักษร ไม่ควรใช้ตัวอักษรซ้ำกัน
3. การสุ่ม
กำหนดโดยไร้กฎเกณฑ์ ไม่มีเงื่อนไข ทำให้คาดเดาได้ยาก
1. ความยาวของรหัสผ่าน
OTP (One-Time Password)
คือ เป็นระบบที่ใช้รหัสผ่านหนึ่งได้แค่ครั้งเดียว มีรูปแบบคือ ฝั่งผู้ใช้และระบบจะสร้างชุดรหัสผ่านไว้ แต่ละรหัสผ่านในรายการจะใช้ได้แค่ครั้งเดียว
ข้อดี
คือ ป้องกันการโจมตีแบบแอบดักรหัสผ่านและการใช้รหัสซ้ำ ไม่ต้องจำรหัสผ่าน
ข้อเสีย
คือ ทั้งสองฝั่งต้องมีรายการรหัสผ่านที่ใช้ได้จำนวนมาก
ตัวอย่างธุรกิจที่นำระบบ OTP มาใช้
ระบบ SCB Easy Net ของธนาคารไทยพาณิชย์ และระบบ AIS eService
สิ่งที่คุณมี (What you have) เช่น กุญแจ บัตรประจำตัว พาสสปอร์ต เครดิตการ์ด ฯลฯ
บัตรแถบแม่เหล็ก (Magnetic Strip Card)
เช่น บัตรเอทีเอ็ม บัตรเดบิต บัตรเครดิต เป็นต้น บัตรประเภทนี้จะเก็บข้อมูล เช่น หมายเลข PIN ที่เข้ารหัสแล้วเก็บไว้ในแถบแม่เหล็ก เมื่อใช้บัตรกับเครื่องอ่าน ก็จะตรวจสอบจากรหัสในแถบแม่เหล็กคู่กับรหัสผ่านของผู้ใช้
ข้อเสีย
: สามารถคัดลอกข้อมูลที่อยู่ในแถบแม่เหล็กได้ง่าย แค่มีเครื่องคัดลอกหรือเครื่องอ่าน
บัตรอัจฉริยะ (Smart Card)
พัฒนาจากบัตรแถบแม่เหล็ก แต่จะฝังไมโครชิพ (Microchip) ไว้ที่บัตรเพื่อเก็บข้อมูลสำคัญ
ข้อเสีย
คือถึงแม้ว่าบัตรประเภทนี้จะไม่มีปัญหาเรื่องรอยขีดข่วนเหมือนบัตรแถบแม่เหล็ก แต่ก็มีโอกาสถูกขโมย หรือถูกคัดลอกข้อมูลได้เช่นกัน
แผ่นป้ายระบุเอกลักษณ์ด้วยคลื่นความถี่วิทยุ (Radio Frequency Identification: RFID)
เป็นแผ่นป้ายอิเล็กทรอนิกส์ ที่ส่งข้อมูลจากแผ่นป้ายไปยังเครื่องติดตามผ่านคลื่นความถี่วิทยุ พบเห็นได้บ่อยในห้างสรรพสินค้าที่นิยมติดแผ่นป้ายชนิดนี้ไว้ที่ตัวสินค้าทำให้ทราบว่าลูกค้าหยิบสินค้าชนิดใดไปบ้างผ่านเครื่องสแกน แม้ว่าลูกค้าจะซ่อนสินค้าไว้ในถุงก็ตาม
แผ่นป้าย RFID มี 2 ชนิด คือ
1. Passive
จะส่งข้อมูลให้เครื่องติดตามที่ต้องการและร้องขอเท่านั้น
2. Active
การส่งข้อมูลที่บัตรจะเป็นแบบกระจาย
สิ่งที่คุณเป็น (What you are) เช่น ลายนิ้วมื้อ ลายมือ ม่านตา (Iris) จอตา (Retina) โครงหน้า
จากปัญหาที่เกิดขึ้นกับการพิสูจน์ทราบตัวตนโดยอาศัย สิ่งที่คุณรู้ และสิ่งที่คุณมี จึงได้มีการพิสูจน์ทราบตัวตนโดยใช้ สิ่งที่คุณเป็น แทน ซึ่งก็คือ การพิสูจน์จากลักษณะทางชีวภาพหรือทางร่างกายของผู้ใช้ เรียกว่า
“Biometric”
เช่น
พิสูจน์ด้วยลายนิ้วมือ (Fingerprint)
พิสูจน์ด้วยลายมือ (Palm Scan : รอยเส้นเลือดที่ฝ่ามือ)
พิสูจน์ด้วยจดจำใบหน้า (Face Recognition)
พิสูจน์ด้วยรูปร่างของมือ (Hand Geometry)
พิสูจน์ด้วยสแกนเรตินา (Retina Scan)
พิสูจน์ด้วยสแกนม่านตา (Iris Scan)
Biometrics
:red_flag:
การพิสูจน์ทราบตัวตนด้วย Biometrics
ระบบจะต้องจัดเก็บลักษณะทางชีวภาพไว้ในฐานข้อมูลก่อน เมื่อผู้ใช้สแกนข้อมูลทางชีวภาพดังกล่าวเข้าสู่ระบบ ระบบจะทำการเปรียบเทียบหรือวัดคุณลักษณะของข้อมูลที่รับเข้ามากับข้อมูลที่มีในฐานข้อมูล หากมีลักษณะตรงกันจะถือว่าเป็นผู้ใช้ที่แท้จริง ก็จะอนุญาตให้เข้าสู่ระบบได้
การที่องค์กรจะนำระบบควบคุมการเข้าถึงแบบ Biometric มาใช้ ต้องพิจารณาถึงปัจจัย 3 ประการ คือ
ความน่าเชื่อถือของระบบ
ต้นทุนและความพร้อมใช้
ความเต็มใจของผู้ใช้
ขั้นตอนการทำงานของระบบ Biometrics (Process)
2. การจับข้อมูล (Capture)
ทำหน้าที่นำข้อมูลทางชีวภาพของผู้ใช้เข้าสู่ระบบ เช่น นำเข้าภาพของลายนิ้วมือ นำเข้าสัญญาณข้อมูลจากไมโครโฟน (รับเสียงผู้ใช้) หรือข้อมูลจากปากกาชนิดพิเศษเป็นต้น
ข้อควรระวัง
ที่อาจทำให้นำข้อมูลเข้าสู่ระบบไม่สมบูรณ์ เช่น อุปกรณ์รับข้อมูลที่สกปรก เสียงรบกวนรอบข้าง เป็นต้น
3. การประมวลผลสัญญาณข้อมูล (Signal Processing)
ทำหน้าที่ในการแปลง (Transform) ข้อมูลที่ถูกนำเข้ามาให้อยู่ในรูปแบบที่เหมาะสมแก่การใช้งานในระบบ Matching ข้อมูลที่ถูกแปลงแล้วและนำไปเก็บในฐานข้อมูลจะเรียกว่า
Reference หรือ Template
ซึ่งจะถูกนำไปใช้ในขั้นตอนการพิสูจน์ทราบตัวตนต่อไป
1. การแสดงลักษณะทางชีวภาพของผู้ใช้ (Present Biometric)
เป็นขั้นตอนแรก โดยผู้ใช้จะแสดงลักษณะทางชีวภาพของตนต่ออุปกรณ์รับข้อมูลเพื่อนำเข้าสู่ระบบ
4. การจัดเก็บข้อมูล (Data Storage)
ทำหน้าที่จัดเก็บ Template (หรือ Reference) ไว้ใช้ในการเปรียบเทียบกับข้อมูลใหม่ที่นำเข้าสู่ระบบในกระบวนการพิสูจน์ทราบตัวตนของผู้ใช้
5. การเปรียบเทียบข้อมูล (Compare)
มีการทำงานร่วมกันของ 2 กระบวนการได้แก่
5.1 จับคู่ข้อมูล (Matching)
ระบบจับคู่ข้อมูลจะได้รับข้อมูลจากระบบประมวลผลสัญญาณข้อมูล จากนั้นจะจับคู่ข้อมูลโดยการเปรียบเทียบข้อมูลที่รับเข้ามาใหม่กับ
Template (หรือ Reference)
ที่อยู่ในฐานข้อมูล ผลลัพธ์จากการเปรียบเทียบ จะแสดงเป็นตัวเลขที่เรียกว่า
Comparison Score
ที่แสดงให้ทราบว่าข้อมูลทั้ง 2 ตรงกัน หรือใกล้เคียงกัน
หลังจากเปรียบเทียบข้อมูลเสร็จแล้ว ระบบจับคู่ข้อมูลจะส่งผลลัพธ์ไปยังการตัดสินใจ เพื่อพิสูจน์ทราบตัวตนต่อไป
5.2 การตัดสินใจ (Decision)
ทำหน้าที่เปรียบเทียบ Comparison Score ที่ได้จากการ Matching กับค่าพารามิเตอร์บางอย่าง เพื่อตัดสินใจว่าข้อมูลทางชีวภาพที่ผู้ใช้กำลังป้อนเข้าสู่ระบบตรงกับที่ได้จัดเก็บไว้หรือไม่
การกำหนดสิทธิ์ (Authorization)
โดยทั่วไป จะมีการกำหนดสิทธิ์การเข้าใช้ระบบของผู้ใช้ 3 ลักษณะ
2. กำหนดสิทธิ์สมาชิกของกลุ่ม
ระบบจะเปรียบเทียบหลักฐานการยืนยันตัวตนของสมาชิก กับบัญชีรายชื่อของสมาชิกในกลุ่มใดๆ ที่จัดเก็บไว้ หากถูกต้องจะอนุญาตให้เข้าใช้ระบบได้ตามสิทธิ์ที่กลุ่มนั้นได้รับ
3. กำหนดสิทธิ์การใช้งานข้ามระบบ
จะตรวจสอบหลักฐานการยืนยันตัวตนของผู้ใช้ที่ศูนย์กลางของระบบ ซึ่งหลักฐานดังกล่าวจะเป็นชุดของข้อมูลที่ทุกระบบสามารถตรวจสอบได้เหมือนกัน บางครั้งเรียกระบบดังกล่าวว่า “Sungle Sign-on” ที่ต้องอาศัยโปรโตคอลชนิดพิเศษที่เรียกว่า “LDAP” จึงจะสามารถทำได้
1. กำหนดสิทธิ์ผู้ใช้รายบุคคล
โดยระบบจะพิสูจน์ตัวตนของผู้ใช้แต่ละรายว่าเป็นผู้ใช้ที่ได้รับอนุญาตที่แท้จริงหรือไม่ จากนั้นก็จะอนุญาตให้ผู้ใช้ที่แท้จริงเข้าสู่ระบบได้ เมื่อเข้าสู่ระบบ ผู้ใช้จะสามารถใช้ทรัพยากรเฉพาะส่วนที่อนุญาตให้ใช้ได้เท่านั้น
การควบคุมการเข้าถึงทางกายภาพ (Physical Access Control)
มาตรการขั้นพื้นฐาน ในการควบคุมเพื่อป้องกันการเข้าถึงอาคารหรือสถานที่ที่ต้องการความปลอดภัย มีดังนี้
สุนัข
บัตรประจำตัวประชาชนหรือบัตรพนักงาน
เจ้าหน้าที่รักษาความปลอดภัย (ยาม)
ชุดกุญแจ
กำแพง รั้ว และประตู
ผนังและประตูชั้นใน
กล้อง/โทรทัศน์วงจรปิด
ระบบสัญญาณเตือนภัย
ห้องลับดักจับผู้บุกรุก
ความมั่นคงปลอดภัยจากเหตุเพลิงไหม้
เพลิงไหม้เป็นภัยพิบัติที่สร้างความเสียหายได้ทั้งต่อทรัพย์สินและชีวิตของพนักงานในบริษัท และมีโอกาสเกิดขึ้นได้ง่ายกว่าภัยพิบัติชนิดอื่น จึงจำเป็นต้องกำหนดมาตรการตรวจจับและตอบสนองต่อเหตุการณ์เพลิงไหม้ที่อาจเกิดขึ้นได้
อาคารสำนักงานโดยทั่วไป ถูกกำหนดให้ติดตั้ง “ระบบดับเพลิงอัตโนมัติ” ไว้ เพื่อป้องกันและระงับเหตุเพลิงไหม้ที่อาจเกิดขึ้นได้
ระบบดับเพลิงมีองค์ประกอบสำคัญ 2 ส่วน คือ ระบบตรวจจับเพลิงไหม้ และระบบดับเพลิง
ระบบตรวจจับเพลิงไหม้ (Fire Detection)
2. ตรวจจับควันไฟ
เป็นระบบที่นิยมใช้ในอาคารที่พักและอาคารสำนักงาน ในการตรวจจับควันไฟ และส่งสัญญาณไปยังระบบแจ้งเตือนทันที
3. ตรวจจับเปลวไฟ
Sensor ของระบบจะตรวบจับแสงอินฟราเรดหรือแสงอัลตร้าไวโอเล็ตที่เกิดขึ้นเมื่อมีเปลวไฟ และนำคุณลักษณะของแสงอินฟราเรดหรือแสงอัลตร้าไวโอเล็ตที่จับค่าได้ไปเปรียบเทียบกับค่าในฐานข้อมูล หากตรงกันจะส่งสัญญาณไปยังระบบแจ้งเตือนทันที
1. ตรวจจับระบบอุณหภูมิ
จะมี Sensor วัดระดับอุณหภูมิภายในบริเวณ ที่ระบบตรวจจับติดตั้งอยู่
ระบบดับเพลิง (Fire Suppression)
1. เครื่องดับเพลิงแบบยกหิ้ว
มีลักษณะเป็นถังดับเพลิงที่พบเห็นได้ตามอาคารทั่วไป ใช้กับเหตุเพลิงไหม้ได้หลากหลายสถานการณ์
2. เครื่องดับเพลิงแบบธรรมดาและอัตโนมัติ
- ระบบสปริงเกลอร์ หรือระบบหัวกระจายน้ำ
เป็นระบบที่อาคารส่วนใหญ่นิยมใช้ ถูกออกแบบให้ฉีดของเหลวซึ่งโดยทั่วไปเป็นน้ำลงในบริเวณที่มีเพลิงไหม้ทันทีที่ตรวจพบ ซึ่งหากบริเวณนั้นเป็นต้นเพลิงและสามารถดับได้ทันเวลา
- ระบบดับเพลิงแบบแก๊ส
เป็นระบบที่ใช้แก๊สในการดับเพลิง โดยทั่วไปนิยมใช้ในโรงงานอุตสาหกรรมทางเคมีและอิเล็กทรอนิกส์ ไม่ควรติดตั้งในอาคารสำนักงานหรือที่พักอาศัย
มาตรการป้องกันห้องคอมพิวเตอร์
วิธีการป้องกันห้องคอมพิวเตอร์ โดยการควบคุมทางสภาพแวดล้อมและทางกายภาพของห้องคอมพิวเตอร์ในเอกสารเผยแพร่ มีดังนี้
ระบบล็อกประตูแบบเข้ารหัส
ยกพื้นห้องคอมพิวเตอร์ เช่น ยกพื้นให้สูงขึ้น 30 เซนติเมตร
เจ้าหน้าที่รักษาความปลอดภัย 24 ชม. ทุกประตูเข้า – ออก
ห้องปรับอุณหภูมิ เหมาะสำหรับห้องเก็บเครื่อง Server
คีย์การ์ดสำหรับเข้า – ออกอาคารและห้องทำงาน
เครื่องทำความชื้นสำหรับห้องเก็บเทป
ระบบไฟฟ้าสำรองฉุกเฉินในห้องคอมพิวเตอร์
เครื่องดับเพลิงอัตโนมัติ
เครื่องดับเพลิงที่สามารถดับเพลิง
ระบบตรวจจับควัน น้ำรั่วซึม และความร้อน
เครื่องตัดไฟอัตโนมัติกรณีฉุกเฉิน ทำงานเมื่อประตูฉุกเฉินเปิด
อุปกรณ์ป้องกันไฟกระชาก
สำรองการทำงานของ Server กรณีฉุกเฉิน
ระบบ Sprinkler แบบท่อแห้งใช้ในอาคาร
ตัวจ่ายไฟพิเศษสำหรับเครื่อง Server ของระบบ LAN
รองปลั๊กไฟและตัวตัดไฟสำหรับอุปกรณ์ต่อพ่วง
รางปลั๊กไฟและตัวตัดไฟสำหรับเครื่องคอมพิวเตอร์
ระบบป้องกันการเข้า – ออกห้อง Server
แผ่นพลาสติกป้องกันน้ำ
โทรทัศน์วงจรปิด
บทที่ 5
การเข้ารหัสข้อมูลเบื้องต้น (Cryptography)
การเข้ารหัสข้อมูล (Cryptography) :red_flag:
การเข้ารหัสข้อมูล (Cryptography)
เกี่ยวข้องกับศาสตร์และศิลป์ของการศึกษาด้านรหัสลับ (Cryptology) คำศัพท์ที่เกี่ยวข้องได้แก่
Cryptography
คือ การสร้างรหัสลับ (Making)
Crypanalysis
คือ การไขรหัสลับ (Breaking)
Cryptology
คือ ศาสตร์และศิลป์ของการสร้างและไข รหัสลับ (Secret Code)
Crypto
คือ คำย่อที่ใช้เรียกแทนทุกคำที่กล่าวข้างต้น
Cipher หรือ Cryptosystem
คือระบบรหัสลับที่ประกอบด้วยองค์ประกอบหลายส่วน เป็นระบบที่ทำหน้าที่เข้ารหัสข้อมูล (Encryption)
ระบบรหัสลับ (Cryptosystems) :red_flag:
ระบบรหัสลับ (Cryptosystems) หรือ Cipher
มีองค์ประกอบหลายส่วนเพื่อการเข้ารหัสข้อมูล โดยทั่วไปประกอบด้วย อัลกอริธึม เทคนิคการจัดการข้อมูล กระบวนการ และขั้นตอนการทำงาน โดยจะนำมาผสมผสานเข้าด้วยกันเพื่อเข้ารหัสข้อมูล โดยมีวัตถุประสงค์เพื่อ
จัดเตรียมกลไกการพิสูจน์ตัวตน (Authentication)
การให้สิทธิ์ในการดำเนินแต่ละขั้นตอนธุรกิจ (Authorization)
รักษาข้อมูลไว้เป็นความลับ (Confidentiality)
ระบบรหัสลับแต่ละประเภท
2. Vigenere Cipher
เป็น Substitution Cipher ชนิดหนึ่งที่ใช้ตารางตัวอักษรเป็นรหัสลับ เรียกว่า ตาราง Vigenere Square เป็นตารางที่ประกอบไปด้วยตัวอักษรภาษาอังกฤษ 26 ตัว แต่ละตัวถูกจัดวางเรียงลำดับ ทั้งในแนวตั้งและแนวนอน รวมเป็น 26x26
3. Transposition Cipher หรือ Permutation Cipher
คือ ระบบรหัสแบบเปลี่ยนตำแหน่ง เป็นการสลับตำแหน่งของข้อความ Plaintext เมื่อสลับครบทุกตัวอักษรของ Plaintext จะได้ Ciphertext ที่สมบูรณ์ ความสำคัญของการเข้ารหัสชนิดนนี้คือ การกำหนดรูปแบบการสลับตำแหน่ง เรียกว่า Key Pattern
1. Substitution Cipher หรือ Caesar’s Cipher
หรือเรียกว่า ระบบรหัสลับแบบแทนค่า มีหลักการคือ แทนค่าตัวอักษรในข้อความ Plaintext ด้วยตัวอักษรตัวอื่น เช่น แทนด้วยตัวอักษรในภาษาอังกฤษ
4. Double Transposition Cipher
การสลับตำแหน่งข้อความ Plaintext ตามวิธี Transposition Cipher เป็นแบบ 1 มิติ แต่วิธี Double Transposition Cipher เป็นการสลับตำแหน่งข้อความ Plaintext แบบ Array 2 มิติ คือวางข้อความไว้ทั้งในแนวตั้งและแนวนอน
บทที่ 6
Firewall
ประเภทของ Firewall :red_flag:
1. Firewall ระดับ Network หรือ Network Level Firewall
Firewall ประเภทนี้จะมีความเร็วสูง เนื่องจากว่า Hardware ถูกออกแบบมาทำงานโดยเฉพาะ และจะ Transparent ต่อผู้ใช้ (คือผู้ใช้จะไม่รู้สึกถึงความแตกต่างระหว่างระบบที่ไม่มี Firewall กับระบบที่มี Firewall ระดับ Network อยู่ตัวอย่าง Firewall ประเภทนี้ได้แก่ Checkpoint NG, Cisco PIX เป็นต้น
2. Firewall ระดับ Application หรือ Application Level Firewall
Application Layer Firewall หรือ Proxy Firewall เป็นไฟร์วอลที่ติดตั้งบนเครื่องคอมพิวเตอร์แยกต่างหาก ทำให้เครื่องคอมพิวเตอร์ทำหน้าที่เป็นไฟร์วอลโดยเฉพาะ แยกจากเครื่อง Router แต่ยังเชื่อมต่อกับ Router เพื่อค้นหาเส้นทางของ Packet เหมือนเดิม โดยสามารถกรอง Packet และตรวจสอบเนื้อหาใน Packet ที่ผ่านเข้ามาในเครือข่ายได้
สถาปัตยกรรมของ Firewall :red_flag:
1. Packet Filtering Router
เป็นรูปแบบที่จัดให้มี Router ทำหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายใน (Intranet) กับ เครือข่ายภายนอก (Internet)
Firewall ที่ Router จะทำการกลั่นกรอง Packet โดยจะอนุญาติให้ Packet ที่ตรงกับตาราง ACL เท่านั้นที่สามารถเข้ามาในเครือข่ายภายในได้
ข้อดี
ดูแลรักษาง่าย มีความเร็วสูง และประหยัดค่าใช้จ่าย
ข้อเสีย
การตรวจสอบและตรวจจับไม่เข้มงวด และถ้าตาราง ACL มากจะทำให้การทำงานช้าลง
2. Screened Host Firewall
เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router และ Application Firewall (Proxy Server)
โดยมี Router ทำหน้าที่เป็น Packet Filtering Router และเพิ่มเครื่อง Server อีก 1 เครื่อง ทำหน้าที่เป็น Proxy Server เรียกว่า Bastion Host
3. Dual-homed Host Firewall
เป็นรูปแบบที่จัดให้ Bastion Host มี NIC (Network Interface Card) อย่างน้อย 2 การ์ด การ์ดแรกใช้ติดต่อกับเครือข่ายภายนอกโดยตรง การ์ดที่สองใช้ติดต่อกับเครือข่ายภายใน ทุกเส้นทางของข้อมูลต้องผ่าน Firewall ทั้งขาเข้าและออก
4. Screened Subnet Firewall
เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router 2 ฝั่ง (External Filtering Router และ Internal Filtering Router) และ Bastion Host ตั้งแต่ 1 Host ขึ้นไป ทำหน้าที่ป้องกันเครือข่ายภายใน
Firewall คือ :red_flag:
ไฟร์วอลล์ (Firewall)
เป็นระบบหรือกลุ่มของระบบที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่างเน็ตเวิร์กภายนอก (Internet) หรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายใน (Intranet) โดยเป็นระบบหรือกลุ่มของระบบที่บังคับใช้นโยบายการควบคุมการเข้าถึงของระหว่างสองเครือข่าย
ความสามารถของ ไฟร์วอลล์ ( Firewall ) ในการเพิ่มความปลอดภัยให้กับระบบ
ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่าย
บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
บังคับใช้นโยบายด้านความปลอดภัย
ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก
ไฟร์วอลล์บางชนิด สามารถป้องกันไวรัสได้
สิ่งที่ ไฟร์วอลล์ ( Firewall ) ไม่สามารถป้องกันได้
อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์
อันตรายจากวิธีใหม่ๆ
อันตรายที่เกิดจากเน็ตเวิร์กภายใน
ไวรัส
การเลือก Firewall มาใช้ในองค์กร :red_flag:
ข้อพิจารณาในการนำ Firewall มาใช้ในองค์กร
Firewall ในราคาเบื้องต้นตามที่กำหนด มีความสามารถและฟังก์ชันอะไรบ้าง หากเพิ่มเติมค่าใช้จ่าย จะมีฟังก์ชันใดเพิ่ม และมีค่าใช้จ่ายอื่นอีกหรือไม่
ติดตั้งและปรับแต่งค่าได้ยากง่ายเพียงใด และมีวิธีปรับแต่งค่าอย่างไร
พิจารณา Firewall ชนิดใดที่มีขอบเขตการป้องกันตามที่ต้องการ และมีต้นทุนยอมรับได้
Firewall ชนิดใดที่สามารถรองรับการขยายตัวของระบบได้ดีกว่า