Please enable JavaScript.
Coggle requires JavaScript to display documents.
5712510028 น.ส. ศิริวรรณ ดีคำ (บทที่ 6 Firewall (สถาปัตยกรรมไฟล์วอลล์…
5712510028 น.ส. ศิริวรรณ ดีคำ
บทที่ 5
การควบคุมการเข้าถึง (Access Control)
การควบคุมการเข้าถึง (Access Control) หมายถึง
การทำให้มั่นใจว่าทรัพยากรต่างๆ ของระบบจะได้รับอนุญาตให้ถูกใช้โดยผู้ที่มีสิทธิ์เท่านั้น ซึ่งต้องอาศัยเทคโนโลยีต่างๆ เป็นกลไกการทำงาน ประกอบด้วย 4 กลไก ได้แก่
การระบุตัวตน (Identification)
เป็นกลไกที่ได้จัดเตรียมสารสนเทศของบุคคลที่จะเข้าใช้ระบบ เรียกว่า Identifier ซึ่งผู้ใช้แต่ละคนจะต้องมีค่าไม่ซ้ำกัน ใช้ร่วมกับกลไกการพิสูจน์ทราบตัวตน
การพิสูจน์ทราบตัวตน (Authentication)
เป็นกลไกการตรวจสอบว่าผู้ใช้เป็นใคร และเป็นผู้ที่ได้รับอนุญาติหรือไม่ โดยพิจารณาจาก Identifier ของผู้ใช้
การพิสูจน์ทราบตัวตน (Authentication) หมายถึง กระบวนการยืนยันความถูกต้องของตัวบุคคล โดยพิสูจน์ความถูกต้องของตัวบุคคล อาศัยสิ่งที่เป็น Identifier ของบุคคล เป็นหลักฐานในการระบุตัวตนก่อนที่จะดำเนินการตรวจสอบความถูกต้องของตัวบุคคล
สิ่งที่ใช้สำหรับการพิสูจน์ทราบตัวตนการพิสูจน์ทราบตัวตนจำเป็นต้องแสดงหลักฐานบางอย่างเพื่อพิสูจน์ว่าคือใคร หลักฐานนั้นสามารถแบ่งได้ 3 ลักษณะคือ
สิ่งที่คุณรู้ (What you know)การพิสูจน์ตัวตน คือ
“รหัสผ่าน”
ลักษณะของรหัสผ่านที่ดี มี 3 มุมมอง คือ
ความยาวของรหัสผ่าน
ชุดของตัวอักษร ความแตกต่างของตัวอักษร ไม่ควรใช้ตัวอักษรซ้ำกัน
การสุ่ม กำหนดโดยไร้กฎเกณฑ์ ไม่มีเงื่อนไข ทำให้คาดเดาได้ยาก
OTP (One-Time Password)
คือ
เป็นระบบที่ใช้รหัสผ่านหนึ่งได้แค่ครั้งเดียว มีรูปแบบคือ ฝั่งผู้ใช้และระบบจะสร้างชุดรหัสผ่านไว้ แต่ละรหัสผ่านในรายการจะใช้ได้แค่ครั้งเดียว
สิ่งที่คุณมี (What you have)สามารถนำมาพิสูจน์ทราบตัวตนได้ เช่น บัตรเอทีเอ็ม Smart Card และ Token เป็นต้น เพื่อแก้ปัญหาสิ่งที่คุณรู้แต่มักจะลืม เพราะสิ่งที่คุณมีจะต้องพกติดตัวตลอดเวลา แต่ปัญหาที่พบคือ การลักขโมยเช่น บัตรเอทีเอ็ม บัตรเดบิต บัตรเครดิต เป็นต้น บัตรประเภทนี้จะเก็บข้อมูล เช่น หมายเลข PIN ที่เข้ารหัสแล้วเก็บไว้ในแถบแม่เหล็ก บัตรอัจฉริยะ (Smart Card) พัฒนาจากบัตรแถบแม่เหล็ก แต่จะฝังไมโครชิพ (Microchip) ไว้ที่บัตรเพื่อเก็บข้อมูลแผ่นป้าย RFID มี 2 ชนิด คือ
Passive จะส่งข้อมูลให้เครื่องติดตามที่ต้องการและร้องขอเท่านั้น
Active การส่งข้อมูลที่บัตรจะเป็นแบบกระจาย
สิ่งที่คุณเป็น (What you are)จากปัญหาที่เกิดขึ้นกับการพิสูจน์ทราบตัวตนโดยอาศัย สิ่งที่คุณรู้ และสิ่งที่คุณมี จึงได้มีการพิสูจน์ทราบตัวตนโดยใช้ สิ่งที่คุณเป็น แทน ซึ่งก็คือ การพิสูจน์จากลักษณะทางชีวภาพหรือทางร่างกายของผู้ใช้ เรียกว่า “Biometric”เช่น พิสูจน์ด้วยลายนิ้วมือ (Fingerprint)พิสูจน์ด้วยสแกนม่านตา (Iris Scan)พิสูจน์ด้วยรูปร่างของมือ (Hand Geometry)พิสูจน์ด้วยลายมือ (Palm Scan : รอยเส้นเลือดที่ฝ่ามือ)พิสูจน์ด้วยจดจำใบหน้า (Face Recognition)พิสูจน์ด้วยสแกนเรตินา (Retina Scan)
Biometrics
ระบบจะต้องจัดเก็บลักษณะทางชีวภาพไว้ในฐานข้อมูลก่อน เมื่อผู้ใช้สแกนข้อมูลทางชีวภาพดังกล่าวเข้าสู่ระบบ ระบบจะทำการเปรียบเทียบหรือวัดคุณลักษณะของข้อมูลที่รับเข้ามากับข้อมูลที่มีในฐานข้อมูล หากมีลักษณะตรงกันจะถือว่าเป็นผู้ใช้ที่แท้จริง ก็จะอนุญาตให้เข้าสู่ระบบได้
ระบบ Biometrics ประกอบด้วยขั้นตอนการทำงาน ดังนี้
การแสดงลักษณะทางชีวภาพของผู้ใช้ (Present Biometricเป็นขั้นตอนแรก โดยผู้ใช้จะแสดงลักษณะทางชีวภาพของตนต่ออุปกรณ์รับข้อมูลเพื่อนำเข้าสู่ระบบ
การจับข้อมูล (Capture)ทำหน้าที่นำข้อมูลทางชีวภาพของผู้ใช้เข้าสู่ระบบ เช่น นำเข้าภาพของลายนิ้วมือ นำเข้าสัญญาณข้อมูลจากไมโครโฟน (รับเสียงผู้ใช้) หรือข้อมูลจากปากกาชนิดพิเศษเป็นต้นข้อควรระวังที่อาจทำให้นำข้อมูลเข้าสู่ระบบไม่สมบูรณ์ เช่น อุปกรณ์รับข้อมูลที่สกปรก เสียงรบกวนรอบข้าง เป็นต้น
การประมวลผลสัญญาณข้อมูล (Signal Processiทำหน้าที่ในการแปลง (Transform) ข้อมูลที่ถูกเช่น ภาพลายนิ้วมือ ระบบจะแปลงเป็นพิกัดตำแหน่งของเส้นลายนิ้วมือ หรือเสียง ระบบจะแปลงสัญญาณเสียงเป็นคลื่นความถี่ของเสียงนำเข้ามาng)
การจัดเก็บข้อมูล (Data Storage)ทำหน้าที่จัดเก็บ Template (หรือ Reference) ไว้ใช้ในการเปรียบเทียบกับข้อมูลใหม่ที่นำเข้าสู่ระบบในกระบวนการพิสูจน์ทราบตัวตนของผู้ใช้
การเปรียบเทียบข้อมูล (Compare) มีการทำงานร่วมกันของ 2 กระบวนการได้แก่ จับคู่ข้อมูล (Matching) และการตัดสินใจ (Decision)
.
การจัดทำประวัติการเข้าใช้ระบบ (Accountability)
เป็นส่วนที่ใช้บันทึกการเข้าใช้ระบบของผู้ใช้ (System Logs) เพื่อจัดทำเป็นหลักฐานการตรวจสอบ (Audit Trail) เพื่อติดตามพฤติกรรมที่น่าสงสัยได้
การกำหนดสิทธิ์ (Authorization)
เป็นกลไกการอนุญาตหรือให้สิทธิในการเข้าถึงระบบและเข้าใช้ข้อมูลของผู้ใช้ที่ผ่านการพิสูจน์ทราบตัวตนมาแล้ว โดยพิจารณาว่าผู้ใช้แต่ละคนได้รับอนุญาตในระดับใด และใช้ข้อมูลส่วนใดได้บ้าง
การกำหนดสิทธฺ์ คือ การจำกัดสิทธิ์ในการกระทำใดๆ ต่อระบบและข้อมูลในระบบของผู้ใช้ ที่ผ่านการพิสูจน์ตัวตนมาแล้ว
โดยทั่วไป จะมีการกำหนดสิทธิ์การเข้าใช้ระบบของผู้ใช้ 3 ลักษณะ ดังนี้
กำหนดสิทธิ์ผู้ใช้รายบุคคล
กำหนดสิทธิ์สมาชิกของกลุ่ม
กำหนดสิทธิ์การใช้งานข้ามระบบ
การควบคุมการเข้าถึงทางกายภาพ
(Physical Access Control)
เป็นการป้องกันสิ่งใดๆ ทางกายภาพ ไม่ว่าจะเป็นสิ่งของ อุปกรณ์ สถานที่ หรือพื้นที่ใดขององค์กร จากการเข้าถึงที่ไม่ได้รับอนุญาต เพื่อป้องกันทรัพยากรขององค์กรให้ยังคงอยู่ และยังคงมีประสิทธิภาพต่อไป
เพื่อลดความเสี่ยงในการเข้าถึงข้อมูลและสารสนเทศ
บทที่ 5
การเข้ารหัสข้อมูลเบื้องต้น (Cryptography)
โดยอาจผ่านคอมพิวเตอร์หรือเครือข่ายอีกมากมายกว่าข้อมูลจะเดินทางถึงปลายทาง ทำให้เสี่ยงต่อภัยคุกคามต่างๆ ที่อาจเกิดขึ้น ดังนี้
การแอบดักอ่านข้อมูล (Eavesdropping)
เป็นการแอบดักอ่านข้อมูลที่รับ/ส่งระหว่างผู้รับผู้ส่ง ข้อมูลอาจไม่ถูกแก้ไข แต่ความลับของข้อมูลก็ถูกเปิดเผยต่อผู้ที่ไม่ได้รับอนุญาต เช่น การแอบดักอ่านข้อมูล หมายเลขบัตรเครดิต ข้อมูลส่วนตัว เป็นต้น
การแอบแก้ไขข้อมูล (Tampering หรือ Man-in-the-middle attack)
ข้อมูลที่ถูกส่งไปจะถูกแก้ไขเปลี่ยนแปลงโดยบุคคลที่สาม เช่น การแก้ใบสั่งซื้อ หรือบัญชีที่ต้องการให้โอนเงินเข้า เป็นต้น
การปลอมตัวหรือการหลอกลวง (Impersonation)
แบ่งได้เป็น
Spoofing : การที่บุคคลหนึ่งปลอมตัวหรือหลอกว่าเป็นอีกบุคคลหนึ่ง เช่น การหลอกโดยใช้อีเมล์ที่ใกล้เคียงกับอีเมล์จริง เป็นต้น
Misrepresentation : การหลอกว่าเป็นตัวแทน เช่น สร้างเว็บไซต์เพื่อหลอกว่าตัวเองเป็นตัวแทนขององค์กรเพื่อขอรับบริจาคแต่จริงๆแล้วไม่ใช่
Cipher หรือ Cryptosystem คือระบบรหัสลับที่ประกอบด้วยองค์ประกอบหลายส่วน เป็นระบบที่ทำหน้าที่เข้ารหัสข้อมูล
(Encryption) โดยข้อมูลหรือข้อความที่เป็นต้นฉบับ เรียกว่า Plaintext
เมื่อผ่านการเข้ารหัสแล้ว จะกลายเป็นข้อความที่ไม่สามารถอ่านเข้าใจความหมายได้ เรียกข้อความนั้นว่า Ciphertext
ซึ่งจะถูกนำมาถอดรหัส (Decryption) เพื่อให้กลายเป็นข้อความต้นฉบับดังเดิม
โดยมี กุญแจ (Key) เป็นกลไกสำคัญในการเข้าและถอดรหัส
ระบบรหัสลับ (Cryptosystems) หรือ Cipher มีองค์ประกอบหลายส่วนเพื่อการเข้ารหัสข้อมูล โดยทั่วไปประกอบด้วย อัลกอริธึม เทคนิคการจัดการข้อมูล กระบวนการ และขั้นตอนการทำงาน โดยจะนำมาผสมผสานเข้าด้วยกันเพื่อเข้ารหัสข้อมูล
Substitution Cipher หรือ Caesar’s Cipher
ระบบรหัสลับแบบแทนค่า มีหลักการคือ แทนค่าตัวอักษรในข้อความ Plaintext ด้วยตัวอักษรตัวอื่น เช่น แทนด้วยตัวอักษรในภาษาอังกฤษ
Vigenere Cipher
เป็น Substitution Cipher ชนิดหนึ่งที่ใช้ตารางตัวอักษรเป็นรหัสลับ เรียกว่า ตาราง Vigenere Square เป็นตารางที่ประกอบไปด้วยตัวอักษรภาษาอังกฤษ 26 ตัว แต่ละตัวถูกจัดวางเรียงลำดับ ทั้งในแนวตั้งและแนวนอน รวมเป็น 26x26
Transposition Cipher หรือ Permutation Cipher
คือ ระบบรหัสแบบเปลี่ยนตำแหน่ง เป็นการสลับตำแหน่งของข้อความ Plaintext เมื่อสลับครบทุกตัวอักษรของ Plaintext จะได้ Ciphertext ที่สมบูรณ์ ความสำคัญของการเข้ารหัสชนิดนนี้คือ การกำหนดรูปแบบการสลับตำแหน่ง เรียกว่า Key Pattern
Double Transposition Cipher
การสลับตำแหน่งข้อความ Plaintext ตามวิธี Transposition Cipher เป็นแบบ 1 มิติ แต่วิธี Double Transposition Cipher เป็นการสลับตำแหน่งข้อความ Plaintext แบบ Array 2 มิติ คือวางข้อความไว้ทั้งในแนวตั้งและแนวนอน
บทที่ 6
Firewall
ไฟร์วอลล์
จะหมายถึง กำแพงที่เอาไว้ป้องกันไฟไม่ให้ลุกลามไปยังส่วนอื่นๆ
ไฟร์วอลล์ ส่วนทางด้านคอมพิวเตอร์นั้น
ก็จะมีความหมายคล้ายๆ กันก็คือ เป็นระบบที่เอาไว้ป้องกันอันตรายจากอินเตอร์เน็ตหรือเน็ตเวิร์กภายนอก
ไฟร์วอลล์ (Firewall) เป็นระบบหรือกลุ่มของระบบ
ที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่างเน็ตเวิร์กภายนอก (Internet) หรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายใน (Intranet)
โดยเป็นระบบหรือกลุ่มของระบบที่บังคับใช้นโยบายการควบคุมการเข้าถึงของระหว่างสองเครือข่าย
ระบบหรือกลุ่มของระบบนั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือ Firewall Architecture ที่ใช้
ความสามารถของ ไฟร์วอลล์ ( Firewall )
-บังคับนโยบายด้านความปลอดภัย
-ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่าย
-บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
-ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก
-ไฟร์วอลล์บางชนิด สามารถป้องกันไวรัสได้
สิ่งที่ ไฟร์วอลล์ ( Firewall ) ไม่สามารถป้องกันได้
-อันตรายที่เกิดจากเน็ตเวิร์กภายใน
-อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์
-อันตรายจากวิธีใหม่ๆ
-ไวรัส
ประเภทของ ไฟร์วอลล์ (Firewall) แบ่งตามรูปแบบการไหลของข้อมูลผ่านไฟร์วอลล์สามารถแบ่งได้ 2 ประเภท คือ
1)Firewall ระดับ Network
หรือ Network Level Firewall
ทำหน้าที่ป้องกันเครือข่ายภายในจากภัยคุกคามจากภายนอก โดยเฝ้าระวังทราฟฟิกที่วิ่งเข้าและออกจากเครือข่าย
ประเภทนี้จะมีความเร็วสูง เนื่องจากว่า Hardware ถูกออกแบบมาทำงานโดยเฉพาะ และจะ Transparent ต่อผู้ใช้
2)Application Layer Firewall
หรือ Proxy Firewall เป็นไฟร์วอลที่ติดตั้งบนเครื่องคอมพิวเตอร์แยกต่างหาก ทำให้เครื่องคอมพิวเตอร์ทำหน้าที่เป็นไฟร์วอลโดยเฉพาะ แยกจากเครื่อง Router แต่ยังเชื่อมต่อกับ Router เพื่อค้นหาเส้นทางของ Packet เหมือนเดิม โดยสามารถกรอง Packet และตรวจสอบเนื้อหาใน Packet ที่ผ่านเข้ามาในเครือข่ายได้
สถาปัตยกรรมไฟล์วอลล์ (Firewall Architecture)
Packet Filtering Router
เป็นรูปแบบที่จัดให้มี Router ทำหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายใน (Intranet) กับ เครือข่ายภายนอก (Internet)
Router จะทำการกลั่นกรอง Packet โดยจะอนุญาติให้ Packet ที่ตรงกับตาราง ACL เท่านั้นที่สามารถเข้ามาในเครือข่ายภายในได้
Screened Host Firewall
เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router และ Application Firewall (Proxy Server)
โดยมี Router ทำหน้าที่เป็น Packet Filtering Router และเพิ่มเครื่อง Server อีก 1 เครื่อง ทำหน้าที่เป็น Proxy Server เรียกว่า Bastion Host
Dual-homed Host Firewall
เป็นรูปแบบที่จัดให้ Bastion Host มี NIC (Network Interface Card) อย่างน้อย 2 การ์ด การ์ดแรกใช้ติดต่อกับเครือข่ายภายนอกโดยตรง การ์ดที่สองใช้ติดต่อกับเครือข่ายภายใน ทุกเส้นทางของข้อมูลต้องผ่าน Firewall ทั้งขาเข้าและออก
Screened Subnet Firewall
เป็นรูปแบบที่ประกอบด้วย Packet Filtering Router 2 ฝั่ง (External Filtering Router และ Internal Filtering Router) และ Bastion Host ตั้งแต่ 1 Host ขึ้นไป ทำหน้าที่ป้องกันเครือข่ายภายใน
โดยจัดกลุ่ม Bastion Host แยกมาอยู่รวมกันในเขตที่เรียกว่า DMZ
**External Filtering Router จะอยู่ระหว่างเครือข่ายภายนอกกับเขต DMZ หรือ Perimeter Network
**Internal Filtering Router จะอยู่ระหว่างเครือข่ายภายในกับเขต DMZ หรือ Perimeter Network